L'ordinamento spagnolo presenta alcune peculiarità in materia di protezione dei dati personali, che ne evidenziano la originalità rispetto al resto degli ordinamenti europei. Infatti, la tutela della riservatezza è riconosciuta a livello costituzionale, dall'art. 18 della Costituzione adottata nel 1978, il cui quarto comma prevede che un'apposita legge "porrà limiti all'uso dell'informatica per salvaguardare l'onore e l'intimità personale e familiare dei cittadini e il pieno esercizio dei loro diritti". Peraltro, va sottolineato come i precedenti commi dello stesso articolo garantiscano il diritto all'onore, all'intimità personale e familiare e all'immagine, la inviolabilità del domicilio e il segreto delle comunicazioni.

Le previsioni "programmatiche" contenute nell'articolo 18 della Costituzione spagnola sono state attuate con l'adozione di leggi apposite: quella del 1982 sull'onore, quella del 1984 sulle intercettazioni telefoniche, ripresa nel 1992 dalla cd. "Legge Corcuera" sulla sicurezza urbana. Per molto tempo l'unica parte dell'articolo 18 rimasta inattuata è stato proprio il quarto comma: solo il 31 gennaio del 1993 è entrata in vigore la "Legge organica per regolare il trattamento automatizzato di dati personali" (LORTAD). Si tratta di una legge organica, cioè di una legge di rango superiore rispetto a quella ordinaria, paragonabile alle nostre leggi costituzionali, dalle quali si discosta tuttavia per alcune peculiarità che non è dato rinvenire nell'ordinamento italiano. La stessa costituzione spagnola stabilisce che la legge organica va approvata globalmente e dalla maggioranza assoluta del congresso. La legge organica, inoltre, si caratterizza per la circostanza che essa può contenere disposizioni con il valore di legge ordinaria, al fine di renderne alcune parti più facilmente modificabili.

Un altro elemento che rende l'esperienza spagnola alquanto originale è stata la particolare sensibilità dimostrata dall'opinione pubblica e dai privati con riguardo ai problemi della tutela della riservatezza nell'era informatica. Nel novembre del 1990 fu istituita, su iniziativa di un gruppo di privati, la Commissione per le Libertà e l'Informatica (CLI) . Infatti, in occasione di un censimento, molti cittadini avevano rilevato che alcune delle domande contenute nel questionario risultavano eccessivamente penetranti: il timore che si diffuse era quello che i dati venissero utilizzati non tanto a fini statistici, bensì a fini fiscali. In assenza di un organo pubblico di controllo del settore relativo al trattamento dei dati personali, un gruppo di soggetti privati composto da associazioni di magistrati, lavoratori, operatori di marketing, tecnici dell'informazione, utenti di tecnologie informatiche, ecc., decise di dare vita a questo organismo, attualmente ancora attivo e che, a partire dal 1997, opera come sezione specializzata della Associazione Spagnola per i Diritti Umani. Scopo principale della CLI è quello di promuovere in tutto il Paese "la protezione dei diritti dell'individuo, in particolare il diritto all'intimità, nei confronti delle tecnologie informatiche e della comunicazione, cercando di sensibilizzare l'opinione pubblica sull'importanza di questi temi per lo sviluppo e il rafforzamento della democrazia in una società tecnologica".

Anzitutto, la legge spagnola si distingue dalla legge 675/96 con riguardo al suo oggetto e al suo ambito di applicazione. La legge organica, infatti, garantisce e protegge, rispetto al trattamento di dati personali "le libertà pubbliche e i diritti fondamentali delle persone fisiche, con particolare riguardo all'onore e l'intimità personale e familiare". Pertanto, la legge non trova applicazione per le persone giuridiche, a differenza di quella italiana, il cui articolo 1 la dichiara espressamente applicabile anche nei confronti "delle persone giuridiche e di ogni altro ente o associazione".

Con riguardo al proprio ambito di applicazione, mentre la legge italiana disciplina i trattamenti effettuati sul territorio italiano, la legge spagnola, oltre ad applicarsi ai trattamenti di dati effettuati sul territorio nazionale, specifica che essa troverà applicazione anche quando il responsabile del trattamento si trovi fuori del territorio spagnolo ma, in base alle norme di diritto internazionale privato, gli si debba applicare la legge spagnola ovvero quando il responsabile si trovi fuori del territorio europeo e utilizzi per il trattamento mezzi situati in Spagna, salvo che tali mezzi siano utilizzati esclusivamente in via transitoria. Si noti che per "responsabile", secondo la legge spagnola, si intende la figura corrispondente al nostro "titolare", vale a dire il soggetto cui competono le decisioni relative alle finalità, contenuto e uso del trattamento - anche, se come vedremo, poiché la legge spagnola introduce anche il concetto di archivio, colui che crea l'archivio, può non coincidere con il responsabile così inteso. L'"incaricato" spagnolo, d'altra parte, corrisponde al "responsabile" italiano, cioè colui che effettua il trattamento per conto del titolare. Sono esclusi dall'ambito di applicazione della legge: gli archivi personali o domestici, gli archivi sottoposti a segreto di stato, gli archivi realizzati per investigazioni sul terrorismo e sulla criminalità organizzata.

Quanto ai principi generali, analogamente a quanto previsto dalla normativa italiana, i dati devono essere adeguati, pertinenti e non eccedere le finalità del trattamento, il quale non potrà essere effettuato per finalità diverse da quelle dichiarate al momento della raccolta. Anche secondo la legge spagnola, è necessario fornire all'interessato alcune informazioni al momento della raccolta dei dati, in particolare sull'esistenza di un archivio che ne contiene i dati personali, sulla natura obbligatoria o facoltativa della comunicazione dei propri dati e sulle conseguenze di un eventuale rifiuto, sulla possibilità di esercitare i propri diritti (di accesso, rettifica, cancellazione e opposizione), sulle generalità del responsabile.

Il trattamento di dati personali potrà essere effettuato solo con il consenso "inequivoco" dell'interessato, salvo che la legge disponga diversamente. E la stessa legge organica introduce una serie di eccezioni, simili a quelle previste dalla legge italiana. Inoltre, il consenso può essere in qualsiasi momento revocato, in presenza di una giusta causa.

Vengono considerati "dati sensibili" i dati personali che rivelano le convinzioni ideologiche, l'appartenenza sindacale, religiosa o filosofica dell'interessato. Per il trattamento di questi dati la legge organica richiede il consenso espresso e scritto dell'interessato. I dati riguardanti l'origine razziale, la salute, la vita sessuale potranno essere oggetto di trattamento con il consenso espresso dell'interessato ovvero quando, per ragioni di interesse generale, una disposizione di legge le consenta.

Per quanto riguarda il profilo della sicurezza, la legge organica impone al responsabile l'obbligo di adottare le misure necessarie, tenendo conto dello stato della tecnologia, la natura dei dati e i rischi a cui sono esposti. Inoltre, la legge spagnola sancisce l'obbligo del segreto professionale a carico del responsabile e di chiunque intervenga in una qualsiasi fase del trattamento.
Quanto alla comunicazione dei dati personali, questa potrà essere effettuata solo con il consenso dell'interessato, salve alcune eccezioni (previsione di legge, dati accessibili al pubblico, comunicazione alle autorità fiscali o giudiziarie, o alle amministrazioni pubbliche per fini statistici, storici, o scientifici, dati sanitari da comunicare per fronteggiare una urgenza o per realizzare studi). La legge organica sancisce la nullità di detto consenso nel caso in cui l'interessato non sia stato messo nelle condizioni di conoscere le finalità del trattamento o il tipo di attività nel cui ambito avverrà la comunicazione. Anche in questo caso il consenso è revocabile.

III. Archivi pubblici e privati nella legislazione spagnola

Anche la legislazione spagnola prevede una disciplina differenziata per gli archivi pubblici e per quelli privati.
Con riguardo agli archivi di titolarità pubblica, la loro creazione, modifica o soppressione può avvenire solo in base ad una disposizione di legge che indichi chiaramente le finalità, gli interessati i cui dati personali saranno raccolti, il procedimento di raccolta e la struttura dell'archivio, eventuali cessioni di dati, l'organo responsabile, le modalità per l'esercizio dei diritti dell'interessato, le misure di sicurezza adottate. Ci sono numerose eccezioni a favore delle amministrazioni pubbliche: a) i dati possono essere comunicati ad altre amministrazioni quando lo dispone una norma di legge; b) la polizia può effettuare trattamenti di dati sensibili in base al criterio della "necessità delle indagini in corso"; c) in base allo stesso criterio è possibile escludere il diritto di accesso, rettifica, cancellazione, come anche nel caso in cui l'accesso rappresenti un ostacolo all'adempimento di obblighi fiscali o quando l'interessato sia oggetto di attività ispettiva; d) è possibile non rendere l'informativa all'interessato al momento della raccolta quando ciò possa ostacolare o impedire le funzioni di controllo nel caso di illeciti amministrativi.

Quanto agli archivi di titolarità privata, anche la legge spagnola introduce l'obbligo a carico di chi crea un archivio di dati personali (che dunque sembra potere essere persona diversa dal responsabile) di notificarlo alla Agenzia per la protezione dei dati (APD). Si noti come la normativa spagnola, pur disciplinando il "trattamento" di dati personali, in moltissime occasioni ha come oggetto non il trattamento, ma l'archivio di dati personali. Da questo punto di vista, la legge spagnola si distingue da quella italiana, secondo la quale è il trattamento ad essere oggetto di notifica, autorizzazione, esenzione, mai l'archivio o la banca dati, di cui si può parlare solo in relazione ai "trattamenti" dei dati ivi contenuti. Forse l'approccio spagnolo potrà sembrare meno coerente, ma, dal punto di vista pratico, è più facile collegare un obbligo come quello della notifica, ad esempio, alla creazione dell'archivio piuttosto che ai trattamenti ad esso connessi, che possono essere anche innumerevoli e meno facili da controllare.

Nella sezione dedicata agli archivi privati, singole disposizioni si preoccupano di disciplinare in dettaglio alcune ipotesi particolari: a) la cessione di dati da parte del responsabile dell'archivio, che deve essere comunicata all'interessato; b) il trattamento di dati accessibili al pubblico in quanto facenti parte di liste pubbliche; c) gli archivi contenenti informazioni sulla solvenza patrimoniale e sul credito; d) i trattamenti effettuati a fini di marketing, che potrà essere effettuato solo su dati accessibili al pubblico o con il consenso dell'interessato. Un'altra peculiarità della legislazione spagnola è data dal cosiddetto Censo Promocional. Le aziende che operano nel settore del marketing diretto, della pubblicità, della vendita a distanza, possono chiedere all'Istituto nazionale di statistica una copia di tale lista, che è formata dai nomi, cognomi e indirizzi dei soggetti inseriti nelle liste elettorali. I cittadini hanno il diritto di farsi cancellare da questa lista. La lista potrà essere utilizzata per un anno, decorso il quale perderà la sua qualità di fonte accessibile al pubblico - che è una condizione essenziale per effettuare alcuni dei suindicati trattamenti senza ottenere il consenso dell'interessato.

Quanto al trasferimento di dati all'estero, la legge organica lo ammette solo nel caso in cui il paese destinatario dei dati preveda un livello di protezione equiparabile a quello previsto dalla stessa legge organica, a meno che non si ottenga l'autorizzazione da parte dell'APD, la quale provvederà a rilasciarla solo se saranno state ottenute adeguate garanzie. Ci sono alcune eccezioni a questo principio generale, la più rilevante delle quali è la circostanza che destinatario del trasferimento sia uno Stato membro dell'Unione europea ovvero uno Stato terzo, la cui legislazione sia stata ritenuta adeguata dalla Commissione europea.