La aplicación de la LOPD, como muchas de las leyes, se encuentra con el inconveniente de que las personas responsables de aplicarla, en muchas ocasiones, no saben cómo hacerlo o que datos son los que están sujetos a ella. La LOPD establece que:

"Será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado".

Para descifrar el párrafo anterior se pueden establecer los siguientes criterios:

• Se establece como dato personal cualquier tipo de información que identifique a una persona (DNI, fotografía, nombre).
• Se denomina fichero asociado a una persona al conjunto de datos personales de la misma, en cualquier formato.
• Se considera tratamiento, a cualquier acción que se realice con los datos.

Por tanto, se podría decir que todos los ficheros que contengan datos personales están sujetos a la LOPD, en cualquier formato posible.

Cuando desde cualquier organización se recogen datos de los usuarios (encuestas, registros, matrículas), el usuario debe dar su consentimiento y debe tener conocimiento de quién recoge esos datos y con qué fin. El usuario podrá revocar el consentimiento si le parece oportuno y el responsable de los datos está obligado a seguir una serie de normas para tratar dichos ficheros personales, entre ellas, la notificación de dichos ficheros a la AGPD. Para el tratamiento de estos datos se establecen tres niveles de seguridad, dependiendo del tipo de dato:

Básico: datos personales como nombre, apellidos y teléfono.

Medio: datos de información tributaria o de comisión de delitos.

Alto: datos relativos a la ideología, religión o raza.

El tratamiento inadecuado de los datos puede conllevar sanciones desde los 600 hasta los 600.000 euros, según se especifica en el artículo 45 de la LOPD.