電子取引を行うにあたり関係してくる可能性がある点は個人データ処理であり、それはこの種の取引を行う際に生じてくる。

1999年の機関法第15号は個人データ保護法であるが法人が公的な企業であれ私的企業であれその業務遂行上得た個人データを取り扱うことについて規定している。この法律により個人データを無差別に使用することは禁止され、法規定に違反する場合に罰金が科せられる。

この機関法は個人データに適用されるが、その定義は自然人に関する情報で個人が特定させれるものあるいは特定可能なもので、従い法人に関するデータはこの法律の対象にはならない。

個人データ保護の法規定は次の原則に基づいている：

- 利害関係者である自然人は自己に関する個人データの処理について事前に同意をする権利がある。但し、法律に認められている例外的な場合を除く。

- 特別に保護されたデータ（つまり、主義主張、労働組合、宗教、信条、人種、健康、性生活に関するもの）の処理は本人の明示の同意が必要である（特に最初の4つの場合は書面での同意が要求される）。

- 利害関係者である自然人は自分の個人データの一連の処理について情報を与えられなければならない。

- 個人データ処理の対象となるのはデータの収集目的と照らし合わせ関連性があり、適切で、過度でないものだけである。

- 個人データの第三者への伝達は本人の事前同意が必要である。但し、その伝達が法律に規定されている例外に当たる場合は除外される。

- 個人データの伝達が第三者に向けられている場合でその第三者が法律上に言う処理責任者である場合にはその業務が個人データへのアクセスを意味する故本人の同意は不要である。但し、その関係を法律上必要とされる一連の表示を盛り込んだ業務委託契約で規定する必要がある。

- 本人が自己の個人データにアクセスし、それを変更し、破棄し、処理に反対する権利が認められている。

- 個人データのファイルは事前に個人データ局に通知されなければならない。この機関はこの規定の遵守を監視する責任を負っている（www.agpd.es）。

同様に、1999年の勅令第994号を念頭に入れなければならない。この勅令は個人データを含む自動処理ファイルの安全性確保の手段に関する規則を決めたもので、それにより技術面組織面での対策を講じ自動処理ファイルの安全性を保証するものである。その対策は処理の対象となっている個人データの性格により異なってくる。

もうひとつ重要なことは個人データの国際的な移動を意味するデータ通信に関することである。それには個人データ保護局の事前の許可が必要になるが、あくまでそれは仕向け地がスペインの保護水準に相当するものを持っていない国の場合であり、その例外として一連のケース例えば本人がその伝達に明確に同意している場合等が挙げられている。その意味でEU加諸国は適切な保護水準を保証しており、その他の場合にはEU委員会の宣言あるいは個人データ保護局の当該国が適切な保護水準を持っているかどうかの決定が必要となってくる。