La formulación de la Ley Orgánica 5/1992, en adelante LORTAD, fue consecuencia del desarrollo del artículo 18.4 de la Constitución Española que prevé limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos  y el legítimo ejercicio de sus derechos.

            La LORTAD tenía como ámbito de aplicación los datos de carácter personal que figuraban en ficheros automatizados de los sectores público y privado y  toda modalidad de uso posterior, incluso no automatizado, de datos de carácter personal que estuvieren registrados en soporte físico susceptible de tratamiento automatizado.

            En cuanto a la calidad de los datos, se establecía la necesidad de que los datos recogidos fueran adecuados, pertinentes y no excesivos respecto al ámbito y la finalidad para la que fueron recogidos. Los datos debían responder a la situación real del afectado y ser cancelados cuando terminara la finalidad para la que fueron recogidos.

            En cuanto al derecho a la información, establecía, principalmente, la obligación de informar al interesado de:

-         La existencia del fichero.

-         Finalidad del tratamiento.

-         Cesionario.

-         Identidad y dirección del responsable del tratamiento.

-         Posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.

            En cuanto al consentimiento, se establecía como regla general el consentimiento previo, para realizar el tratamiento automatizado de los datos. La ley recogía  como excepciones al consentimiento que los datos se obtuvieran de fuentes accesibles al público, en el ejercicio de funciones propias de las Administraciones Públicas en el ámbito de sus competencias o en virtud  de una relación contractual.

            En caso de tratamiento de datos sensibles (ideología, creencias religiosas, raza, salud o vida sexual), se requería consentimiento expreso del afectado.

            En cuanto a la seguridad de los datos, se establecía la obligación para el responsable del fichero de adoptar las medidas de índole técnica y organizativas necesarias para garantizar  la seguridad de los datos, evitando su alteración, pérdida, tratamiento o acceso no autorizado, remitiéndose a la vía reglamentaria  para el posterior desarrollo de las medidas de seguridad.

            En cuanto al deber de secreto, establecía la obligación del secreto profesional para todas aquellas personas que intervinieran en cualquier fase del tratamiento.

            En cuanto a las cesiones de datos, establecía  como regla general la necesidad de consentimiento del interesado. Excepcionalmente autorizaba las cesiones de datos aún sin consentimiento del interesado cuando:

-         Una Ley lo hubiere autorizado.

-         Los datos fueran obtenidos de fuentes accesibles al público.

-         Que el cesionario fuera el Defensor del Pueblo o la Administración de Justicia.

-         Que la cesión se realizara entre  administraciones públicas, cuando ésta hubiera sido prevista  en la disposición de creación del fichero  o por disposición posterior de igual o superior rango que regule su uso.