La protecció de dades personals és un dret fonamental recollit en l'article 18.4 de la Constitució Espanyola, on disposa que la llei limitarà l'ús de la informàtica per garantir l'honor i la intimitat personal i familiar dels ciutadans, així com en el seu article 10, que reconeix el dret a la dignitat de la persona.
Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades). Conegut també per les seves sigles RGPD.
Als centres i organitzacions sanitàries ha d'existir documentació on s'informa sobre el tractament de les dades personals i de l'existència de fitxers, si els hi hagués, amb dades personals.
En relació amb les dades de salut, el menor d'edat major de 14 anys pot exercir per si solament el dret d'accés a la seva història clínica, però no oposar-se al fet que ho facin els seus pares o tutors.
Els centres i organitzacions sanitàries, així com qualsevol professional sanitari que tingui un exercici individual (consulta) facilitaran l'accés a la història clínica de les persones mortes que hagin estat pacients seus als seus familiars, tret que la persona morta l'hagués prohibit expressament i així es pugui acreditar. En qualsevol cas, no s'hauria de facilitar informació de la persona morta que afecti la seva intimitat ni a les anotacions subjectives dels professionals, ni aquelles anotacions que puguin perjudicar a tercers. Tret que existeixi un requeriment judicial, el dret d'accés a la història clínica no inclou la identificació dels professionals sanitaris que accedeixin a la història.