En resumen, todas las empresas deberán: 

Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos. 

Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD: 

• Principio del consentimiento del afectado. 
• Principio de información al afectado. 
• Principio de calidad de los datos. 

Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad. 

Como aspectos básicos se requiere: 

• Disponer de un Documento de Seguridad. 
• Definir e implantar los Procedimientos requeridos. 
• Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto). 
• Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales. 
• Cumplir con las Medidas de Seguridad según el tipo o nivel de datos disponga. Determinadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.