Las entidades podrán tratar y mantener esos datos mientras subsista el incumplimiento, pero estableciéndose un plazo máximo de cinco años al cabo de los cuales, subsista o no el incumplimiento, deberán ser suprimidos.

La Disposición Adicional sexta de la Ley prohíbe la inclusión de los datos en esos ficheros cuando se trate de deudas cuyo importe principal (es decir, sin intereses ni penalizaciones) sea inferior a 50 Euros, aunque se habilita al Gobierno para actualizar esa cantidad mediante Real Decreto.

En contraposición al anterior modelo de basado en el control del cumplimiento, el actual establecido por la Ley y el Reglamento es el de responsabilidad activa, debiendo los responsables evaluar a priori los datos que desean tratar para a continuación adoptar las medidas de seguridad necesarias para el tratamiento a efectuar.

El Título IX regula el régimen sancionador por las infracciones a la Ley, determinando a los sujetos responsables y estableciendo un catálogo de infracciones clasificadas en muy graves, graves y leves.

La disposición final tercera de la Ley añadió un nuevo artículo cincuenta y ocho bis a la Ley Orgánica del Régimen Electoral General, que permitía a los partidos políticos, por considerarlo «amparado por el interés público», recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales siempre y cuando dichas actividades se realicen con «garantías adecuadas».

[5]​ Según algunos sectores, con esta práctica se hubiese legalizado el caso Cambridge Analytica en España.

[7]​[8]​ El partido político Unidos Podemos en su día anunció que presentaría un recurso de inconstitucionalidad contra dicho artículo por entender que resultaba contrario a los artículos 16 y 18 de la Constitución española, aunque finalmente no lo hizo.