(Además de todos los que ya estaban obligados por el RGPD)
- Colegios profesionales.
- Centros docentes de todos los niveles, desde escuelas infantiles hasta la universidad.
- Empresas de telecomunicaciones y otros prestadores de servicios de la sociedad de la información (cuando elaboren a gran escala perfiles de los usuarios).
- Entidades bancarias y compañías de seguros.
- Compañías de energía, electricidad y gas.
- Responsables de ficheros de morosos.
- Responsables de los ficheros regulados por la ley de prevención del blanqueo de capitales (Ley 10/2010), que a su vez afecta a multitud de sectores diversos:
- Entidades de crédito, compañías de seguros y empresas de servicios de inversión.
- Instituciones de inversión colectiva, sociedades de inversión, fondos de pensiones, sociedades de capital-riesgo, sociedades de garantía recíproca.
- Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia. Intermediarios en la concesión de préstamos o créditos.
- Promotores inmobiliarios, APIs y agencias inmobiliarias.
- Auditores de cuentas, contables externos y asesores fiscales.
- Notarios y registradores.
- Abogados, procuradores u otros profesionales (cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines a una sociedad).
- Casinos de juego.
- Joyeros.
- Galerías de arte y anticuarios.
- Depósito, custodia o transporte de fondos o medios de pago.
- Loterías y otros juegos de azar.
- Fundaciones y asociaciones.
- Gestores de sistemas de pago y tarjetas de crédito.
- Agencias de publicidad (cuando elaboren perfiles de los usuarios).
- Centros sanitarios de cualquier tamaño y especialidad (excepto consultas individuales).
- Entidades que realicen informes comerciales de personas físicas.
- Operadores de juego online.
- Empresas de seguridad privada.
- Federaciones deportivas (cuando traten datos de menores de edad).