La legge 675/96 prevede che le disposizioni in essa contenute siano applicabili al trattamento di dati personali, come di seguito definito, da chiunque effettuato nel territorio dello Stato.
La legge si applica, dunque, al trattamento di dati svolto con o senza l'ausilio di mezzi elettronici, al trattamento effettuato in Italia di dati detenuti in Italia o all'estero, alle banche di dati pubbliche e alle banche di dati private.
Non rientra nel campo di applicazione della legge, se non limitatamente, il trattamento di dati personali effettuato da persone fisiche a fini esclusivamente personali, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione . È il caso, ad esempio, della rubrica personale, della quale non deve essere notificata la costituzione, ma che deve essere custodita conformemente alle disposizioni legislative in materia di sicurezza, come dispone l'articolo 3 della legge 675/96
[Articolo 3].
È prevista, inoltre, l'esclusione di particolari trattamenti dall'ambito di applicazione della legge, come, ad esempio, del trattamento dei dati coperti da segreto di Stato o del trattamento dei dati effettuato dagli uffici giudiziari.