El Código Penal establece en su artículo 197, entre otras, "penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado".
Iguales penas "se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero".
En el caso del Hospital de Inca, la presunta filtración de listados de pacientes podría vulnerar la ley de la Salud de las Illes Balears, que reza: "El derecho a la intimidad del paciente se concreta en el respeto a la confidencialidad de los datos que hacen referencia a su salud y a la asistencia o al tratamiento. Las personas que no estén autorizadas debidamente no pueden acceder a estos datos".
Otras leyes afectadas son la general de Sanidad y la normativa orgánica de Protección de datos de carácter personal.
