Primero, un usuario no va a mandar sus datos si no es por HTTPS, ya no es que lo diga la ley, lo dice la lógica, porque sino cualquier cutre-hacker te podría sniffar la red y pillar la información.

A nivel de ley, el usuario tiene derecho a acceder a esa información, rectificarla y cancelarla. La información ha de estar protegida, es decir, en su mayor medida intenta tener casi todos los campos encriptados (el mail y alguno más no es necesario).

Al menos es, por encima, las medidas que tomamos donde yo trabajo.