I. Disposiciones generales. JEFATURA DEL ESTADO. Datos de carácter personal. (BOE-A-2021-8806)
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
50 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 126

Jueves 27 de mayo de 2021

Sec. I. Pág. 64126

del tratamiento no haya identificado o mitigado suficientemente el peligro o el nivel de
riesgo. Asimismo, la autoridad de protección de datos podrá ejercer cualquiera de sus
potestades de investigación, corrección o consulta.
Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento
previsto. La autoridad de protección de datos informará al responsable y, en su caso, al
encargado acerca de la prórroga, en el plazo de un mes a partir de la recepción de la
solicitud de consulta, junto con los motivos de la dilación.
En caso de no contestar a la consulta en el plazo previsto, no operará la presunción
del carácter favorable del mismo.
Sección 2.ª
Artículo 37.

Seguridad de los datos personales

Seguridad del tratamiento.

a) En el control de acceso a los equipamientos, denegar el acceso a personas no
autorizadas a los equipamientos utilizados para el tratamiento.
b) En el control de los soportes de datos, impedir que estos puedan ser leídos,
copiados, modificados o cancelados por personas no autorizadas.
c) En el control del almacenamiento, impedir que se introduzcan sin autorización
datos personales, o que estos puedan inspeccionarse, modificarse o suprimirse sin
autorización.
d) En el control de los usuarios, impedir que los sistemas de tratamiento automatizado
puedan ser utilizados por personas no autorizadas por medio de instalaciones de
transmisión de datos.
e) En el control del acceso a los datos, garantizar que las personas autorizadas a
utilizar un sistema de tratamiento automatizado, sólo puedan tener acceso a los datos
personales para los que han sido autorizados.
f) En el control de la transmisión, garantizar que sea posible verificar y establecer a
qué organismos se han transmitido o pueden transmitirse, o a cuya disposición pueden
ponerse los datos personales mediante equipamientos de comunicación de datos.
g) En el control de la introducción, garantizar que pueda verificarse y constatarse, a
posteriori, qué datos personales se han introducido en los sistemas de tratamiento
automatizado, en qué momento y quién los ha introducido.
h) En el control del transporte, impedir que durante las transferencias de datos
personales o durante el transporte de soportes de datos, los datos personales puedan ser
leídos, copiados, modificados o suprimidos sin autorización.
i) En el control de restablecimiento, garantizar que los sistemas instalados puedan
restablecerse en caso de interrupción.
j) En el control de fiabilidad e integridad, garantizar que las funciones del sistema no
presenten defectos, que los errores de funcionamiento sean señalados y que los datos
personales almacenados no se degraden por fallos de funcionamiento del sistema.
Artículo 38. Notificación a la autoridad de protección de datos de una violación de la
seguridad de los datos personales.
1. Cualquier violación de la seguridad de los datos personales será notificada por el
responsable del tratamiento a la autoridad de protección de datos competente, a menos

cve: BOE-A-2021-8806
Verificable en https://www.boe.es

1. El responsable y el encargado del tratamiento, teniendo en cuenta el estado de la
técnica y los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del
tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas
físicas, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado, especialmente en lo relativo al tratamiento de las categorías de datos
personales a las que se refiere el artículo 13. En particular, deberán aplicar a los tratamientos
de datos personales las medidas incluidas en el Esquema Nacional de Seguridad.
2. Por lo que respecta al tratamiento automatizado, el responsable o encargado del
tratamiento, a raíz de una evaluación de los riesgos, pondrá en práctica medidas de control
con el siguiente propósito: