I. Disposiciones generales. JEFATURA DEL ESTADO. Datos de carácter personal. (BOE-A-2021-8806)
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
50 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 27 de mayo de 2021
Sec. I. Pág. 64107
Habida cuenta de la vertiginosa evolución tecnológica y los medios electrónicos de los
que se dispone, se incluye la habilitación legal que facilite una respuesta rápida y adecuada
en el uso de estos datos, con el objetivo final de garantizar y proteger los derechos de los
interesados y de la ciudadanía en general.
Se prohíbe, igualmente, la adopción de decisiones individuales automatizadas, incluida
la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con
rango de ley del ordenamiento jurídico español o europeo.
El capítulo III, se divide en dos secciones y aborda los derechos de las personas.
Regula una serie de condiciones generales del ejercicio de los derechos, tales como la
obligación exigible al responsable de facilitar la información correspondiente a los derechos
del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se
establece la información que debe ponerse a disposición del interesado, siendo algunos
datos obligatorios, en todo caso, y otros en casos concretos.
Se reconocen los derechos de acceso, rectificación, supresión y limitación del
tratamiento. En virtud de tales derechos se faculta al interesado a conocer si se están
tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el
tratamiento; a obtener la rectificación de sus datos si estos resultaran inexactos; a
suprimirlos cuando fueran contrarios a lo dispuesto en los artículos 6, 11 o 13, o cuando
así lo requiera una obligación legal exigible al responsable; y a limitar el tratamiento,
cuando el interesado ponga en duda la exactitud de los datos o estos datos deban
conservarse únicamente a efectos probatorios.
Estos derechos podrán ser ejercidos por el interesado directamente o, en determinados
casos, a través de la autoridad de protección de datos.
Dispone esta Ley Orgánica que estos derechos pueden ser restringidos por ciertas
causas tasadas, como cuando sea necesario para evitar que se obstaculice una
investigación o se ponga en peligro la seguridad pública o la seguridad nacional.
Se establece, en su sección segunda, un régimen especial de derechos de los
interesados en el marco de investigaciones y procesos penales.
El capítulo IV recoge las obligaciones y responsabilidades de los responsables y
encargados de protección de datos, las medidas de seguridad y la figura del delegado de
protección de datos, a lo largo de tres secciones. El responsable del tratamiento, teniendo
en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los
niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las
medidas técnicas y organizativas apropiadas.
El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable,
debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.
Todo responsable y encargado del tratamiento deberá conservar un registro de
actividades de tratamiento, con datos identificativos, tales como los datos de contacto del
responsable, los fines o las categorías de interesados, y un registro de operaciones, pieza
angular de este sistema e instrumento básico para acreditar el cumplimiento de varios de
los principios de tratamiento, que comprenderá la recogida, la alteración, las consultas y
las transferencias de los datos personales entre otras operaciones. Asimismo, están
obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación
vigente.
Se establecen ciertas obligaciones que responden a un nuevo modelo de
responsabilidad activa que exige una valoración previa del riesgo que pudiera generar el
tratamiento de los datos de carácter personal para los interesados, para, a partir de dicha
valoración, adoptar las medidas que procedan.
Se presta una atención detallada a la seguridad del tratamiento, regulándose alguna
de las medidas de seguridad que se aplicarán, si bien solo se dispone como obligatoria la
puesta en marcha del citado registro de operaciones como medida técnica y organizativa,
siendo las demás las que el responsable determine como las más adecuadas para lograr
el control que se le solicita en virtud del tipo de tratamiento que se esté llevando a cabo y
del nivel de riesgo que se estime, tras el correspondiente análisis. Se impone, asimismo,
el deber de notificación a la autoridad de protección de datos de cualquier violación de la
cve: BOE-A-2021-8806
Verificable en https://www.boe.es
Núm. 126
Jueves 27 de mayo de 2021
Sec. I. Pág. 64107
Habida cuenta de la vertiginosa evolución tecnológica y los medios electrónicos de los
que se dispone, se incluye la habilitación legal que facilite una respuesta rápida y adecuada
en el uso de estos datos, con el objetivo final de garantizar y proteger los derechos de los
interesados y de la ciudadanía en general.
Se prohíbe, igualmente, la adopción de decisiones individuales automatizadas, incluida
la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con
rango de ley del ordenamiento jurídico español o europeo.
El capítulo III, se divide en dos secciones y aborda los derechos de las personas.
Regula una serie de condiciones generales del ejercicio de los derechos, tales como la
obligación exigible al responsable de facilitar la información correspondiente a los derechos
del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se
establece la información que debe ponerse a disposición del interesado, siendo algunos
datos obligatorios, en todo caso, y otros en casos concretos.
Se reconocen los derechos de acceso, rectificación, supresión y limitación del
tratamiento. En virtud de tales derechos se faculta al interesado a conocer si se están
tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el
tratamiento; a obtener la rectificación de sus datos si estos resultaran inexactos; a
suprimirlos cuando fueran contrarios a lo dispuesto en los artículos 6, 11 o 13, o cuando
así lo requiera una obligación legal exigible al responsable; y a limitar el tratamiento,
cuando el interesado ponga en duda la exactitud de los datos o estos datos deban
conservarse únicamente a efectos probatorios.
Estos derechos podrán ser ejercidos por el interesado directamente o, en determinados
casos, a través de la autoridad de protección de datos.
Dispone esta Ley Orgánica que estos derechos pueden ser restringidos por ciertas
causas tasadas, como cuando sea necesario para evitar que se obstaculice una
investigación o se ponga en peligro la seguridad pública o la seguridad nacional.
Se establece, en su sección segunda, un régimen especial de derechos de los
interesados en el marco de investigaciones y procesos penales.
El capítulo IV recoge las obligaciones y responsabilidades de los responsables y
encargados de protección de datos, las medidas de seguridad y la figura del delegado de
protección de datos, a lo largo de tres secciones. El responsable del tratamiento, teniendo
en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los
niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las
medidas técnicas y organizativas apropiadas.
El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable,
debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.
Todo responsable y encargado del tratamiento deberá conservar un registro de
actividades de tratamiento, con datos identificativos, tales como los datos de contacto del
responsable, los fines o las categorías de interesados, y un registro de operaciones, pieza
angular de este sistema e instrumento básico para acreditar el cumplimiento de varios de
los principios de tratamiento, que comprenderá la recogida, la alteración, las consultas y
las transferencias de los datos personales entre otras operaciones. Asimismo, están
obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación
vigente.
Se establecen ciertas obligaciones que responden a un nuevo modelo de
responsabilidad activa que exige una valoración previa del riesgo que pudiera generar el
tratamiento de los datos de carácter personal para los interesados, para, a partir de dicha
valoración, adoptar las medidas que procedan.
Se presta una atención detallada a la seguridad del tratamiento, regulándose alguna
de las medidas de seguridad que se aplicarán, si bien solo se dispone como obligatoria la
puesta en marcha del citado registro de operaciones como medida técnica y organizativa,
siendo las demás las que el responsable determine como las más adecuadas para lograr
el control que se le solicita en virtud del tipo de tratamiento que se esté llevando a cabo y
del nivel de riesgo que se estime, tras el correspondiente análisis. Se impone, asimismo,
el deber de notificación a la autoridad de protección de datos de cualquier violación de la
cve: BOE-A-2021-8806
Verificable en https://www.boe.es
Núm. 126
