I. Disposiciones generales. JEFATURA DEL ESTADO. Datos de carácter personal. (BOE-A-2021-8806)
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
50 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 27 de mayo de 2021
Sec. I. Pág. 64108
seguridad que, con carácter general, deberá ser notificada al interesado, salvo en
supuestos expresamente previstos en la ley.
El delegado de protección de datos se configura como el órgano o figura de
asesoramiento y supervisión de los responsables de protección de datos, que podrá ser
único para varias autoridades competentes y cuya designación será obligatoria salvo en
relación con los tratamientos de datos con fines jurisdiccionales. En el caso de que se
dispongan tratamientos que queden bajo distintos ámbitos de aplicación, con el fin de
evitar disfunciones en las organizaciones de las autoridades competentes, se establece
que la figura del delegado de protección de datos será única para todos ellos.
El capítulo V regula las transferencias de datos personales realizadas por las
autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea
o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que
no pertenezca a la Unión Europea u otra organización internacional y se establecen las
condiciones que deberán cumplirse para que estas sean lícitas.
Así, con el fin de garantizar que no se menoscabe el nivel de protección de las
personas físicas previsto en esta Ley Orgánica, la transferencia respetará ciertas
condiciones previstas en la misma. De este modo, sólo deben realizarse cuando sean
necesarias para los fines de esta Ley Orgánica y cuando el responsable del tratamiento en
el tercer país u organización internacional sea autoridad competente en relación a dichos
fines.
Asimismo, cuando el dato se transfiere a un tercer país o a una organización
internacional, la autoridad competente del Estado miembro en el que se obtuvo el dato,
debe autorizar previamente esta transferencia y las ulteriores que puedan tener lugar a
otro tercer país o a una organización internacional. En cuanto al tercer país u organización
internacional destinatario de la trasferencia, deberá ser objeto de evaluación por la
Comisión Europea a la vista de su nivel de protección de datos o, en caso de ausencia de
decisión, debe entenderse por el responsable del tratamiento que ofrece garantías
adecuadas. Sólo por las causas excepcionales previstas en esta Ley Orgánica se podrán
autorizar transferencias fuera de estos supuestos. Este capítulo finaliza con la regulación
de la transferencia internacional de datos personales a destinatarios que, no siendo
autoridades competentes, están establecidos en terceros países.
El capítulo VI, relativo a las autoridades de protección de datos, dispone que dichas
autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas
de Protección de Datos, en sus respectivos ámbitos competenciales. Asimismo, la Ley
Orgánica recoge sus potestades, funciones y la asistencia entre autoridades de protección
de datos de los Estados miembros. Se remite en lo restante a la normativa que les resulte
de aplicación.
El capítulo VII prevé que los procedimientos de reclamación que se planteen ante las
autoridades de protección de datos se rijan por lo establecido en la Ley Orgánica 3/2018,
de 5 de diciembre, o, en su caso, por la normativa reguladora de la autoridad de protección
de datos correspondiente. Se refiere a aquellos supuestos en que los responsables o
encargados del tratamiento, o de la autoridad de protección de datos, en su caso,
incumplan esta Ley Orgánica y generen un daño o lesión en los bienes o derechos del
interesado.
Este capítulo, además, aborda la responsabilidad de los responsables o encargados
del tratamiento o de la autoridad de protección de datos, en su caso, cuando incumplan
esta Ley Orgánica y se genere un daño o lesión en los bienes o derechos de un interesado.
De igual modo, se detalla la forma de ejercer el derecho a la tutela judicial efectiva ante la
jurisdicción contencioso-administrativa contra las decisiones de una autoridad de
protección de datos que puedan entenderse que conciernen a los interesados.
Finalmente, el capítulo VIII regula el régimen sancionador específico aplicable ante
incumplimientos de las obligaciones previstas en esta Ley Orgánica. Se definen los sujetos
sobre los que recaerá la responsabilidad por las infracciones cometidas. Se determinan las
reglas del concurso de normas para resolver los casos en los que un hecho pueda ser
calificado con arreglo a dos o más de ellas, al tiempo que se tipifican las infracciones, que,
cve: BOE-A-2021-8806
Verificable en https://www.boe.es
Núm. 126
Jueves 27 de mayo de 2021
Sec. I. Pág. 64108
seguridad que, con carácter general, deberá ser notificada al interesado, salvo en
supuestos expresamente previstos en la ley.
El delegado de protección de datos se configura como el órgano o figura de
asesoramiento y supervisión de los responsables de protección de datos, que podrá ser
único para varias autoridades competentes y cuya designación será obligatoria salvo en
relación con los tratamientos de datos con fines jurisdiccionales. En el caso de que se
dispongan tratamientos que queden bajo distintos ámbitos de aplicación, con el fin de
evitar disfunciones en las organizaciones de las autoridades competentes, se establece
que la figura del delegado de protección de datos será única para todos ellos.
El capítulo V regula las transferencias de datos personales realizadas por las
autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea
o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que
no pertenezca a la Unión Europea u otra organización internacional y se establecen las
condiciones que deberán cumplirse para que estas sean lícitas.
Así, con el fin de garantizar que no se menoscabe el nivel de protección de las
personas físicas previsto en esta Ley Orgánica, la transferencia respetará ciertas
condiciones previstas en la misma. De este modo, sólo deben realizarse cuando sean
necesarias para los fines de esta Ley Orgánica y cuando el responsable del tratamiento en
el tercer país u organización internacional sea autoridad competente en relación a dichos
fines.
Asimismo, cuando el dato se transfiere a un tercer país o a una organización
internacional, la autoridad competente del Estado miembro en el que se obtuvo el dato,
debe autorizar previamente esta transferencia y las ulteriores que puedan tener lugar a
otro tercer país o a una organización internacional. En cuanto al tercer país u organización
internacional destinatario de la trasferencia, deberá ser objeto de evaluación por la
Comisión Europea a la vista de su nivel de protección de datos o, en caso de ausencia de
decisión, debe entenderse por el responsable del tratamiento que ofrece garantías
adecuadas. Sólo por las causas excepcionales previstas en esta Ley Orgánica se podrán
autorizar transferencias fuera de estos supuestos. Este capítulo finaliza con la regulación
de la transferencia internacional de datos personales a destinatarios que, no siendo
autoridades competentes, están establecidos en terceros países.
El capítulo VI, relativo a las autoridades de protección de datos, dispone que dichas
autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas
de Protección de Datos, en sus respectivos ámbitos competenciales. Asimismo, la Ley
Orgánica recoge sus potestades, funciones y la asistencia entre autoridades de protección
de datos de los Estados miembros. Se remite en lo restante a la normativa que les resulte
de aplicación.
El capítulo VII prevé que los procedimientos de reclamación que se planteen ante las
autoridades de protección de datos se rijan por lo establecido en la Ley Orgánica 3/2018,
de 5 de diciembre, o, en su caso, por la normativa reguladora de la autoridad de protección
de datos correspondiente. Se refiere a aquellos supuestos en que los responsables o
encargados del tratamiento, o de la autoridad de protección de datos, en su caso,
incumplan esta Ley Orgánica y generen un daño o lesión en los bienes o derechos del
interesado.
Este capítulo, además, aborda la responsabilidad de los responsables o encargados
del tratamiento o de la autoridad de protección de datos, en su caso, cuando incumplan
esta Ley Orgánica y se genere un daño o lesión en los bienes o derechos de un interesado.
De igual modo, se detalla la forma de ejercer el derecho a la tutela judicial efectiva ante la
jurisdicción contencioso-administrativa contra las decisiones de una autoridad de
protección de datos que puedan entenderse que conciernen a los interesados.
Finalmente, el capítulo VIII regula el régimen sancionador específico aplicable ante
incumplimientos de las obligaciones previstas en esta Ley Orgánica. Se definen los sujetos
sobre los que recaerá la responsabilidad por las infracciones cometidas. Se determinan las
reglas del concurso de normas para resolver los casos en los que un hecho pueda ser
calificado con arreglo a dos o más de ellas, al tiempo que se tipifican las infracciones, que,
cve: BOE-A-2021-8806
Verificable en https://www.boe.es
Núm. 126
