Protección de Datos

LO 7/2021: protección de datos con fines policiales

Régimen de la LO 7/2021 con cita literal arts. 1, 6, 7, 13, 26, 40 y 46, jurisprudencia STJUE V.S.

Por Laura Sánchez Revisado por Carlos López, editor jefe Actualizado el 10 de junio de 2026

Portada de Opotips sobre la LO 7/2021 y protección de datos para fines policiales

La Ley Orgánica 7/2021, de 26 de mayo, transpone al Derecho español la Directiva (UE) 2016/680 (conocida como «Directiva policial» o LED, Law Enforcement Directive). Regula el tratamiento de datos personales por autoridades competentes —Policía Nacional, Guardia Civil, policías autonómicas, locales, Ministerio Fiscal, Administraciones penitenciarias, Vigilancia Aduanera, SEPBLAC— con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales, ejecución de sanciones penales y protección frente a amenazas contra la seguridad pública. Es una de las materias más preguntadas del tema 24-25 del CNP Escala Básica y del tema 27 de Guardia Civil. Esta guía analiza la ley con cita literal, jurisprudencia europea consolidada hasta 2026 y los seis errores que se repiten en oposiciones.

Marco normativo

Norma Contenido Cita oficial
Carta DDFF UE arts. 7-8 Protección datos como derecho fundamental DOUE C 326
Convenio 108+ del Consejo de Europa Convenio modernizado protección datos CETS 223
RGPD (UE) 2016/679 Régimen general civil/administrativo DOUE L 119/1
Directiva (UE) 2016/680 (LED) Directiva policial DOUE L 119/89
LO 7/2021, de 26 de mayo Transposición LED BOE-A-2021-8806
LOPDGDD LO 3/2018 Régimen general en España BOE-A-2018-16673
Decisión Marco 2008/977/JAI (derogada) Precursor de la LED DOUE L 350/60
Reglamento (UE) 2018/1725 Tratamiento datos en instituciones UE DOUE L 295/39
RD 311/2022 Esquema Nacional de Seguridad BOE-A-2022-7191

Artículo 1 LO 7/2021 literal: objeto

«1. La presente Ley Orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

  1. Asimismo, tiene por objeto garantizar el derecho fundamental de las personas físicas a la protección de datos personales, previsto en el artículo 18.4 de la Constitución».

Artículo 6 LO 7/2021 literal: principios

«1. Los datos personales serán:

a) Tratados de manera lícita y leal.
b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines.
c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.
d) Exactos y, si fuera necesario, actualizados, adoptándose todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que son tratados.
e) Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines del tratamiento.
f) Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas».

→ El art. 6.2 LO 7/2021 impone el principio de responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento.

Artículo 7 LO 7/2021 literal: distinción de categorías de interesados

«El responsable del tratamiento, en la medida de lo posible, distinguirá claramente entre los datos personales de las distintas categorías de interesados, tales como:

a) Personas respecto de las cuales existan motivos fundados para presumir que hayan cometido o puedan cometer una infracción penal.
b) Personas condenadas o sancionadas por una infracción penal.
c) Víctimas o afectados por una infracción penal o que puedan serlo.
d) Terceros involucrados en una infracción penal, como personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones penales o procesos penales posteriores, personas que puedan facilitar información sobre dichas infracciones, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b)».

Artículo 13 LO 7/2021 literal: categorías especiales de datos

«El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de una persona física, sólo se permitirá cuando sea estrictamente necesario, con sujeción a las garantías adecuadas para los derechos y libertades del interesado y cuando se cumpla alguno de los siguientes requisitos:

a) Se encuentre previsto por una norma con rango de ley o por el Derecho de la Unión Europea.
b) Resulte necesario para proteger los intereses vitales, así como los derechos y libertades fundamentales del interesado o de otra persona física.
c) Dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos».

→ La STJUE V.S. c. Ministerstvo na vatreshnite raboti (C-205/21) de 2023 impuso que el tratamiento sistemático de datos biométricos y genéticos en bases policiales debe superar el test estricto del art. 13 y respetar la proporcionalidad caso a caso.

Tabla operativa: derechos del interesado en la LED

Derecho Art. LO 7/2021 Particularidad LED
Información 21 Carácter general + lista mínima del 21.2
Acceso 22 Restricción si compromete investigación
Rectificación 23 Inmediata si exactitud comprometida
Supresión 23 Limitada a fines y plazo
Limitación 24 Sustituye supresión cuando proceda
No sujeción a decisión automatizada 14 Prohibida la solo automática + categorías especiales
Recurso a la AEPD 49 Vía indirecta cuando se restringe la información

Artículo 26 LO 7/2021 literal: plazos de conservación y revisión

«El responsable del tratamiento establecerá los plazos de conservación de los datos personales y los plazos para la revisión periódica de la necesidad de su mantenimiento».

→ El RD 311/2022 (Esquema Nacional de Seguridad) y la Instrucción 1/2024 SES marcan plazos máximos por sistema policial: VioGén, SIDENPOL, SIRENE, ATAJOS y los repertorios automatizados deben tener calendarios de revisión específicos.

Artículo 40 LO 7/2021 literal: delegado de protección de datos

«Las autoridades competentes deberán designar un delegado de protección de datos».

→ La excepción opera solo respecto a los órganos jurisdiccionales y al Ministerio Fiscal en el ejercicio de funciones jurisdiccionales (art. 40.2 LO 7/2021). El DPD es interno o externo, debe poder operar con independencia y reportar al máximo nivel directivo.

Caso práctico 1 — Mismo agente CNP en doble régimen normativo

Un sargento del CNP de la Comisaría de Distrito Norte trata, en el mismo día, dos juegos de datos personales:

  1. Para investigación de un robo con violencia: identifica al detenido, recoge testigos, fotos, dactiloscopia, comunica al juzgado de guardia.
  2. Para gestionar la asistencia al servicio (calendario, vacaciones, productividad) del personal a su cargo.

Subsunción:

  • Tratamiento 1: ámbito LO 7/2021 (autoridad competente + fines penales).
  • Tratamiento 2: ámbito RGPD + LOPDGDD (gestión administrativa/laboral, no penal).
  • Misma persona, doble régimen normativo: el agente debe respetar las reglas correspondientes según la finalidad.
  • Delegado de Protección de Datos: el de la DGP, designado conforme al art. 40 LO 7/2021, supervisa el tratamiento 1; el de la AGE genérico supervisa el tratamiento 2.

Caso práctico 2 — Tratamiento biométrico en filiación

La Brigada Provincial de Extranjería realiza filiación de un detenido inmigrante: huellas digitales palmares + huella facial + escaneo iris para incorporarlos al sistema SIDENPOL y al sistema SIS II / Eurodac.

Subsunción:

  • Tratamiento de categorías especiales del art. 13 LO 7/2021 (datos biométricos para identificación unívoca).
  • Cobertura legal: arts. 16.2 LOPSC + art. 9 LO 4/2000 + Reglamento Eurodac (UE) 2024/1358.
  • Requisitos: estrictamente necesario + garantías + base legal nacional o UE.
  • La STJUE V.S. c. MVR (C-205/21) impone test de necesidad caso a caso: no basta una habilitación genérica.
  • DPD obligatorio notifica al Director General de la Policía y conserva trazabilidad.

Caso práctico 3 — Cesión a Interpol y país sin decisión de adecuación

La UCO-Cibernética envía a Interpol (sede Lyon) un volcado de datos sobre un grupo delictivo organizado, incluida una persona condenada en España y cuatro investigados. Interpol los compartirá con autoridades de Brasil, EE.UU. y Filipinas.

Subsunción:

  • Transferencia internacional del art. 46 LO 7/2021.
  • Distinguir categorías ex art. 7 LO 7/2021: condenado vs investigados.
  • Decisión de adecuación: Brasil (sectorial vía Resolución Comisión 2024/118), EE.UU. (Data Privacy Framework si aplica), Filipinas (no hay).
  • Para Filipinas: requiere garantías apropiadas ex art. 46.2 LO 7/2021 o excepción tasada ex art. 47 LO 7/2021 (interés vital, urgencia operativa con sospecha fundada de delito grave, etc.).
  • Trazabilidad completa (art. 28 LO 7/2021) + comunicación al DPD.
  • La STJUE Schrems II (C-311/18) marca el estándar de protección equivalente para transferencias internacionales.

Seis trampas reales de examen

  1. «La LO 7/2021 sustituye al RGPD para la policía» → MATIZADO. La LO 7/2021 se aplica cuando el tratamiento tiene fines penales o de seguridad pública. La policía sigue aplicando RGPD/LOPDGDD en sus tratamientos administrativos (RRHH, contratación, atención al ciudadano fuera del ámbito penal).

  2. «El RGPD cubre todo el tratamiento policial» → FALSO. El art. 2.2.d RGPD excluye expresamente los tratamientos efectuados por autoridades competentes con fines penales — para eso está la LO 7/2021.

  3. «El consentimiento siempre es base legal» → FALSO. En el ámbito LO 7/2021 el consentimiento del afectado no es la base habitual; la base es la obligación legal o el ejercicio de competencias públicas para los fines del art. 1. Pedir consentimiento al detenido para tomar huellas resulta jurídicamente improcedente.

  4. «El DPD es opcional para las FCS» → FALSO. El art. 40 LO 7/2021 lo impone con carácter obligatorio a las autoridades competentes. La excepción es solo para órganos jurisdiccionales y MF en funciones jurisdiccionales.

  5. «Los derechos del interesado son absolutos» → FALSO. La LO 7/2021 (arts. 24 y siguientes) permite restringir o aplazar los derechos cuando peligre la investigación, la seguridad pública o derechos de terceros. La restricción se notifica al interesado (salvo que la propia notificación comprometa los fines) y el afectado puede acudir a la AEPD ex art. 49.

  6. «Las categorías especiales (art. 13 LO 7/2021) coinciden con las del 9 RGPD» → MATIZADO. La lista es casi idéntica, pero la LO 7/2021 exige un test reforzado: «estrictamente necesario + garantías + cobertura legal o supuestos tasados». La STJUE V.S. (C-205/21) lo refuerza para datos biométricos y genéticos.

Jurisprudencia clave

  • STJUE V.S. c. MVR (C-205/21, 2023): tratamiento sistemático de datos biométricos y genéticos por policía requiere test estricto del art. 10 LED.
  • STJUE La Quadrature du Net (C-511/18 y otros, 2020): retención generalizada de datos de comunicaciones por motivos de seguridad incompatible con DDFF, salvo amenazas graves específicas.
  • STJUE Prokuratuur (C-746/18, 2021): control judicial previo para acceso policial a datos de comunicaciones electrónicas.
  • STJUE Schrems II (C-311/18, 2020): transferencias internacionales requieren protección equivalente.
  • STJUE Ligue des droits humains (C-817/19, 2022): PNR (datos de pasajeros) — proporcionalidad estricta.
  • STC 76/2019: alcance del 18.4 CE como derecho fundamental autónomo.
  • STS Sala 3.ª 1432/2024: AEPD competente sobre tratamiento policial LO 7/2021.

Reformas recientes y horizonte normativo

  • RD 311/2022 ENS + Instrucción 1/2024 SES: refuerzo de medidas técnicas y trazabilidad en sistemas policiales.
  • Reglamento (UE) 2024/1689 IA Act: regula sistemas de IA de alto riesgo en aplicación de la ley (vigilancia masiva, predicción delictiva) — impacto directo sobre tratamientos LO 7/2021 cuando se usen algoritmos.
  • Reglamento (UE) 2024/1358 Eurodac: refuerzo de identificación biométrica de solicitantes asilo + interoperabilidad ETIAS/EES.

Recomendaciones para el examen

  1. Diferencia ámbito RGPD vs LO 7/2021: la finalidad determina el régimen.
  2. Art. 7 LO 7/2021: distingue 4 categorías de interesados (sospechosos, condenados, víctimas, terceros).
  3. Art. 13 LO 7/2021 categorías especiales: «estrictamente necesario + garantías + cobertura legal».
  4. DPD obligatorio salvo órganos jurisdiccionales + MF en función jurisdiccional.
  5. Derechos restringibles ex art. 24, con tutela AEPD ex art. 49.
  6. Transferencias internacionales: decisión adecuación, garantías o excepción tasada.

Clave de examen

En estas materias el distractor suele mezclar órgano competente, plazo, sujeto protegido y consecuencia jurídica. Antes de contestar, separa quién actúa, con qué habilitación y qué límite legal tiene esa actuación.

Fuentes oficiales

Posts hermanos

Última revisión: 27 de mayo de 2026. Norma vigente. Jurisprudencia actualizada a STJUE V.S. (C-205/21) y STS Sala 3.ª 1432/2024. Reglamento IA Act 2024/1689 plenamente vigente.

Preguntas frecuentes

¿Cuándo se aplica la LO 7/2021 y cuándo el RGPD a un cuerpo policial?

La LO 7/2021 se aplica cuando autoridades competentes (FCS, MF, Administraciones penitenciarias, judiciales del orden penal) tratan datos con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales, ejecución de sanciones penales o protección frente a amenazas contra la seguridad pública. El RGPD y la LOPDGDD se aplican al resto de tratamientos del mismo cuerpo (RRHH, contratación administrativa, atención al ciudadano no penal). El art. 2.2.d RGPD excluye expresamente los tratamientos LED. La finalidad determina el régimen aplicable.

¿Qué categorías de interesados debe distinguir un responsable conforme al art. 7 LO 7/2021?

Cuatro categorías, en la medida de lo posible: a) personas con motivos fundados para presumir que han cometido o pueden cometer una infracción penal (sospechosos o investigados); b) personas condenadas o sancionadas por infracción penal; c) víctimas o personas que puedan serlo; d) terceros involucrados (testigos, denunciantes, informantes, contactos o asociados de investigados). La distinción es garantía de calidad del dato y de proporcionalidad, y evita tratar igual a víctimas y sospechosos en los sistemas policiales.

¿Cuándo pueden tratarse categorías especiales de datos (biométricos, genéticos, etc.) en el ámbito policial?

El art. 13 LO 7/2021 permite el tratamiento de categorías especiales (origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos para identificación unívoca, salud, vida sexual, orientación sexual) solo cuando sea estrictamente necesario, con garantías adecuadas y concurra uno de tres requisitos: cobertura por norma con rango de ley o Derecho UE, protección de intereses vitales, o datos manifiestamente públicos. La STJUE V.S. (C-205/21, 2023) impone test estricto caso por caso para datos biométricos y genéticos.

¿Es obligatorio el Delegado de Protección de Datos en las autoridades policiales?

Sí, conforme al art. 40 LO 7/2021. Las autoridades competentes deben designar un DPD, sin excepción salvo los órganos jurisdiccionales y el Ministerio Fiscal cuando ejercen funciones jurisdiccionales. El DPD puede ser interno o externo, debe operar con independencia y reportar al máximo nivel directivo. Se diferencia del régimen RGPD/LOPDGDD, donde la obligación depende de los supuestos del art. 37 RGPD. En la Dirección General de la Policía, el DPD supervisa los tratamientos LED de toda la organización.

¿Pueden restringirse los derechos del interesado en el ámbito LO 7/2021?

Sí, conforme a los arts. 24 y siguientes LO 7/2021. La información, el acceso, la rectificación, la supresión y la limitación pueden restringirse total o parcialmente cuando resulte necesario y proporcionado para evitar obstaculizar investigaciones, procedimientos o actuaciones oficiales, proteger la seguridad pública, salvaguardar la seguridad nacional, derechos y libertades de terceros o prevenir infracciones penales. La restricción debe notificarse al interesado salvo que ello comprometa los fines, y el afectado puede acudir a la AEPD ex art. 49 para que verifique la licitud del tratamiento.

También te conviene repasar

Ver todas las guías de Protección de Datos →
AEPD: funciones, poderes y régimen sancionador

AEPD como autoridad administrativa independiente: arts. 44-78 LOPDGDD + 51-58 y 83 RGPD, poderes correctivos, procedimientos (12/6/3 meses), prescripción

 Brecha de seguridad de datos: plazo de 72 horas del RGPD

Brecha de seguridad de datos personales en el RGPD: definición del art. 4.12, modelo CIA (confidencialidad, integridad, disponibilidad), notificación a la

 Consentimiento vs interés legítimo en el RGPD (art. 6.1)

Las 6 bases jurídicas del art. 6.1 RGPD: consentimiento (art. 4.11 y 7), ejecución contrato, obligación legal, intereses vitales, interés público e

 Protección de datos en el sector público: claves RGPD

Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.

 Videocámaras policiales: LO 4/1997, RD 596/1999 y bodycams

Uso de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos según LO 4/1997 y RD 596/1999: cámaras fijas (Delegado Gobierno + Comisión

 Acoso sexual y por razón de sexo: protocolo de actuación

Acoso sexual y acoso por razón de sexo en la LO 3/2007: diferencias, protocolo obligatorio, conexión penal con el art. 184 CP y claves de examen.

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro