El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (Reglamento general de protección de datos, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), establecen el marco legal de referencia que desarrolla el derecho fundamental a la protección de datos personales. Queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sin perjuicio de lo previsto en la disposición adicional decimocuarta de la LOPDGDD, y siguen vigentes las disposiciones de su Reglamento, aprobado por Real Decreto 1720/2007, de 21 de diciembre, que no contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD y la LOPDGDD.
Para el tratamiento de datos personales relativos a condenas e infracciones penales, la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales constituye la norma de referencia por la que se rige el tratamiento de este tipo de datos. Dicha Ley Orgánica traspone a nuestro ordenamiento jurídico la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativa a esta misma materia.
En materia de seguridad del tratamiento, resulta de aplicación, en virtud de la disposición adicional primera de la LOPDGDD, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y, en el ámbito ministerial, la Política de Seguridad de la Información aprobada por la Orden HFP/873/2021, de 29 de julio.