Articulo 91 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión

1. El responsable del tratamiento y el encargado del tratamiento, teniendo en cuenta los últimos adelantos de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como la probabilidad y gravedad de los distintos riesgos que plantee el tratamiento para los derechos y libertades de las personas físicas, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad que corresponda según los riesgos, en particular en lo que se refiere al tratamiento de categorías especiales de datos personales operativos.

2. En relación con el tratamiento automatizado, el responsable del tratamiento y el encargado del tratamiento, tras una evaluación de los riesgos, aplicarán medidas destinadas a:

a) denegar a personas no autorizadas el acceso a los equipamientos utilizados para el tratamiento de los datos («control de acceso a los equipamientos»);

b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados sin autorización («control de los soportes de datos»);

c) impedir la introducción no autorizada de datos personales operativos y la inspección, modificación o supresión no autorizadas de datos personales operativos conservados («control de la conservación»);

d) impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de comunicación de datos («control de los usuarios»);

e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales operativos para los que han sido autorizadas («control del acceso a los datos»);

f) garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a disposición de qué organismos pueden ponerse los datos personales operativos mediante la comunicación de datos («control de la transmisión»);

g) garantizar que pueda verificarse y comprobarse a posteriori qué datos personales operativos se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos («control de la introducción»);

h) impedir que, en el momento de la transmisión de datos personales operativos o durante el transporte de soportes de datos, los datos personales operativos puedan ser leídos, copiados, modificados o suprimidos sin autorización («control del transporte»);

i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción («restablecimiento»);

j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados («fiabilidad») y que los datos personales operativos almacenados no se degraden por fallos de funcionamiento del sistema («integridad»).