El Parlamento Vasco aprueba la ley de la Autoridad Vasca de Protección de Datos

22-01-2024 — AR/2024/008

Esta ley de la comunidad autónoma del País Vasco adapta la organización y funcionamiento de la Autoridad Vasca de Protección de Datos (denominada antes como Agencia), determina las personas y entidades afectadas por ellas y detalla el régimen sancionador, como principales aspectos.

El Parlamento Vasco ha aprobado la Ley 16/2023,1 aplicable a la Comunidad Autónoma del País Vasco, sobre la  Autoridad Vasca de Protección de Datos.

La norma aparece en el Boletín Oficial del Estado del 18-1-2024 y en Boletín Oficial del País Vasco del 4-1-2024.

Resumimos los aspectos principales de esta ley de comunidad autónoma.

Objeto y ámbito de aplicación

El objeto de la ley, según recoge ella misma, es

adaptar la organización y funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Esta norma:

  1. regula:
    • el control y supervisión de los tratamientos de los datos de los que sean responsables los afectados por ella, y
    • el régimen jurídico de la Autoridad Vasca de Protección de Datos;
  2. es aplicable a los tratamientos de datos personales de los que sean responsables:
    • las entidades del sector público autonómico, foral y local del País Vasco, y
    • el sector privado cuando:
      • realicen funciones que sean competencia de las administraciones públicas de la comunidad autónoma;
      • los tratamientos los ejecuten entidades privadas que presten servicios públicos, mediante cualquier forma de gestión directa o indirecta, al considerarse esos servicios como prestados por la administración pública titular;
      • los realicen entidades privadas que presten servicios como  encargadas del tratamiento a las administraciones y entidades públicas de la comunidad autónoma.

La Autoridad Vasca de Protección de Datos

Esta ley redenomina como «Autoridad» la actual «Agencia» y reestructura su organización y funcionamiento (capítulo II).

Régimen sancionador

Aplicación del régimen sancionador

La ley determina que están sometidos al régimen sancionador:

  • los responsables y encargados de los tratamientos sometidos al ámbito de aplicación de la ley, y
  • las entidades acreditadas de supervisión de los códigos de conducta aprobados por la Autoridad Vasca de Protección de Datos y las entidades de certificación acreditadas por esa autoridad.

Hace una clara diferenciación entre el régimen sancionador aplicable al sector público y al sector privado.

  1. Para el sector público:
    • la Autoridad dictará resolución declarando la infracción y dirigiendo un apercibimiento al organismo afectado;
    • cuando las infracciones sean imputables a autoridades, altos cargos y personal directivo, y se acredite que no atendieron los informes técnicos o recomendaciones para el tratamiento, la resolución con la sanción incluirá una amonestación para el cargo responsable y se publicará en el Boletín Oficial del País Vasco.
  2. Para el sector privado:
    • la ley recoge diversas sanciones y medidas correctivas;
    • las multas irán en función de las circunstancias de cada caso individual y podrán alcanzar hasta un millón de euros.

Procedimiento sancionador

Está recogido en el capítulo IV y es aplicable a los siguientes procedimientos tramitados por la Autoridad Vasca de Protección de Datos:

  1. Cuando una persona afectada reclame que no se atendió adecuadamente su solicitud de ejercicio de los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679,2 y 21 a 23 de la Ley Orgánica 7/2021.3
  2. Los que busquen determinar la posible infracción de esta materia.
  3. Los procedimientos transfronterizos en los que la Autoridad Vasca de Protección de Datos tenga la condición de autoridad principal en el sentido recogido en el Reglamento (UE) 2016/679.

El inicio del procedimiento incluye la admisión o no a trámite de la reclamación y las actuaciones previas, y la norma contempla la decisión acerca de la procedencia o no de tramitar el procedimiento. Relacionado con esto,  enumera una lista de supuestos de inadmisión.

También prevé la norma que la Autoridad acuerde iniciar el procedimiento cuando se lo requiera otra autoridad de protección de datos (incluso de otro Estado), y hacerlo de oficio cuando conozca indicios de una infracción de la normativa de protección de datos personales.

Diferencia asimismo entre procedimientos por reclamaciones derivadas del ejercicio de derechos y por el ejercicio de la potestad sancionadora. Las principales diferencias son el tiempo de duración, menor para los primeros, y la potestad para medidas cautelares en los segundos.

Por último, regula las diferentes especialidades de procedimientos sobre tratamientos transfronterizos.

1 Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
3 Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información