📄 Texto legal
200
ok
Se hace saber a todos los ciudadanos y ciudadanas de Euskadi que el Parlamento Vasco ha aprobado la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
EXPOSICIÓN DE MOTIVOS
I
El marco normativo en materia de protección de datos personales ha sufrido una importante modificación como consecuencia de la aprobación y plena aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Comúnmente se denomina Reglamento General de Protección de Datos.
El Reglamento (UE) 2016/679 es una norma dotada de efecto directo pleno en los estados miembros, e introduce novedades fundamentales, tanto en la regulación sustantiva del derecho fundamental a la protección de datos, como en lo que afecta a la supervisión de dicho derecho por las denominadas autoridades de control, autoridades públicas independientes que cada Estado miembro establecerá con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento, y de facilitar la libre circulación de datos personales en la Unión. Desde la aprobación de las primeras normas reguladoras de la protección de datos personales en el Estado, su régimen de supervisión se ha materializado en la coexistencia de diversas autoridades de control, estatal y autonómicas, con ámbitos competenciales diferenciados.
A su vez, el Reglamento General de Protección de Datos establece un amplio elenco de funciones y potestades a desarrollar por las autoridades de control, que deberán estar dotadas de medios que garanticen adecuadamente su independencia, constituida como un principio esencial de garantía de la adecuada protección del derecho fundamental.
Con la finalidad de adaptar el derecho interno al reglamento, se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que dedica el capítulo II de su título VII a las denominadas autoridades autonómicas de protección de datos.
Más recientemente, y en transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, se aprobó la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Esta ley orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección y prevención frente a las amenazas contra la seguridad pública.
Teniendo en cuenta las consideraciones anteriores, se ha elaborado esta ley de protección de datos personales, que tiene por objeto adaptar la organización y funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Así pues, esta ley reemplaza el régimen contenido en la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, y en sus normas de desarrollo, en particular el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la citada Ley 2/2004, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.
En la elaboración de la ley se ha considerado que el régimen de los principios, derechos y obligaciones que configura el derecho fundamental a la protección de datos personales se encuentra suficientemente regulado con las disposiciones contenidas en el Reglamento General de Protección de Datos, completadas con las previstas en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, lo que hace innecesario adoptar adicionalmente ninguna disposición relacionada con el contenido sustantivo del derecho fundamental. En el mismo sentido, se ha considerado que ambas normas ya establecen un marco suficientemente claro de obligaciones que no precisa de ser completado por la norma autonómica, so pena de establecer un régimen especialmente burocrático de obligaciones para las administraciones y entidades sometidas a su ámbito de aplicación.
Teniendo en cuenta esta premisa, la ley se ha estructurado en torno a cuatro capítulos, siendo el primero únicamente expresivo de la delimitación del objeto y ámbito de aplicación de la ley. Los tres restantes capítulos regulan el régimen de la Autoridad Vasca de Protección de Datos, que reemplaza a la actual Agencia Vasca de Protección de Datos; el régimen sancionador al que se someten los responsables y encargados del tratamiento comprendidos en el ámbito de aplicación de la ley, y, por último, el procedimiento que se seguirá en los supuestos en los que la autoridad vasca deba tramitar una reclamación formulada por la persona interesada, o hacer uso de sus facultades de investigación y, en su caso, sanción, bien de oficio o bien por haberse solicitado su tramitación por otra autoridad de control, tanto del Estado como de otro Estado miembro, de conformidad con las normas de procedimiento establecidas en el Reglamento General de Protección de Datos.
II
Esta ley consta de cuarenta y dos artículos, estructurados en cuatro capítulos, tres disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y una disposición final.
El objeto de esta ley es adaptar la normativa autonómica vasca en materia de protección de datos al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, estableciendo, en particular, el régimen jurídico de la Autoridad Vasca de Protección de Datos.
La delimitación del ámbito de aplicación subjetivo de la ley se lleva a cabo a partir de la pertenencia al sector público de las entidades que tienen la condición de responsables del tratamiento o la vinculación del mencionado tratamiento con el ejercicio de potestades jurídico-públicas, a fin de regular la totalidad de los tratamientos de datos llevados a cabo por el denominado sector público.
En su ámbito de aplicación también se incluyen los tratamientos de los que sean responsables aquellas instituciones reguladas por el Estatuto de Autonomía, tales como el Parlamento Vasco, las juntas generales de los territorios históricos, el Tribunal Vasco de Cuentas Públicas y el Ararteko, así como las entidades creadas por ley del Parlamento Vasco y las autoridades administrativas independientes. Igualmente incluye a los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas generales de los territorios históricos y los grupos políticos municipales, así como a la Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del Sistema Universitario Vasco, así como los entes de ellas dependientes.
Así mismo, están sometidos al ámbito de competencia de la Autoridad Vasca de Protección de Datos la totalidad de los tratamientos de los que sean responsables las corporaciones de derecho público, representativas de intereses económicos y profesionales.
Por último, en relación con el sector privado, es preciso diferenciar tres supuestos de sometimiento a las disposiciones de la ley. En primer lugar, somete a su ámbito de aplicación a las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que sean competencia de las administraciones públicas que integran el sector público. En segundo lugar, quedan sometidas a lo dispuesto en la norma las entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios, al considerarse esos servicios como prestados por la administración titular de la competencia para su gestión. Por último, no debe olvidarse que existen entidades de derecho privado que prestan sus servicios como encargados del tratamiento a las administraciones y entidades del sector público. Estas entidades quedarán sometidas a la competencia de la Autoridad Vasca de Protección de Datos, al estar sujeta a esta última la actividad de la administración o entidad responsable del tratamiento.
Junto con el ámbito de aplicación subjetivo, en cuanto a los responsables o encargados cuya actividad queda sometida a la ley, es preciso igualmente delimitar los supuestos excluidos de su aplicación, quedando exclusivamente limitados a aquellos tratamientos referidos a personas fallecidas y los sometidos a la normativa sobre protección de materias clasificadas.
III
El capítulo II de la ley, estructurado en seis secciones, establece el régimen jurídico de la Autoridad Vasca de Protección de Datos, que sustituirá, como se indica en la disposición adicional segunda, a la actual Agencia Vasca de Protección de Datos. Se produce así un cambio esencial en la organización institucional en materia de protección de datos, que no solo afecta a la denominación de la Autoridad, sino también a su régimen jurídico, organización y competencias, desarrollando así el elenco establecido por el Reglamento (UE) 2016/679.
La sección 1.ª tiene por objeto establecer el régimen jurídico al que se somete la Autoridad Vasca de Protección de Datos, partiendo del requisito esencial de independencia con que se inviste a la autoridad de control para evitar que la injerencia de los poderes públicos afecte al adecuado cumplimiento de las funciones y potestades que tiene encomendadas. Esta independencia no solo implica el no sometimiento a instrucción alguna en el desempeño de sus competencias, sino que se materializa en la necesidad de que se la dote de los medios personales, materiales, técnicos y financieros necesarios para el cumplimiento efectivo de sus funciones.
En lo que afecta a las competencias de la Autoridad Vasca de Protección de Datos, en caso de que la doctrina emanada de ella en el ejercicio de sus funciones y potestades no pudiera ser accesible por la ciudadanía y por aquellas entidades sometidas a su competencia, el alcance del conocimiento del derecho fundamental a la protección de datos personales quedaría enormemente limitado, lo que implicaría una merma de las garantías que habrían de ser adoptadas para su protección. La ley es particularmente sensible a este necesario esfuerzo en materia de transparencia, estableciendo una serie de obligaciones adicionales a las legalmente establecidas en lo que respecta a sus obligaciones de publicidad activa.
En todo caso, la publicidad de sus resoluciones, dictámenes y documentos no puede ser ajena al propio derecho fundamental tutelado. Por este motivo, la ley prevé que, como ya es norma en otros ámbitos, como el de la publicidad de las resoluciones judiciales, se proceda, con carácter previo a llevarla a cabo, a la disociación de los datos personales que dichos documentos incorporen.
En la sección 2.ª se regulan los órganos de la Autoridad Vasca de Protección de Datos. Se opta por el mantenimiento del modelo unipersonal que ha demostrado su efectividad en los más de quince años de funcionamiento de la Agencia Vasca de Protección de Datos y que, además, se corresponde con el modelo existente en las restantes autoridades de protección de datos creadas en el Estado. Este órgano será asesorado por un consejo consultivo sin potestades ejecutivas, cuya opinión podrá ser recabada en todas las cuestiones que resulten relevantes para el adecuado ejercicio de sus competencias.
Se modifica la denominación del órgano ejecutivo de la Autoridad, que pasa a denominarse presidencia, clarificándose así su rango. Con la finalidad de reforzar su independencia, se diseña un nuevo procedimiento para su designación, en el que intervendrán el Poder ejecutivo y el legislativo. A su vez, se limitan los supuestos en que será posible el cese de quien ostente la presidencia de la Autoridad, exigiendo además la intervención del Parlamento Vasco en todos los que no se produzcan a petición propia o por la existencia de una condena penal.
El plazo de duración del mandato de la presidencia de la Autoridad se fija en cinco años, garantizándose así que no se produzca una coincidencia con la duración temporal de la legislatura, lo que sirve asimismo para reforzar la independencia de la institución y la necesidad de que concurra un consenso en su nombramiento.
Finalmente, se refuerza la consideración de la presidencia de la Autoridad, que será un alto cargo, asimilado al de las personas titulares de las viceconsejerías. No obstante, esta asimilación únicamente será aplicable a partir del primer nombramiento para la presidencia que tenga lugar con posterioridad a la entrada en vigor de la ley.
En la sección 3.ª se recalcan las competencias de investigación de la Autoridad, al ser estas las que requieren una mayor atención, en tanto permiten la adopción de medidas proactivas encaminadas a la protección del derecho y, en caso de que se haya producido su vulneración, de medidas de tipo reactivo, mediante el ejercicio de las potestades sancionadoras. Se reconoce el derecho de la Autoridad a ejercer las potestades de investigación, realizando a tal efecto inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, y en relación con cualesquiera tratamientos sometidos a su competencia, pudiendo incluso desarrollar planes de auditoría.
Al igual que en el ámbito de otras normas reguladoras de las potestades de investigación de las administraciones públicas, tales como el tributario, se establece un deber general de colaboración con la Autoridad, a la que deberán facilitarse los datos, informes, antecedentes y justificantes que fueren necesarios para llevar a cabo la actividad de investigación en el ámbito de sus competencias. En particular, se hace referencia al deber de colaboración de las haciendas forales. En todo caso, quedan excluidos los datos que fueran exclusivamente conservados por los operadores de telecomunicaciones para el cumplimiento de las obligaciones contenidas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Por su carácter novedoso, se hace especial referencia a las competencias de carácter regulatorio, a las que se dedica la sección 4.ª Así, la Autoridad, a través de su presidencia, como órgano ejecutivo, podrá dictar circulares en las que, en relación con los tratamientos sometidos a su competencia, se fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y la restante normativa de protección de datos personales que resulte de aplicación, siendo dichas circulares de obligado cumplimiento, una vez se proceda a su publicación en el «Boletín Oficial del País Vasco».
En la sección 5.ª se regula otra serie de funciones muy diversas de la Autoridad Vasca de Protección de Datos, tales como su participación como sujeto de la acción exterior y en lo que atañe a la posible celebración de acuerdos internacionales administrativos en ejecución y concreción de los tratados internacionales que así lo prevean y se refieran a materias de su competencia; los supuestos en los que su intervención será necesaria en relación con las transferencias internacionales de datos; reconoce su competencia para la aprobación de los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la ley, así como para acreditar a organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados sometidos a su ámbito de aplicación; y, por último, la formación en protección de datos personales, por cuanto la Autoridad Vasca de Protección de Datos promoverá la difusión de las disposiciones contenidas en la normativa de protección de datos personales, con la finalidad de garantizar el adecuado conocimiento por la ciudadanía de su derecho fundamental a la protección de tales datos, y por los responsables de las obligaciones que las citadas normas les imponen para respetarlo.
Por último, la sección 6.ª establece los aspectos esenciales de la relación de la Autoridad Vasca de Protección de Datos con las restantes autoridades de protección de datos del Estado. Profundiza en el reconocimiento del principio de cooperación institucional entre las autoridades de protección de datos del Estado, poniendo de manifiesto su esencial vinculación con la propia razón de ser de las autoridades de control, dado que con la garantía de su adecuada cooperación, colaboración y coordinación se logra el objetivo de garantizar la adecuada protección del derecho fundamental a la protección de datos personales. En este sentido, se prevé la potestad de la Autoridad Vasca de Protección de Datos de suscribir con las restantes autoridades de protección de datos del Estado los protocolos, acuerdos y convenios de colaboración que fuesen necesarios para el adecuado desarrollo de la cooperación institucional.
Se reconoce a su vez la importancia de las actuaciones conjuntas de investigación y la posibilidad de desarrollar planes conjuntos de auditoría, así como los supuestos de cooperación en el marco de los procedimientos transfronterizos.
IV
El capítulo III de la ley regula el régimen sancionador, al que quedan sometidos los responsables y encargados de los tratamientos sometidos a su ámbito de aplicación, así como las entidades acreditadas de supervisión de los códigos de conducta aprobados por la Autoridad Vasca de Protección de Datos, y las entidades de certificación acreditadas por dicha autoridad.
Una de las principales novedades que introduce el Reglamento General de Protección de Datos es el establecimiento de un marco sancionador uniforme para la reacción ante las vulneraciones en materia de protección de datos en el ámbito de toda la Unión Europea. De este modo, es el propio reglamento el que determina las conductas típicas constitutivas de infracción y el régimen sancionador aplicable en caso de comisión de las conductas típicas.
Al propio tiempo, estas disposiciones se complementan por la normativa interna de los estados miembros, que en el ámbito estatal está constituida por las concretas previsiones contenidas en los artículos, que se citan, de las leyes orgánicas a las que, atendiendo a su objeto, la presente ley adapta la normativa autonómica vasca en materia de protección de datos.
La ley establece una clara diferenciación entre el régimen sancionador aplicable al sector público y al privado. Por lo que a este último se refiere, para las infracciones contempladas en la ley se prevén diversas sanciones de multa, así como los criterios para la graduación de su importe, que se impondrán en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas establecidas en el Reglamento (UE) 2016/679.
De otro lado, la comisión de alguna de las infracciones a las que se refiere esta ley, por las administraciones, entidades e instituciones públicas vascas incluidas en su ámbito de aplicación, cuando actúen como responsables o encargados del tratamiento, no será sancionada con la imposición de una sanción económica, sino con apercibimiento, con indicación de las medidas correctivas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
Se establece igualmente la adopción de medidas específicas en los supuestos en los que las infracciones fueran imputables a autoridades, altos cargos y personal directivo, y se hubiera acreditado que la acción infractora se llevó a cabo en contra del criterio sustentado por informes técnicos o recomendaciones para el tratamiento, que no hubieran sido debidamente atendidos. En este caso, se prevé expresamente que en la resolución en la que se imponga la sanción se incluirá una amonestación con la denominación del cargo que fuese responsable y se ordenará su publicación en el «Boletín Oficial del País Vasco».
Finalmente, y como especialidades propias del régimen del sector público en la Comunidad Autónoma del País Vasco, se prevé que, junto con las medidas establecidas con carácter general, será aplicable lo establecido en el Código Ético y de Conducta de los cargos públicos y personal eventual de la Administración General e Institucional de la Comunidad Autónoma del País Vasco, así como que se comunicarán al Ararteko las resoluciones sancionadoras que se dicten.
En este concreto apartado, el principio de transparencia exige garantizar el adecuado escrutinio de la actividad pública, garantizando el público conocimiento del modo en que se lleva a cabo, de forma que sea de público conocimiento la existencia de cualquier desviación que pudiera haberse producido en la mencionada gestión.
Por este motivo, se regula expresamente un régimen especial de publicidad en el ámbito del sector público, que permita a la ciudadanía conocer el efectivo cumplimiento de la normativa por los entes y organismos que lo integran o por quienes, incardinados en el sector privado, tienen a su cargo la ejecución de esta actividad.
En este sentido, se prevé la publicación en el «Boletín Oficial del País Vasco» de la información relevante referida a las sanciones de mayor gravedad impuestas por la Autoridad Vasca de Protección de Datos, limitando los datos publicados a la información que identifique a la persona infractora, la infracción cometida y el importe de la sanción impuesta cuando exceda de un millón de euros y la persona infractora sea una persona jurídica; y a las amonestaciones impuestas a las autoridades, altos cargos y personal directivo que hubieran ordenado la realización de la conducta infractora apartándose para ello de informes técnicos o recomendaciones para el tratamiento de los datos.
Por último, y por lo que se refiere a la prescripción de las sanciones, la ley opta por el mantenimiento de los plazos de prescripción que ya regían con anterioridad a la entrada en vigor del Reglamento (UE) 2016/679, estableciendo los plazos en función de las cuantías que en el anterior marco normativo se preveían para las infracciones por sanciones leves, graves y muy graves. Además, y en coherencia con su objeto, que contempla la adaptación de la normativa autonómica vasca a las previsiones contenidas en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, se regulan también los plazos de prescripción de las sanciones contempladas en dicha ley, en función de su importe.
V
El capítulo IV, compuesto por cinco secciones, regula los procedimientos en caso de infracción de las normas de protección de datos.
La sección 1.ª, disposiciones generales, regula el régimen jurídico aplicable y las causas de suspensión del procedimiento.
Como punto de partida, la ley delimita el alcance de la aplicación de las normas que contiene, que no son de aplicación a todos los procedimientos tramitados por la Autoridad Vasca de Protección de Datos, sino únicamente a aquellos en los que resulta necesario el establecimiento de especialidades respecto de lo establecido en la normativa general reguladora del procedimiento administrativo. De este modo, se regulan los tres supuestos en los que serán de aplicación las normas contenidas en este capítulo, siendo de aplicación subsidiaria a los procedimientos sancionadores lo establecido en la normativa reguladora del ejercicio de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
El efecto suspensivo del procedimiento se prevé no solo en los casos previstos en la normativa básica, sino también en aquellos en los que deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de otras autoridades de control. Esta suspensión se extendería durante el período que media entre la solicitud y la notificación del pronunciamiento a la Autoridad Vasca de Protección de Datos.
La sección 2.ª regula la iniciación del procedimiento, que incluye la admisión a trámite de la reclamación y las actuaciones previas que han de llevarse a cabo, tal como el análisis de la competencia de la autoridad de control, incorporándose la posibilidad de la adopción de una decisión acerca de la procedencia o no de la tramitación del procedimiento. A tal efecto, enumera una serie de supuestos en los que no procedería proseguir con el procedimiento, sino acordar su inadmisión.
Se prevé a su vez que la Autoridad Vasca de Protección de Datos puede acordar de oficio el inicio del procedimiento al tener conocimiento de la existencia de indicios de la comisión de una infracción de lo dispuesto en la normativa de protección de datos personales. Igualmente, es posible que la iniciación se deba al requerimiento de otra autoridad de protección de datos, tanto del Estado como de otro Estado miembro.
Las secciones 3.ª y 4.ª regulan, respectivamente, la tramitación del procedimiento en caso de reclamaciones derivadas del ejercicio de derechos, y del procedimiento de ejercicio de la potestad sancionadora.
La ley diferencia, siguiendo el criterio ya existente en la normativa actualmente vigente, entre los procedimientos relacionados exclusivamente con el reconocimiento del ejercicio por las personas interesadas de los derechos consagrados por las normas de protección de datos, y los procedimientos relacionados con el ejercicio de la potestad sancionadora. Lógicamente, en los supuestos en los que la reclamación formulada por la persona interesada contuviese ambas pretensiones, la Autoridad Vasca de Protección de Datos podrá decidir la apertura de dos procedimientos diferenciados.
La diferencia es sustancial, dado que se pretende que el procedimiento relacionado con la atención de los derechos, que en la mayor parte de los supuestos se centrará en la cuestión de valoración de la prueba de que los derechos fueron atendidos o, a lo sumo, en la improcedencia de dicha atención, tenga una duración sustancialmente inferior a la de los procedimientos sancionadores, en los que, además, será posible la adopción de medidas cautelares que garanticen un rápido restablecimiento del derecho cuando así proceda.
En relación con los procedimientos referidos a la solicitud no atendida de ejercicio de derechos, la ley mantiene el principio contradictorio, estableciendo un plazo máximo de resolución del procedimiento de seis meses, tras los cuales la persona interesada podrá considerar desestimada su reclamación.
Por último, la sección 5.ª regula las diferentes especialidades en los casos de procedimientos referidos a tratamientos transfronterizos. La ley adopta las medidas normativas pertinentes para tener en cuenta las nuevas situaciones introducidas por el reglamento europeo de protección de datos. En concreto, introduce especialidades en los supuestos en los que varias autoridades de protección de datos pudieran tener interés en la resolución del procedimiento, diferenciando entre la autoridad principal, en cuya jurisdicción esté ubicado el establecimiento principal del responsable, de las restantes autoridades interesadas.
VI
La ley contiene tres disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y una disposición final.
La disposición adicional primera comprende la referencia de la normativa aplicable a los procedimientos tramitados por la Autoridad Vasca de Protección de Datos no regulados por esta ley, en los que su actividad quedará plenamente sometida a la legislación básica y autonómica reguladora del procedimiento administrativo.
La disposición adicional segunda especifica que la Autoridad Vasca de Protección de Datos reemplaza a la Agencia Vasca de Protección de Datos, asumiendo las competencias y las funciones de supervisión, control, asesoramiento o informe, entre otras, que se le hubieran venido atribuyendo por la normativa actualmente vigente, por lo que las referencias a la Agencia deberán entenderse llevadas a cabo a la Autoridad.
La disposición adicional tercera establece la creación de cuerpos y escalas de personal funcionario propio de la Autoridad Vasca de Protección de Datos, conforme a la normativa de aplicación, incluyéndose cuestiones relativas a la relación de puestos de trabajo, el acceso de personal funcionario propio y de personal procedente de otras administraciones, así como la posibilidad de llevar a cabo un sistema de equivalencias entre cuerpos y escalas propios y aquellos de otras administraciones públicas.
La disposición transitoria primera aclara que el nuevo régimen de la Autoridad Vasca de Protección de Datos exigirá la adopción de un nuevo estatuto, que sustituya al actualmente vigente. Sin embargo, sus especialidades pueden ser perfectamente aplicables, en cuanto no se opongan a lo establecido en la ley, mientras no se proceda a la aprobación de ese nuevo estatuto. Al propio tiempo, se clarifica que la asimilación de la presidencia de la Autoridad Vasca de Protección de Datos al cargo de viceconsejero o viceconsejera y la nueva composición del consejo consultivo se producirán cuando proceda la realización de una nueva designación de los mismos, sin que la entrada en vigor de esta ley pueda implicar el cese de quien ostente el puesto de director o directora de la Agencia Vasca de Protección de Datos ni de quienes conformen su consejo consultivo.
La disposición transitoria segunda está dedicada al régimen transitorio de los procedimientos, de forma que las actuaciones previas de investigación y los procedimientos iniciados con anterioridad a la entrada en vigor de esta ley continuarán tramitándose de conformidad con la normativa aplicable en el momento de su inicio.
La disposición transitoria tercera establece el sistema de integración del personal funcionario de la Agencia Vasca de Protección de Datos en los cuerpos y escalas del personal funcionario de la Autoridad Vasca de Protección de Datos. Se diferencian tres supuestos: el personal consolidado como consecuencia de los procesos de estabilización excepcional convocados previamente; el personal funcionario de carrera procedente de otras administraciones públicas, y el personal que ocupa puestos en régimen de comisión de servicios o como personal funcionario interino.
La disposición derogatoria única señala las normas que quedan derogadas a la entrada en vigor de la presente ley: la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la ley anteriormente mencionada, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.
Por último, la disposición final se refiere a la entrada en vigor de esta ley.
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto.
1. La presente ley tiene por objeto regular el control y supervisión de los tratamientos de datos de los que sean responsables los sujetos incluidos en su ámbito de aplicación.
2. Asimismo, la presente ley tiene por objeto regular el régimen jurídico de la Autoridad Vasca de Protección de Datos.
Artículo 2. Ámbito de aplicación.
1. La presente ley será de aplicación a todos los tratamientos de datos personales de los que sean responsables:
a) La Administración general de la Comunidad Autónoma del País Vasco, las administraciones forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como sus correspondientes administraciones institucionales y los entes integrantes de su respectivo sector público.
b) Los entes integrantes del sector público previstos en los apartados 3 y 4 del artículo 4 de la Ley 3/2022, de 12 de mayo, del Sector Público Vasco.
c) El Parlamento Vasco.
d) Las juntas generales de los territorios históricos.
e) El Tribunal Vasco de Cuentas Públicas.
f) El Ararteko.
g) Las entidades creadas por ley del Parlamento Vasco y las autoridades administrativas independientes.
h) Los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas generales de los territorios históricos y los grupos municipales de los ayuntamientos.
i) Las corporaciones de derecho público, representativas de intereses económicos y profesionales, cuyo ámbito territorial no exceda de la Comunidad Autónoma del País Vasco, así como las delegaciones de dichas corporaciones que, actuando con plena autonomía orgánica, funcional y económica para la realización de los fines, tuviesen un ámbito territorial que no excediera de dicha comunidad autónoma.
j) La Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del Sistema Universitario Vasco, así como los entes de ellas dependientes.
k) Consejo de Relaciones Laborales y Consejo Económico y Social Vasco.
l) Las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que sean competencia de las administraciones públicas enumeradas en la letra a).
m) Las entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios.
2. Estarán igualmente sometidos a lo dispuesto en la presente ley las personas físicas o jurídicas, públicas o privadas que, como encargados del tratamiento, presten servicios a los responsables a los que se refieren el apartado 1 de este artículo.
3. La presente ley no se aplicará a:
a) Los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 3 de la Ley Orgánica 7/2021, de 26 de mayo.
b) Los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
CAPÍTULO II
La Autoridad Vasca de Protección de Datos
Sección 1.ª Organización y régimen jurídico
Artículo 3. Naturaleza y régimen jurídico.
1. La Autoridad Vasca de Protección de Datos es una autoridad administrativa independiente, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.
La Autoridad Vasca de Protección de Datos se relaciona con el Gobierno Vasco a través del departamento que determine el lehendakari o la lehendakari en el decreto de áreas.
2. La Autoridad Vasca de Protección de Datos tiene la condición de autoridad de control independiente a los efectos de lo dispuesto en el capítulo VI del Reglamento (UE) 2016/679 y en el capítulo VI de la Ley Orgánica 7/2021, de 26 de mayo.
3. Los procedimientos tramitados por la Autoridad Vasca de Protección de Datos en el ejercicio de sus potestades de supervisión y control se someterán a la presente ley y a su normativa de desarrollo y, supletoriamente, cuando dichos procedimientos revistan carácter sancionador, a lo establecido en la normativa reguladora de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
4. La representación y defensa en juicio de la Autoridad Vasca de Protección de Datos estará a cargo del Servicio Jurídico Central del Gobierno Vasco, conforme a lo dispuesto en sus normas reguladoras, siempre que no existan intereses contrapuestos con las administraciones u organismos públicos cuya representación legal o convencional ostente el Servicio Jurídico Central del Gobierno Vasco.
5. Corresponde al Gobierno Vasco aprobar el Estatuto de la Autoridad Vasca de Protección de Datos, así como dictar cuantas disposiciones reglamentarias sean precisas para el desarrollo de la presente ley.
Artículo 4. Régimen económico y presupuestario.
1. La Autoridad Vasca de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto, y lo remitirá al Gobierno Vasco para que sea integrado, con la debida independencia, en los presupuestos generales de la Comunidad Autónoma, de acuerdo con la legislación reguladora del régimen presupuestario de la Comunidad Autónoma del País Vasco. Estará sometida a dicha legislación en lo relativo al régimen de modificación, ejecución y liquidación de su presupuesto, atendiendo a estos efectos a la naturaleza de la Autoridad.
2. La Autoridad Vasca de Protección de Datos contará con recursos suficientes para el desempeño de sus funciones y ejercicio de sus potestades. Dichos recursos procederán de:
a) Las asignaciones que se establezcan con cargo a los presupuestos generales de la Comunidad Autónoma.
b) Las subvenciones y aportaciones que se concedan a su favor.
c) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.
d) Los ingresos, ordinarios y extraordinarios, derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidas en el artículo 58 del Reglamento (UE) 2016/679, y en el artículo 50 de la Ley Orgánica 7/2021, de 26 de mayo.
e) Cualesquiera otros que legalmente le pudieran ser atribuidos.
3. Los ingresos procedentes o derivados del ejercicio de las actividades y potestades que la presente ley atribuye a la Autoridad Vasca de Protección de Datos se destinarán por esta a la dotación de sus reservas.
4. La Autoridad Vasca de Protección de Datos estará sometida al control económico-financiero y de gestión de la Comunidad Autónoma del País Vasco, así como a la fiscalización del Tribunal Vasco de Cuentas Públicas.
Artículo 5. Régimen de personal.
1. El personal al servicio de la Autoridad Vasca de Protección de Datos será funcionario, y se regirá por la legislación reguladora de la función pública vasca.
2. La relación de puestos de trabajo de la Autoridad Vasca de Protección de Datos será aprobada por resolución de su presidencia y entrará en vigor el día de su publicación en el «Boletín Oficial del País Vasco».
3. Corresponde a la Autoridad Vasca de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, los requisitos y las características de las pruebas de selección, así como la convocatoria, gestión y resolución de los procedimientos de provisión de puestos de trabajo y promoción profesional.
4. El personal de la Autoridad Vasca de Protección de Datos estará obligado a guardar secreto sobre las informaciones que conozca en el ejercicio de sus funciones, incluso después de haber cesado en estas.
Artículo 6. Funciones y potestades.
La Autoridad Vasca de Protección de Datos ejercerá las funciones establecidas y las potestades previstas, respectivamente, en los artículos 57 y 58 del Reglamento (UE) 2016/679, en los artículos 49 y 50 de la Ley Orgánica 7/2021, de 26 de mayo, así como las previstas en esta ley.
Asimismo, ejercerá cuantas competencias le sean legalmente atribuidas.
Artículo 7. Transparencia.
1. Además de cumplir las exigencias establecidas en la normativa aplicable en materia de transparencia y acceso a la información pública, la Autoridad Vasca de Protección de Datos hará públicas a través de su página web las resoluciones de su presidencia que pongan término a los procedimientos relacionados con la vulneración de las disposiciones de protección de datos o con la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como aquellas por las que se adopten cláusulas contractuales tipo para las transferencias internacionales de datos, se autoricen transferencias internacionales de datos, o se acrediten entidades de certificación.
2. También hará públicas a través de su página web las resoluciones de su presidencia que pongan término a los procedimientos relacionados con la vulneración de las disposiciones de protección de datos, o con la atención de los derechos establecidos en los artículos 21, 22 y 23 de la Ley Orgánica 7/2021, de 26 de mayo.
Cuando las resoluciones a las que se refiere el párrafo anterior traigan su causa de lo establecido en un dictamen del Comité Europeo de Protección de Datos, este será objeto de publicación junto con la resolución adoptada.
3. Además, la Autoridad Vasca de Protección de Datos hará públicas a través de su página web:
a) Las directrices generales que se adopten como consecuencia de la realización de planes de auditoría.
b) Los informes preceptivos a disposiciones de carácter general evacuados conforme al apartado 4 del artículo 36 del Reglamento (UE) 2016/679.
c) Los dictámenes por los que se dé respuesta a consultas que le hayan sido planteadas, en la medida en que supongan una interpretación de las normas de protección de datos que no haya sido previamente objeto de publicación.
d) Los códigos de conducta aprobados por la Autoridad.
e) Las restantes actuaciones que hayan de hacerse públicas conforme a la normativa de protección de datos personales.
4. La difusión a la que se refieren los apartados anteriores se llevará a cabo previa disociación de los datos de carácter personal y respetando los límites establecidos en la legislación aplicable en materia de transparencia y acceso a la información pública.
Sección 2.ª Órganos de la Autoridad Vasca de Protección de Datos
Artículo 8. Presidencia de la Autoridad Vasca de Protección de Datos.
1. La presidencia de la Autoridad Vasca de Protección de Datos la dirige, ostenta su representación y dicta sus resoluciones, circulares y directrices.
Los actos de la autoridad vasca que produzcan efectos jurídicos sobre terceros serán dictados por su presidencia.
2. La presidencia de la Autoridad Vasca de Protección de Datos ejercerá sus funciones con plena independencia y objetividad, y no estará sujeta a instrucción alguna en el desempeño de aquellas.
3. La presidencia de la Autoridad Vasca de Protección de Datos será nombrada por decreto del Gobierno Vasco por un período de cinco años, pudiendo ser renovada por un único período de igual duración.
A tal efecto, el Gobierno Vasco propondrá al Parlamento Vasco la persona que considere idónea para presidir la Autoridad Vasca de Protección de Datos. Dicha persona poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.
4. Recibida la propuesta por el Parlamento Vasco, se someterá a la comisión competente, que deberá aprobarla por mayoría absoluta. En caso de no obtenerse dicha mayoría se entenderá decaída la propuesta, y se devolverá al Gobierno Vasco.
5. La presidencia de la Autoridad Vasca de Protección de Datos solo cesará antes de la expiración de su mandato por alguna de las siguientes causas:
a) A petición propia.
b) Por condena firme por delito doloso.
c) Por incumplimiento grave de sus obligaciones.
d) Por incapacidad sobrevenida para el ejercicio de su función.
e) Por incompatibilidad.
En los supuestos previstos en las letras c), d) y e) será necesaria la ratificación de la separación por mayoría absoluta de la Comisión de Instituciones, Gobernanza Pública y Seguridad del Parlamento Vasco.
6. La presidencia de la Autoridad Vasca de Protección de Datos tendrá la consideración de alto cargo, asimilado al de viceconsejero o viceconsejera. Si con anterioridad a su nombramiento estuviera ocupando una plaza como funcionaria o funcionario público, quedará en situación de servicios especiales.
En todo caso, le será de aplicación lo dispuesto en la Ley 1/2014, de 26 de junio, Reguladora del Código de Conducta y de los Conflictos de Intereses de los Cargos Públicos y su normativa de desarrollo.
7. Los actos y disposiciones dictados por la presidencia de la Autoridad Vasca de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la jurisdicción contencioso-administrativa.
8. La presidencia de la Autoridad Vasca de Protección de Datos, de conformidad con lo dispuesto en el artículo 59 del Reglamento General de Protección de Datos, elaborará un informe anual de sus actividades, que será comunicado al Parlamento Vasco, al Gobierno Vasco y a las demás autoridades de protección de datos del Estado. Este informe será publicado en su página web.
Artículo 9. El Consejo Consultivo de la Autoridad Vasca de Protección de Datos.
1. La presidencia de la Autoridad Vasca de Protección de Datos estará asesorada por un consejo consultivo compuesto por los siguientes miembros:
a) Una persona representante del Parlamento Vasco, designada por este.
b) Una persona representante de la Administración general de la Comunidad Autónoma del País Vasco, designada por el Gobierno Vasco.
c) Una persona representante de cada uno de los territorios históricos vascos, designada por estos.
d) Una persona representante de las entidades locales del ámbito territorial de la Comunidad Autónoma del País Vasco, designada por la Asociación de Municipios Vascos.
e) Una persona representante de las personas consumidoras y usuarias, designada por Kontsumobide-Instituto Vasco de Consumo.
f) Dos personas expertas, una en tecnologías de la información y otra en el ámbito del Derecho, con conocimientos acreditados en el Derecho y la práctica en materia de protección de datos, designadas de forma rotatoria por las universidades del Sistema Universitario Vasco.
g) Una persona experta designada por Cyberzaintza, Agencia Vasca de Ciberseguridad.
2. Se procurará que la composición del consejo consultivo tenga una representación equilibrada entre mujeres y hombres, con capacitación, competencia y preparación adecuada. A los efectos, se considera representación equilibrada cuando ambos sexos estén representados al menos al 40 %.
3. El consejo consultivo se reunirá cuando así lo disponga la presidencia de la Autoridad Vasca de Protección de Datos y, en todo caso, una vez al semestre.
4. Los acuerdos adoptados por el consejo consultivo no tendrán en ningún caso carácter vinculante. No obstante, será preceptiva la emisión de informe del consejo consultivo previo a la aprobación de circulares interpretativas de la ley y normativa de desarrollo que, en el ejercicio de la potestad normativa a la que alude el artículo 15 de esta ley, tiene atribuida la presidencia, sin perjuicio de que, igualmente, dichos informes carezcan de carácter vinculante.
5. En lo no previsto en este artículo, el régimen, organización, competencias y funcionamiento del consejo consultivo se regulará por el Estatuto de la Autoridad Vasca de Protección de Datos.
Sección 3.ª Potestad de investigación
Artículo 10. Ámbito de la potestad de investigación.
1. La Autoridad Vasca de Protección de Datos podrá, en ejercicio de sus potestades de investigación, realizar inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, de cualquiera de los tratamientos sometidos al ámbito de aplicación de esta ley.
2. Asimismo, podrá desarrollar las citadas funciones con ocasión de la realización de un plan de auditoría, en los términos establecidos en el artículo 14 de la presente ley.
Artículo 11. Personal competente para realizar la actividad de investigación.
1. La actividad de investigación se llevará a cabo por el personal inspector de la Autoridad Vasca de Protección de Datos.
2. No obstante, la presidencia de la Autoridad Vasca de Protección de Datos podrá habilitar expresamente a otro personal funcionario público para la realización de actividades de investigación. La habilitación indicará las actividades concretas de investigación a las que la misma se circunscribe.
3. En los supuestos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros estados miembros de Unión Europea que colabore con la Autoridad Vasca de Protección de Datos ejercerá sus facultades con arreglo a lo previsto en la presente ley. Dicho personal actuará en presencia del personal de la Autoridad Vasca de Protección de Datos y bajo su orientación y dirección.
4. El personal funcionario que desarrolle actividades de investigación tendrá a todos los efectos la condición de agente de la Autoridad Vasca de Protección de Datos en el ejercicio de sus funciones.
Artículo 12. Alcance de la actividad de investigación.
1. Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones. En particular, podrán:
a) Acceder a los locales en que se encuentren los sistemas de información o se lleven materialmente a cabo los tratamientos de datos.
b) Examinar los soportes de información que contengan los datos personales y obtener copia de los datos sometidos a tratamiento.
c) Examinar, en el lugar en que se encuentren, los sistemas de información que traten datos personales, incluyendo los equipos físicos y lógicos en que se lleve a cabo el tratamiento.
d) Requerir el envío de los programas y aplicaciones o de la documentación pertinente, a fin de analizar el tratamiento del que sean objeto los datos, y obtener copia de ellos.
e) Requerir la ejecución de los programas, aplicaciones o procedimientos de gestión y soporte del tratamiento que se encuentren sujetos a investigación.
f) Realizar auditorías de los sistemas de información, sistemas de decisión individual automatizada, sistemas de inteligencia artificial y sistemas algorítmicos, y de dispositivos, equipos o programas que faciliten el tratamiento de los datos, a fin de determinar su conformidad o no con la legislación vigente.
g) Requerir la exhibición o remisión de cualquier otra información que resulte precisa para el ejercicio de las funciones inspectoras.
h) Revisar las medidas técnicas y organizativas adoptadas en relación con los tratamientos.
2. Cuando fuese necesario el acceso por el personal que desarrolla la actividad de investigación al domicilio, constitucionalmente protegido, de la persona inspeccionada, será preciso contar con su consentimiento o haber obtenido la correspondiente autorización judicial, respetando su inviolabilidad.
Artículo 13. Deber de colaboración.
1. Las administraciones públicas, incluidas las haciendas forales, así como las personas físicas o jurídicas, estén o no sometidos sus tratamientos a lo dispuesto en la presente ley, estarán obligados a proporcionar a la Autoridad Vasca de Protección de Datos los datos, informes, antecedentes y justificantes que fueren necesarios para llevar a cabo la actividad de investigación en el ámbito de sus competencias. Cuando la información contenga datos personales, la comunicación de dichos datos estará amparada por lo dispuesto en el artículo 6.1.c) del Reglamento (UE) 2016/679.
2. La Autoridad Vasca de Protección de Datos tendrá, en el ámbito de sus competencias, las facultades previstas en los apartados 2 y 3 del artículo 52 de la Ley Orgánica 3/2018, de 5 de diciembre.
Artículo 14. Planes de auditoría.
1. La presidencia de la Autoridad Vasca de Protección de Datos podrá acordar la realización de planes de auditoría, referidos bien a un determinado ámbito de responsables o encargados del tratamiento sometidos a la aplicación de la presente ley, bien a un determinado tipo de actividad de tratamiento.
2. Los planes de auditoría preventiva tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y la restante normativa en materia de protección de datos personales que resulte aplicable.
3. Como resultado de los planes de auditoría, la presidencia de la Autoridad Vasca de Protección de Datos deberá dictar las directrices que resulten precisas para asegurar el pleno cumplimiento de las normas de protección de datos. Dichas directrices podrán ir dirigidas a la totalidad de los sujetos inspeccionados, o a un responsable o encargado del tratamiento concreto.
Las directrices serán en todo caso de obligado cumplimiento.
Sección 4.ª Potestad normativa
Artículo 15. Circulares de la Autoridad Vasca de Protección de Datos.
1. La presidencia de la Autoridad Vasca de Protección de Datos aprobará las directrices interpretativas de esta ley y de su normativa de desarrollo, así como, en su caso, de la restante normativa de protección de datos personales que resulte de aplicación.
2. En relación con los tratamientos sometidos a la presente ley, deberá dictar las circulares que resulten precisas, en las que se fijen los criterios a los que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y la restante normativa de protección de datos personales que resulte de aplicación.
3. Para su elaboración se recabarán los informes técnicos y jurídicos que fueran necesarios, garantizando en todo caso la audiencia a las personas interesadas durante su elaboración, cuando ello fuera necesario.
4. Las circulares serán obligatorias para los sujetos sometidos a la presente ley una vez publicadas en el «Boletín Oficial del País Vasco».
Sección 5.ª Otras competencias de la Autoridad Vasca de Protección de Datos
Artículo 16. Mecanismos de coordinación y cooperación entre autoridades de protección de datos en materias competencia de la Comunidad Autónoma del País Vasco.
1. La Autoridad Vasca de Protección de Datos podrá, en el marco de sus competencias, ejercitar las funciones que le competen a la Comunidad Autónoma del País Vasco como sujeto de la acción exterior de conformidad con la normativa reguladora de la acción exterior del Estado.
2. La Autoridad Vasca de Protección de Datos podrá, en representación de la Comunidad Autónoma del País Vasco, celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional cuando así lo prevea el propio tratado, le atribuya potestad para ello y verse sobre materias de su competencia conforme a lo dispuesto en la presente ley.
3. Asimismo, la Autoridad Vasca de Protección de Datos podrá celebrar acuerdos no normativos con los órganos análogos de otros sujetos de derecho internacional, no vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia.
Artículo 17. Transferencias internacionales de datos.
1. La Autoridad Vasca de Protección de Datos podrá adoptar, conforme a lo dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales tipo para la realización de transferencias internacionales de datos por los responsables y encargados del tratamiento sometidos a su competencia.
2. Asimismo, podrá aprobar, en dicho ámbito, normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
3. La Autoridad Vasca de Protección de Datos autorizará las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión Europea o que no se amparen en alguna de las garantías previstas en los apartados anteriores. La autorización podrá otorgarse:
a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
b) Cuando la transferencia se lleve a cabo por un sujeto de derecho público y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros estados, que incorporen derechos efectivos y exigibles para las personas afectadas, incluidos los memorandos de entendimiento.
4. La resolución de la Autoridad Vasca de Protección de Datos se someterá al dictamen del Comité Europeo de Protección de Datos, en los términos previstos por el artículo 64 del Reglamento (UE) 2016/679.
5. En los supuestos establecidos en los apartados 2 y 3, la solicitud del dictamen al Comité Europeo de Protección de Datos implicará la suspensión del procedimiento para resolver sobre la procedencia de la transferencia internacional solicitada, que no se levantará hasta la notificación de dicho dictamen a la Autoridad Vasca de Protección de Datos.
6. La Autoridad Vasca de Protección de Datos podrá solicitar de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco la autorización judicial a la que se refiere la disposición adicional quinta de la Ley Orgánica 3/2018, de 5 de diciembre.
7. Las transferencias internacionales de datos con la finalidad de prevención, detección, investigación y enjuiciamiento de infracciones penales y ejecución de sanciones penales se regirán por lo dispuesto en el capítulo V de la Ley Orgánica 7/2021, de 26 de mayo.
8. Los responsables del tratamiento deberán informar a la Autoridad Vasca de Protección de Datos de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquellos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos.
Artículo 18. Códigos de conducta.
1. La Autoridad Vasca de Protección de Datos promoverá y aprobará los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la presente ley. Asimismo, deberá elaborar y publicar los criterios que resulten precisos para la acreditación de organismos de supervisión de los códigos de conducta.
2. La Autoridad Vasca de Protección de Datos someterá los proyectos de código de conducta al mecanismo de coherencia mencionado en el artículo 63 de Reglamento (UE) 2016/679, en los supuestos en que ello proceda según su artículo 40.7. El procedimiento de aprobación del código quedará suspendido en tanto el Comité Europeo de Protección de Datos no emita el dictamen al que se refieren los artículos 64.1.b) y 65.1.c) del citado reglamento.
3. La Autoridad Vasca de Protección de Datos mantendrá un registro, accesible a través de medios electrónicos, de los códigos de conducta aprobados por ella, que se interconectará con los de las restantes autoridades de protección de datos del Estado. Asimismo, …
Explicación por IA a partir del texto oficial de la ley. Orientativa, no sustituye asesoramiento legal.