I. Disposiciones generales. COMUNIDAD AUTÓNOMA DEL PAÍS VASCO. Organización. (BOE-A-2024-900)
Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
28 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6397
3. Asimismo, la Autoridad Vasca de Protección de Datos podrá celebrar acuerdos
no normativos con los órganos análogos de otros sujetos de derecho internacional, no
vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia.
Artículo 17.
Transferencias internacionales de datos.
1. La Autoridad Vasca de Protección de Datos podrá adoptar, conforme a lo
dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales
tipo para la realización de transferencias internacionales de datos por los responsables y
encargados del tratamiento sometidos a su competencia.
2. Asimismo, podrá aprobar, en dicho ámbito, normas corporativas vinculantes de
acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
3. La Autoridad Vasca de Protección de Datos autorizará las transferencias
internacionales de datos a países u organizaciones internacionales que no cuenten con
decisión de adecuación aprobada por la Comisión Europea o que no se amparen en
alguna de las garantías previstas en los apartados anteriores. La autorización podrá
otorgarse:
4. La resolución de la Autoridad Vasca de Protección de Datos se someterá al
dictamen del Comité Europeo de Protección de Datos, en los términos previstos por el
artículo 64 del Reglamento (UE) 2016/679.
5. En los supuestos establecidos en los apartados 2 y 3, la solicitud del dictamen al
Comité Europeo de Protección de Datos implicará la suspensión del procedimiento para
resolver sobre la procedencia de la transferencia internacional solicitada, que no se
levantará hasta la notificación de dicho dictamen a la Autoridad Vasca de Protección de
Datos.
6. La Autoridad Vasca de Protección de Datos podrá solicitar de la Sala de lo
Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco la
autorización judicial a la que se refiere la disposición adicional quinta de la Ley
Orgánica 3/2018, de 5 de diciembre.
7. Las transferencias internacionales de datos con la finalidad de prevención,
detección, investigación y enjuiciamiento de infracciones penales y ejecución de
sanciones penales se regirán por lo dispuesto en el capítulo V de la Ley
Orgánica 7/2021, de 26 de mayo.
8. Los responsables del tratamiento deberán informar a la Autoridad Vasca de
Protección de Datos de cualquier transferencia internacional de datos que pretendan
llevar a cabo sobre la base de su necesidad para fines relacionados con intereses
legítimos imperiosos perseguidos por aquellos y la concurrencia del resto de los
requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679.
Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos
imperiosos perseguidos.
Artículo 18.
Códigos de conducta.
1. La Autoridad Vasca de Protección de Datos promoverá y aprobará los códigos de
conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito
de aplicación de la presente ley. Asimismo, deberá elaborar y publicar los criterios que
cve: BOE-A-2024-900
Verificable en https://www.boe.es
a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías
adecuadas con fundamento en cláusulas contractuales que no correspondan a las
cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
b) Cuando la transferencia se lleve a cabo por un sujeto de derecho público y se
funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras
autoridades u organismos públicos de terceros estados, que incorporen derechos
efectivos y exigibles para las personas afectadas, incluidos los memorandos de
entendimiento.
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6397
3. Asimismo, la Autoridad Vasca de Protección de Datos podrá celebrar acuerdos
no normativos con los órganos análogos de otros sujetos de derecho internacional, no
vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia.
Artículo 17.
Transferencias internacionales de datos.
1. La Autoridad Vasca de Protección de Datos podrá adoptar, conforme a lo
dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales
tipo para la realización de transferencias internacionales de datos por los responsables y
encargados del tratamiento sometidos a su competencia.
2. Asimismo, podrá aprobar, en dicho ámbito, normas corporativas vinculantes de
acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
3. La Autoridad Vasca de Protección de Datos autorizará las transferencias
internacionales de datos a países u organizaciones internacionales que no cuenten con
decisión de adecuación aprobada por la Comisión Europea o que no se amparen en
alguna de las garantías previstas en los apartados anteriores. La autorización podrá
otorgarse:
4. La resolución de la Autoridad Vasca de Protección de Datos se someterá al
dictamen del Comité Europeo de Protección de Datos, en los términos previstos por el
artículo 64 del Reglamento (UE) 2016/679.
5. En los supuestos establecidos en los apartados 2 y 3, la solicitud del dictamen al
Comité Europeo de Protección de Datos implicará la suspensión del procedimiento para
resolver sobre la procedencia de la transferencia internacional solicitada, que no se
levantará hasta la notificación de dicho dictamen a la Autoridad Vasca de Protección de
Datos.
6. La Autoridad Vasca de Protección de Datos podrá solicitar de la Sala de lo
Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco la
autorización judicial a la que se refiere la disposición adicional quinta de la Ley
Orgánica 3/2018, de 5 de diciembre.
7. Las transferencias internacionales de datos con la finalidad de prevención,
detección, investigación y enjuiciamiento de infracciones penales y ejecución de
sanciones penales se regirán por lo dispuesto en el capítulo V de la Ley
Orgánica 7/2021, de 26 de mayo.
8. Los responsables del tratamiento deberán informar a la Autoridad Vasca de
Protección de Datos de cualquier transferencia internacional de datos que pretendan
llevar a cabo sobre la base de su necesidad para fines relacionados con intereses
legítimos imperiosos perseguidos por aquellos y la concurrencia del resto de los
requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679.
Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos
imperiosos perseguidos.
Artículo 18.
Códigos de conducta.
1. La Autoridad Vasca de Protección de Datos promoverá y aprobará los códigos de
conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito
de aplicación de la presente ley. Asimismo, deberá elaborar y publicar los criterios que
cve: BOE-A-2024-900
Verificable en https://www.boe.es
a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías
adecuadas con fundamento en cláusulas contractuales que no correspondan a las
cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
b) Cuando la transferencia se lleve a cabo por un sujeto de derecho público y se
funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras
autoridades u organismos públicos de terceros estados, que incorporen derechos
efectivos y exigibles para las personas afectadas, incluidos los memorandos de
entendimiento.
