I. Disposiciones generales. COMUNIDAD AUTÓNOMA DEL PAÍS VASCO. Organización. (BOE-A-2024-900)
Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
28 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 18 de enero de 2024
Sec. I. Pág. 6383
infracciones penales o de ejecución de sanciones penales, incluida la protección y
prevención frente a las amenazas contra la seguridad pública.
Teniendo en cuenta las consideraciones anteriores, se ha elaborado esta ley de
protección de datos personales, que tiene por objeto adaptar la organización y
funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a
las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así
como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales
tratados para fines de prevención, detección, investigación y enjuiciamiento de
infracciones penales y de ejecución de sanciones penales.
Así pues, esta ley reemplaza el régimen contenido en la Ley 2/2004, de 25 de
febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación
de la Agencia Vasca de Protección de Datos, y en sus normas de desarrollo, en
particular el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la citada
Ley 2/2004, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto
de la Agencia Vasca de Protección de Datos.
En la elaboración de la ley se ha considerado que el régimen de los principios,
derechos y obligaciones que configura el derecho fundamental a la protección de datos
personales se encuentra suficientemente regulado con las disposiciones contenidas en
el Reglamento General de Protección de Datos, completadas con las previstas en la Ley
Orgánica de Protección de Datos Personales y garantía de los derechos digitales, lo que
hace innecesario adoptar adicionalmente ninguna disposición relacionada con el
contenido sustantivo del derecho fundamental. En el mismo sentido, se ha considerado
que ambas normas ya establecen un marco suficientemente claro de obligaciones que
no precisa de ser completado por la norma autonómica, so pena de establecer un
régimen especialmente burocrático de obligaciones para las administraciones y
entidades sometidas a su ámbito de aplicación.
Teniendo en cuenta esta premisa, la ley se ha estructurado en torno a cuatro
capítulos, siendo el primero únicamente expresivo de la delimitación del objeto y ámbito
de aplicación de la ley. Los tres restantes capítulos regulan el régimen de la Autoridad
Vasca de Protección de Datos, que reemplaza a la actual Agencia Vasca de Protección
de Datos; el régimen sancionador al que se someten los responsables y encargados del
tratamiento comprendidos en el ámbito de aplicación de la ley, y, por último, el
procedimiento que se seguirá en los supuestos en los que la autoridad vasca deba
tramitar una reclamación formulada por la persona interesada, o hacer uso de sus
facultades de investigación y, en su caso, sanción, bien de oficio o bien por haberse
solicitado su tramitación por otra autoridad de control, tanto del Estado como de otro
Estado miembro, de conformidad con las normas de procedimiento establecidas en el
Reglamento General de Protección de Datos.
II
Esta ley consta de cuarenta y dos artículos, estructurados en cuatro capítulos, tres
disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y
una disposición final.
El objeto de esta ley es adaptar la normativa autonómica vasca en materia de
protección de datos al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así
como a la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales
tratados para fines de prevención, detección, investigación y enjuiciamiento de
infracciones penales y de ejecución de sanciones penales, estableciendo, en particular,
el régimen jurídico de la Autoridad Vasca de Protección de Datos.
La delimitación del ámbito de aplicación subjetivo de la ley se lleva a cabo a partir de
la pertenencia al sector público de las entidades que tienen la condición de responsables
del tratamiento o la vinculación del mencionado tratamiento con el ejercicio de
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6383
infracciones penales o de ejecución de sanciones penales, incluida la protección y
prevención frente a las amenazas contra la seguridad pública.
Teniendo en cuenta las consideraciones anteriores, se ha elaborado esta ley de
protección de datos personales, que tiene por objeto adaptar la organización y
funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a
las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así
como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales
tratados para fines de prevención, detección, investigación y enjuiciamiento de
infracciones penales y de ejecución de sanciones penales.
Así pues, esta ley reemplaza el régimen contenido en la Ley 2/2004, de 25 de
febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación
de la Agencia Vasca de Protección de Datos, y en sus normas de desarrollo, en
particular el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la citada
Ley 2/2004, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto
de la Agencia Vasca de Protección de Datos.
En la elaboración de la ley se ha considerado que el régimen de los principios,
derechos y obligaciones que configura el derecho fundamental a la protección de datos
personales se encuentra suficientemente regulado con las disposiciones contenidas en
el Reglamento General de Protección de Datos, completadas con las previstas en la Ley
Orgánica de Protección de Datos Personales y garantía de los derechos digitales, lo que
hace innecesario adoptar adicionalmente ninguna disposición relacionada con el
contenido sustantivo del derecho fundamental. En el mismo sentido, se ha considerado
que ambas normas ya establecen un marco suficientemente claro de obligaciones que
no precisa de ser completado por la norma autonómica, so pena de establecer un
régimen especialmente burocrático de obligaciones para las administraciones y
entidades sometidas a su ámbito de aplicación.
Teniendo en cuenta esta premisa, la ley se ha estructurado en torno a cuatro
capítulos, siendo el primero únicamente expresivo de la delimitación del objeto y ámbito
de aplicación de la ley. Los tres restantes capítulos regulan el régimen de la Autoridad
Vasca de Protección de Datos, que reemplaza a la actual Agencia Vasca de Protección
de Datos; el régimen sancionador al que se someten los responsables y encargados del
tratamiento comprendidos en el ámbito de aplicación de la ley, y, por último, el
procedimiento que se seguirá en los supuestos en los que la autoridad vasca deba
tramitar una reclamación formulada por la persona interesada, o hacer uso de sus
facultades de investigación y, en su caso, sanción, bien de oficio o bien por haberse
solicitado su tramitación por otra autoridad de control, tanto del Estado como de otro
Estado miembro, de conformidad con las normas de procedimiento establecidas en el
Reglamento General de Protección de Datos.
II
Esta ley consta de cuarenta y dos artículos, estructurados en cuatro capítulos, tres
disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y
una disposición final.
El objeto de esta ley es adaptar la normativa autonómica vasca en materia de
protección de datos al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así
como a la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales
tratados para fines de prevención, detección, investigación y enjuiciamiento de
infracciones penales y de ejecución de sanciones penales, estableciendo, en particular,
el régimen jurídico de la Autoridad Vasca de Protección de Datos.
La delimitación del ámbito de aplicación subjetivo de la ley se lleva a cabo a partir de
la pertenencia al sector público de las entidades que tienen la condición de responsables
del tratamiento o la vinculación del mencionado tratamiento con el ejercicio de
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
