I. Disposiciones generales. COMUNIDAD AUTÓNOMA DEL PAÍS VASCO. Organización. (BOE-A-2024-900)
Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
28 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 18 de enero de 2024
Sec. I. Pág. 6384
potestades jurídico-públicas, a fin de regular la totalidad de los tratamientos de datos
llevados a cabo por el denominado sector público.
En su ámbito de aplicación también se incluyen los tratamientos de los que sean
responsables aquellas instituciones reguladas por el Estatuto de Autonomía, tales como
el Parlamento Vasco, las juntas generales de los territorios históricos, el Tribunal Vasco
de Cuentas Públicas y el Ararteko, así como las entidades creadas por ley del
Parlamento Vasco y las autoridades administrativas independientes. Igualmente incluye a
los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas
generales de los territorios históricos y los grupos políticos municipales, así como a la
Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del
Sistema Universitario Vasco, así como los entes de ellas dependientes.
Así mismo, están sometidos al ámbito de competencia de la Autoridad Vasca de
Protección de Datos la totalidad de los tratamientos de los que sean responsables las
corporaciones de derecho público, representativas de intereses económicos y
profesionales.
Por último, en relación con el sector privado, es preciso diferenciar tres supuestos de
sometimiento a las disposiciones de la ley. En primer lugar, somete a su ámbito de
aplicación a las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el
ejercicio de funciones públicas en materias que sean competencia de las
administraciones públicas que integran el sector público. En segundo lugar, quedan
sometidas a lo dispuesto en la norma las entidades de derecho privado que prestan
servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que
respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de
dichos servicios, al considerarse esos servicios como prestados por la administración
titular de la competencia para su gestión. Por último, no debe olvidarse que existen
entidades de derecho privado que prestan sus servicios como encargados del
tratamiento a las administraciones y entidades del sector público. Estas entidades
quedarán sometidas a la competencia de la Autoridad Vasca de Protección de Datos, al
estar sujeta a esta última la actividad de la administración o entidad responsable del
tratamiento.
Junto con el ámbito de aplicación subjetivo, en cuanto a los responsables o
encargados cuya actividad queda sometida a la ley, es preciso igualmente delimitar los
supuestos excluidos de su aplicación, quedando exclusivamente limitados a aquellos
tratamientos referidos a personas fallecidas y los sometidos a la normativa sobre
protección de materias clasificadas.
III
El capítulo II de la ley, estructurado en seis secciones, establece el régimen jurídico
de la Autoridad Vasca de Protección de Datos, que sustituirá, como se indica en la
disposición adicional segunda, a la actual Agencia Vasca de Protección de Datos. Se
produce así un cambio esencial en la organización institucional en materia de protección
de datos, que no solo afecta a la denominación de la Autoridad, sino también a su
régimen jurídico, organización y competencias, desarrollando así el elenco establecido
por el Reglamento (UE) 2016/679.
La sección 1.ª tiene por objeto establecer el régimen jurídico al que se somete la
Autoridad Vasca de Protección de Datos, partiendo del requisito esencial de
independencia con que se inviste a la autoridad de control para evitar que la injerencia
de los poderes públicos afecte al adecuado cumplimiento de las funciones y potestades
que tiene encomendadas. Esta independencia no solo implica el no sometimiento a
instrucción alguna en el desempeño de sus competencias, sino que se materializa en la
necesidad de que se la dote de los medios personales, materiales, técnicos y financieros
necesarios para el cumplimiento efectivo de sus funciones.
En lo que afecta a las competencias de la Autoridad Vasca de Protección de Datos,
en caso de que la doctrina emanada de ella en el ejercicio de sus funciones y potestades
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6384
potestades jurídico-públicas, a fin de regular la totalidad de los tratamientos de datos
llevados a cabo por el denominado sector público.
En su ámbito de aplicación también se incluyen los tratamientos de los que sean
responsables aquellas instituciones reguladas por el Estatuto de Autonomía, tales como
el Parlamento Vasco, las juntas generales de los territorios históricos, el Tribunal Vasco
de Cuentas Públicas y el Ararteko, así como las entidades creadas por ley del
Parlamento Vasco y las autoridades administrativas independientes. Igualmente incluye a
los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas
generales de los territorios históricos y los grupos políticos municipales, así como a la
Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del
Sistema Universitario Vasco, así como los entes de ellas dependientes.
Así mismo, están sometidos al ámbito de competencia de la Autoridad Vasca de
Protección de Datos la totalidad de los tratamientos de los que sean responsables las
corporaciones de derecho público, representativas de intereses económicos y
profesionales.
Por último, en relación con el sector privado, es preciso diferenciar tres supuestos de
sometimiento a las disposiciones de la ley. En primer lugar, somete a su ámbito de
aplicación a las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el
ejercicio de funciones públicas en materias que sean competencia de las
administraciones públicas que integran el sector público. En segundo lugar, quedan
sometidas a lo dispuesto en la norma las entidades de derecho privado que prestan
servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que
respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de
dichos servicios, al considerarse esos servicios como prestados por la administración
titular de la competencia para su gestión. Por último, no debe olvidarse que existen
entidades de derecho privado que prestan sus servicios como encargados del
tratamiento a las administraciones y entidades del sector público. Estas entidades
quedarán sometidas a la competencia de la Autoridad Vasca de Protección de Datos, al
estar sujeta a esta última la actividad de la administración o entidad responsable del
tratamiento.
Junto con el ámbito de aplicación subjetivo, en cuanto a los responsables o
encargados cuya actividad queda sometida a la ley, es preciso igualmente delimitar los
supuestos excluidos de su aplicación, quedando exclusivamente limitados a aquellos
tratamientos referidos a personas fallecidas y los sometidos a la normativa sobre
protección de materias clasificadas.
III
El capítulo II de la ley, estructurado en seis secciones, establece el régimen jurídico
de la Autoridad Vasca de Protección de Datos, que sustituirá, como se indica en la
disposición adicional segunda, a la actual Agencia Vasca de Protección de Datos. Se
produce así un cambio esencial en la organización institucional en materia de protección
de datos, que no solo afecta a la denominación de la Autoridad, sino también a su
régimen jurídico, organización y competencias, desarrollando así el elenco establecido
por el Reglamento (UE) 2016/679.
La sección 1.ª tiene por objeto establecer el régimen jurídico al que se somete la
Autoridad Vasca de Protección de Datos, partiendo del requisito esencial de
independencia con que se inviste a la autoridad de control para evitar que la injerencia
de los poderes públicos afecte al adecuado cumplimiento de las funciones y potestades
que tiene encomendadas. Esta independencia no solo implica el no sometimiento a
instrucción alguna en el desempeño de sus competencias, sino que se materializa en la
necesidad de que se la dote de los medios personales, materiales, técnicos y financieros
necesarios para el cumplimiento efectivo de sus funciones.
En lo que afecta a las competencias de la Autoridad Vasca de Protección de Datos,
en caso de que la doctrina emanada de ella en el ejercicio de sus funciones y potestades
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
