I. Disposiciones generales. COMUNIDAD AUTÓNOMA DEL PAÍS VASCO. Organización. (BOE-A-2024-900)
Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
28 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 18 de enero de 2024
Sec. I. Pág. 6386
Por su carácter novedoso, se hace especial referencia a las competencias de
carácter regulatorio, a las que se dedica la sección 4.ª Así, la Autoridad, a través de su
presidencia, como órgano ejecutivo, podrá dictar circulares en las que, en relación con
los tratamientos sometidos a su competencia, se fijen los criterios a que responderá la
actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE)
2016/679 y la restante normativa de protección de datos personales que resulte de
aplicación, siendo dichas circulares de obligado cumplimiento, una vez se proceda a su
publicación en el «Boletín Oficial del País Vasco».
En la sección 5.ª se regula otra serie de funciones muy diversas de la Autoridad
Vasca de Protección de Datos, tales como su participación como sujeto de la acción
exterior y en lo que atañe a la posible celebración de acuerdos internacionales
administrativos en ejecución y concreción de los tratados internacionales que así lo
prevean y se refieran a materias de su competencia; los supuestos en los que su
intervención será necesaria en relación con las transferencias internacionales de datos;
reconoce su competencia para la aprobación de los códigos de conducta que regulen las
actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la ley, así
como para acreditar a organismos o entidades de certificación en materia de protección
de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables
y encargados sometidos a su ámbito de aplicación; y, por último, la formación en
protección de datos personales, por cuanto la Autoridad Vasca de Protección de Datos
promoverá la difusión de las disposiciones contenidas en la normativa de protección de
datos personales, con la finalidad de garantizar el adecuado conocimiento por la
ciudadanía de su derecho fundamental a la protección de tales datos, y por los
responsables de las obligaciones que las citadas normas les imponen para respetarlo.
Por último, la sección 6.ª establece los aspectos esenciales de la relación de la
Autoridad Vasca de Protección de Datos con las restantes autoridades de protección de
datos del Estado. Profundiza en el reconocimiento del principio de cooperación
institucional entre las autoridades de protección de datos del Estado, poniendo de
manifiesto su esencial vinculación con la propia razón de ser de las autoridades de
control, dado que con la garantía de su adecuada cooperación, colaboración y
coordinación se logra el objetivo de garantizar la adecuada protección del derecho
fundamental a la protección de datos personales. En este sentido, se prevé la potestad
de la Autoridad Vasca de Protección de Datos de suscribir con las restantes autoridades
de protección de datos del Estado los protocolos, acuerdos y convenios de colaboración
que fuesen necesarios para el adecuado desarrollo de la cooperación institucional.
Se reconoce a su vez la importancia de las actuaciones conjuntas de investigación y
la posibilidad de desarrollar planes conjuntos de auditoría, así como los supuestos de
cooperación en el marco de los procedimientos transfronterizos.
IV
El capítulo III de la ley regula el régimen sancionador, al que quedan sometidos los
responsables y encargados de los tratamientos sometidos a su ámbito de aplicación, así
como las entidades acreditadas de supervisión de los códigos de conducta aprobados
por la Autoridad Vasca de Protección de Datos, y las entidades de certificación
acreditadas por dicha autoridad.
Una de las principales novedades que introduce el Reglamento General de
Protección de Datos es el establecimiento de un marco sancionador uniforme para la
reacción ante las vulneraciones en materia de protección de datos en el ámbito de toda
la Unión Europea. De este modo, es el propio reglamento el que determina las conductas
típicas constitutivas de infracción y el régimen sancionador aplicable en caso de
comisión de las conductas típicas.
Al propio tiempo, estas disposiciones se complementan por la normativa interna de
los estados miembros, que en el ámbito estatal está constituida por las concretas
previsiones contenidas en los artículos, que se citan, de las leyes orgánicas a las que,
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6386
Por su carácter novedoso, se hace especial referencia a las competencias de
carácter regulatorio, a las que se dedica la sección 4.ª Así, la Autoridad, a través de su
presidencia, como órgano ejecutivo, podrá dictar circulares en las que, en relación con
los tratamientos sometidos a su competencia, se fijen los criterios a que responderá la
actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE)
2016/679 y la restante normativa de protección de datos personales que resulte de
aplicación, siendo dichas circulares de obligado cumplimiento, una vez se proceda a su
publicación en el «Boletín Oficial del País Vasco».
En la sección 5.ª se regula otra serie de funciones muy diversas de la Autoridad
Vasca de Protección de Datos, tales como su participación como sujeto de la acción
exterior y en lo que atañe a la posible celebración de acuerdos internacionales
administrativos en ejecución y concreción de los tratados internacionales que así lo
prevean y se refieran a materias de su competencia; los supuestos en los que su
intervención será necesaria en relación con las transferencias internacionales de datos;
reconoce su competencia para la aprobación de los códigos de conducta que regulen las
actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la ley, así
como para acreditar a organismos o entidades de certificación en materia de protección
de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables
y encargados sometidos a su ámbito de aplicación; y, por último, la formación en
protección de datos personales, por cuanto la Autoridad Vasca de Protección de Datos
promoverá la difusión de las disposiciones contenidas en la normativa de protección de
datos personales, con la finalidad de garantizar el adecuado conocimiento por la
ciudadanía de su derecho fundamental a la protección de tales datos, y por los
responsables de las obligaciones que las citadas normas les imponen para respetarlo.
Por último, la sección 6.ª establece los aspectos esenciales de la relación de la
Autoridad Vasca de Protección de Datos con las restantes autoridades de protección de
datos del Estado. Profundiza en el reconocimiento del principio de cooperación
institucional entre las autoridades de protección de datos del Estado, poniendo de
manifiesto su esencial vinculación con la propia razón de ser de las autoridades de
control, dado que con la garantía de su adecuada cooperación, colaboración y
coordinación se logra el objetivo de garantizar la adecuada protección del derecho
fundamental a la protección de datos personales. En este sentido, se prevé la potestad
de la Autoridad Vasca de Protección de Datos de suscribir con las restantes autoridades
de protección de datos del Estado los protocolos, acuerdos y convenios de colaboración
que fuesen necesarios para el adecuado desarrollo de la cooperación institucional.
Se reconoce a su vez la importancia de las actuaciones conjuntas de investigación y
la posibilidad de desarrollar planes conjuntos de auditoría, así como los supuestos de
cooperación en el marco de los procedimientos transfronterizos.
IV
El capítulo III de la ley regula el régimen sancionador, al que quedan sometidos los
responsables y encargados de los tratamientos sometidos a su ámbito de aplicación, así
como las entidades acreditadas de supervisión de los códigos de conducta aprobados
por la Autoridad Vasca de Protección de Datos, y las entidades de certificación
acreditadas por dicha autoridad.
Una de las principales novedades que introduce el Reglamento General de
Protección de Datos es el establecimiento de un marco sancionador uniforme para la
reacción ante las vulneraciones en materia de protección de datos en el ámbito de toda
la Unión Europea. De este modo, es el propio reglamento el que determina las conductas
típicas constitutivas de infracción y el régimen sancionador aplicable en caso de
comisión de las conductas típicas.
Al propio tiempo, estas disposiciones se complementan por la normativa interna de
los estados miembros, que en el ámbito estatal está constituida por las concretas
previsiones contenidas en los artículos, que se citan, de las leyes orgánicas a las que,
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
