I. Disposiciones generales. COMUNIDAD AUTÓNOMA DEL PAÍS VASCO. Organización. (BOE-A-2024-900)
Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
28 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 18 de enero de 2024
Sec. I. Pág. 6387
atendiendo a su objeto, la presente ley adapta la normativa autonómica vasca en materia
de protección de datos.
La ley establece una clara diferenciación entre el régimen sancionador aplicable al
sector público y al privado. Por lo que a este último se refiere, para las infracciones
contempladas en la ley se prevén diversas sanciones de multa, así como los criterios
para la graduación de su importe, que se impondrán en función de las circunstancias de
cada caso individual, a título adicional o sustitutivo de las medidas establecidas en el
Reglamento (UE) 2016/679.
De otro lado, la comisión de alguna de las infracciones a las que se refiere esta ley,
por las administraciones, entidades e instituciones públicas vascas incluidas en su
ámbito de aplicación, cuando actúen como responsables o encargados del tratamiento,
no será sancionada con la imposición de una sanción económica, sino con
apercibimiento, con indicación de las medidas correctivas que proceda adoptar para que
cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
Se establece igualmente la adopción de medidas específicas en los supuestos en los
que las infracciones fueran imputables a autoridades, altos cargos y personal directivo, y
se hubiera acreditado que la acción infractora se llevó a cabo en contra del criterio
sustentado por informes técnicos o recomendaciones para el tratamiento, que no
hubieran sido debidamente atendidos. En este caso, se prevé expresamente que en la
resolución en la que se imponga la sanción se incluirá una amonestación con la
denominación del cargo que fuese responsable y se ordenará su publicación en el
«Boletín Oficial del País Vasco».
Finalmente, y como especialidades propias del régimen del sector público en la
Comunidad Autónoma del País Vasco, se prevé que, junto con las medidas establecidas
con carácter general, será aplicable lo establecido en el Código Ético y de Conducta de
los cargos públicos y personal eventual de la Administración General e Institucional de la
Comunidad Autónoma del País Vasco, así como que se comunicarán al Ararteko las
resoluciones sancionadoras que se dicten.
En este concreto apartado, el principio de transparencia exige garantizar el adecuado
escrutinio de la actividad pública, garantizando el público conocimiento del modo en que
se lleva a cabo, de forma que sea de público conocimiento la existencia de cualquier
desviación que pudiera haberse producido en la mencionada gestión.
Por este motivo, se regula expresamente un régimen especial de publicidad en el
ámbito del sector público, que permita a la ciudadanía conocer el efectivo cumplimiento
de la normativa por los entes y organismos que lo integran o por quienes, incardinados
en el sector privado, tienen a su cargo la ejecución de esta actividad.
En este sentido, se prevé la publicación en el «Boletín Oficial del País Vasco» de la
información relevante referida a las sanciones de mayor gravedad impuestas por la
Autoridad Vasca de Protección de Datos, limitando los datos publicados a la información
que identifique a la persona infractora, la infracción cometida y el importe de la sanción
impuesta cuando exceda de un millón de euros y la persona infractora sea una persona
jurídica; y a las amonestaciones impuestas a las autoridades, altos cargos y personal
directivo que hubieran ordenado la realización de la conducta infractora apartándose
para ello de informes técnicos o recomendaciones para el tratamiento de los datos.
Por último, y por lo que se refiere a la prescripción de las sanciones, la ley opta por el
mantenimiento de los plazos de prescripción que ya regían con anterioridad a la entrada
en vigor del Reglamento (UE) 2016/679, estableciendo los plazos en función de las
cuantías que en el anterior marco normativo se preveían para las infracciones por
sanciones leves, graves y muy graves. Además, y en coherencia con su objeto, que
contempla la adaptación de la normativa autonómica vasca a las previsiones contenidas
en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados
para fines de prevención, detección, investigación y enjuiciamiento de infracciones
penales y de ejecución de sanciones penales, se regulan también los plazos de
prescripción de las sanciones contempladas en dicha ley, en función de su importe.
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6387
atendiendo a su objeto, la presente ley adapta la normativa autonómica vasca en materia
de protección de datos.
La ley establece una clara diferenciación entre el régimen sancionador aplicable al
sector público y al privado. Por lo que a este último se refiere, para las infracciones
contempladas en la ley se prevén diversas sanciones de multa, así como los criterios
para la graduación de su importe, que se impondrán en función de las circunstancias de
cada caso individual, a título adicional o sustitutivo de las medidas establecidas en el
Reglamento (UE) 2016/679.
De otro lado, la comisión de alguna de las infracciones a las que se refiere esta ley,
por las administraciones, entidades e instituciones públicas vascas incluidas en su
ámbito de aplicación, cuando actúen como responsables o encargados del tratamiento,
no será sancionada con la imposición de una sanción económica, sino con
apercibimiento, con indicación de las medidas correctivas que proceda adoptar para que
cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
Se establece igualmente la adopción de medidas específicas en los supuestos en los
que las infracciones fueran imputables a autoridades, altos cargos y personal directivo, y
se hubiera acreditado que la acción infractora se llevó a cabo en contra del criterio
sustentado por informes técnicos o recomendaciones para el tratamiento, que no
hubieran sido debidamente atendidos. En este caso, se prevé expresamente que en la
resolución en la que se imponga la sanción se incluirá una amonestación con la
denominación del cargo que fuese responsable y se ordenará su publicación en el
«Boletín Oficial del País Vasco».
Finalmente, y como especialidades propias del régimen del sector público en la
Comunidad Autónoma del País Vasco, se prevé que, junto con las medidas establecidas
con carácter general, será aplicable lo establecido en el Código Ético y de Conducta de
los cargos públicos y personal eventual de la Administración General e Institucional de la
Comunidad Autónoma del País Vasco, así como que se comunicarán al Ararteko las
resoluciones sancionadoras que se dicten.
En este concreto apartado, el principio de transparencia exige garantizar el adecuado
escrutinio de la actividad pública, garantizando el público conocimiento del modo en que
se lleva a cabo, de forma que sea de público conocimiento la existencia de cualquier
desviación que pudiera haberse producido en la mencionada gestión.
Por este motivo, se regula expresamente un régimen especial de publicidad en el
ámbito del sector público, que permita a la ciudadanía conocer el efectivo cumplimiento
de la normativa por los entes y organismos que lo integran o por quienes, incardinados
en el sector privado, tienen a su cargo la ejecución de esta actividad.
En este sentido, se prevé la publicación en el «Boletín Oficial del País Vasco» de la
información relevante referida a las sanciones de mayor gravedad impuestas por la
Autoridad Vasca de Protección de Datos, limitando los datos publicados a la información
que identifique a la persona infractora, la infracción cometida y el importe de la sanción
impuesta cuando exceda de un millón de euros y la persona infractora sea una persona
jurídica; y a las amonestaciones impuestas a las autoridades, altos cargos y personal
directivo que hubieran ordenado la realización de la conducta infractora apartándose
para ello de informes técnicos o recomendaciones para el tratamiento de los datos.
Por último, y por lo que se refiere a la prescripción de las sanciones, la ley opta por el
mantenimiento de los plazos de prescripción que ya regían con anterioridad a la entrada
en vigor del Reglamento (UE) 2016/679, estableciendo los plazos en función de las
cuantías que en el anterior marco normativo se preveían para las infracciones por
sanciones leves, graves y muy graves. Además, y en coherencia con su objeto, que
contempla la adaptación de la normativa autonómica vasca a las previsiones contenidas
en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados
para fines de prevención, detección, investigación y enjuiciamiento de infracciones
penales y de ejecución de sanciones penales, se regulan también los plazos de
prescripción de las sanciones contempladas en dicha ley, en función de su importe.
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
