I. Disposiciones generales. COMUNIDAD AUTÓNOMA DEL PAÍS VASCO. Organización. (BOE-A-2024-900)
Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
28 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 18 de enero de 2024
Sec. I. Pág. 6388
V
El capítulo IV, compuesto por cinco secciones, regula los procedimientos en caso de
infracción de las normas de protección de datos.
La sección 1.ª, disposiciones generales, regula el régimen jurídico aplicable y las
causas de suspensión del procedimiento.
Como punto de partida, la ley delimita el alcance de la aplicación de las normas que
contiene, que no son de aplicación a todos los procedimientos tramitados por la
Autoridad Vasca de Protección de Datos, sino únicamente a aquellos en los que resulta
necesario el establecimiento de especialidades respecto de lo establecido en la
normativa general reguladora del procedimiento administrativo. De este modo, se
regulan los tres supuestos en los que serán de aplicación las normas contenidas en este
capítulo, siendo de aplicación subsidiaria a los procedimientos sancionadores lo
establecido en la normativa reguladora del ejercicio de la potestad sancionadora de las
administraciones públicas de la Comunidad Autónoma del País Vasco.
El efecto suspensivo del procedimiento se prevé no solo en los casos previstos en la
normativa básica, sino también en aquellos en los que deba recabarse información,
consulta, solicitud de asistencia o pronunciamiento preceptivo de otras autoridades de
control. Esta suspensión se extendería durante el período que media entre la solicitud y
la notificación del pronunciamiento a la Autoridad Vasca de Protección de Datos.
La sección 2.ª regula la iniciación del procedimiento, que incluye la admisión a
trámite de la reclamación y las actuaciones previas que han de llevarse a cabo, tal como
el análisis de la competencia de la autoridad de control, incorporándose la posibilidad de
la adopción de una decisión acerca de la procedencia o no de la tramitación del
procedimiento. A tal efecto, enumera una serie de supuestos en los que no procedería
proseguir con el procedimiento, sino acordar su inadmisión.
Se prevé a su vez que la Autoridad Vasca de Protección de Datos puede acordar de
oficio el inicio del procedimiento al tener conocimiento de la existencia de indicios de la
comisión de una infracción de lo dispuesto en la normativa de protección de datos
personales. Igualmente, es posible que la iniciación se deba al requerimiento de otra
autoridad de protección de datos, tanto del Estado como de otro Estado miembro.
Las secciones 3.ª y 4.ª regulan, respectivamente, la tramitación del procedimiento en
caso de reclamaciones derivadas del ejercicio de derechos, y del procedimiento de
ejercicio de la potestad sancionadora.
La ley diferencia, siguiendo el criterio ya existente en la normativa actualmente
vigente, entre los procedimientos relacionados exclusivamente con el reconocimiento del
ejercicio por las personas interesadas de los derechos consagrados por las normas de
protección de datos, y los procedimientos relacionados con el ejercicio de la potestad
sancionadora. Lógicamente, en los supuestos en los que la reclamación formulada por la
persona interesada contuviese ambas pretensiones, la Autoridad Vasca de Protección de
Datos podrá decidir la apertura de dos procedimientos diferenciados.
La diferencia es sustancial, dado que se pretende que el procedimiento relacionado
con la atención de los derechos, que en la mayor parte de los supuestos se centrará en
la cuestión de valoración de la prueba de que los derechos fueron atendidos o, a lo
sumo, en la improcedencia de dicha atención, tenga una duración sustancialmente
inferior a la de los procedimientos sancionadores, en los que, además, será posible la
adopción de medidas cautelares que garanticen un rápido restablecimiento del derecho
cuando así proceda.
En relación con los procedimientos referidos a la solicitud no atendida de ejercicio de
derechos, la ley mantiene el principio contradictorio, estableciendo un plazo máximo de
resolución del procedimiento de seis meses, tras los cuales la persona interesada podrá
considerar desestimada su reclamación.
Por último, la sección 5.ª regula las diferentes especialidades en los casos de
procedimientos referidos a tratamientos transfronterizos. La ley adopta las medidas
normativas pertinentes para tener en cuenta las nuevas situaciones introducidas por el
reglamento europeo de protección de datos. En concreto, introduce especialidades en
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
Jueves 18 de enero de 2024
Sec. I. Pág. 6388
V
El capítulo IV, compuesto por cinco secciones, regula los procedimientos en caso de
infracción de las normas de protección de datos.
La sección 1.ª, disposiciones generales, regula el régimen jurídico aplicable y las
causas de suspensión del procedimiento.
Como punto de partida, la ley delimita el alcance de la aplicación de las normas que
contiene, que no son de aplicación a todos los procedimientos tramitados por la
Autoridad Vasca de Protección de Datos, sino únicamente a aquellos en los que resulta
necesario el establecimiento de especialidades respecto de lo establecido en la
normativa general reguladora del procedimiento administrativo. De este modo, se
regulan los tres supuestos en los que serán de aplicación las normas contenidas en este
capítulo, siendo de aplicación subsidiaria a los procedimientos sancionadores lo
establecido en la normativa reguladora del ejercicio de la potestad sancionadora de las
administraciones públicas de la Comunidad Autónoma del País Vasco.
El efecto suspensivo del procedimiento se prevé no solo en los casos previstos en la
normativa básica, sino también en aquellos en los que deba recabarse información,
consulta, solicitud de asistencia o pronunciamiento preceptivo de otras autoridades de
control. Esta suspensión se extendería durante el período que media entre la solicitud y
la notificación del pronunciamiento a la Autoridad Vasca de Protección de Datos.
La sección 2.ª regula la iniciación del procedimiento, que incluye la admisión a
trámite de la reclamación y las actuaciones previas que han de llevarse a cabo, tal como
el análisis de la competencia de la autoridad de control, incorporándose la posibilidad de
la adopción de una decisión acerca de la procedencia o no de la tramitación del
procedimiento. A tal efecto, enumera una serie de supuestos en los que no procedería
proseguir con el procedimiento, sino acordar su inadmisión.
Se prevé a su vez que la Autoridad Vasca de Protección de Datos puede acordar de
oficio el inicio del procedimiento al tener conocimiento de la existencia de indicios de la
comisión de una infracción de lo dispuesto en la normativa de protección de datos
personales. Igualmente, es posible que la iniciación se deba al requerimiento de otra
autoridad de protección de datos, tanto del Estado como de otro Estado miembro.
Las secciones 3.ª y 4.ª regulan, respectivamente, la tramitación del procedimiento en
caso de reclamaciones derivadas del ejercicio de derechos, y del procedimiento de
ejercicio de la potestad sancionadora.
La ley diferencia, siguiendo el criterio ya existente en la normativa actualmente
vigente, entre los procedimientos relacionados exclusivamente con el reconocimiento del
ejercicio por las personas interesadas de los derechos consagrados por las normas de
protección de datos, y los procedimientos relacionados con el ejercicio de la potestad
sancionadora. Lógicamente, en los supuestos en los que la reclamación formulada por la
persona interesada contuviese ambas pretensiones, la Autoridad Vasca de Protección de
Datos podrá decidir la apertura de dos procedimientos diferenciados.
La diferencia es sustancial, dado que se pretende que el procedimiento relacionado
con la atención de los derechos, que en la mayor parte de los supuestos se centrará en
la cuestión de valoración de la prueba de que los derechos fueron atendidos o, a lo
sumo, en la improcedencia de dicha atención, tenga una duración sustancialmente
inferior a la de los procedimientos sancionadores, en los que, además, será posible la
adopción de medidas cautelares que garanticen un rápido restablecimiento del derecho
cuando así proceda.
En relación con los procedimientos referidos a la solicitud no atendida de ejercicio de
derechos, la ley mantiene el principio contradictorio, estableciendo un plazo máximo de
resolución del procedimiento de seis meses, tras los cuales la persona interesada podrá
considerar desestimada su reclamación.
Por último, la sección 5.ª regula las diferentes especialidades en los casos de
procedimientos referidos a tratamientos transfronterizos. La ley adopta las medidas
normativas pertinentes para tener en cuenta las nuevas situaciones introducidas por el
reglamento europeo de protección de datos. En concreto, introduce especialidades en
cve: BOE-A-2024-900
Verificable en https://www.boe.es
Núm. 16
