Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos

Se hace saber a todos los ciudadanos y ciudadanas de Euskadi que el Parlamento Vasco ha aprobado la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.

EXPOSICIÓN DE MOTIVOS

I

El marco normativo en materia de protección de datos personales ha sufrido una importante modificación como consecuencia de la aprobación y plena aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Comúnmente se denomina Reglamento General de Protección de Datos.

El Reglamento (UE) 2016/679 es una norma dotada de efecto directo pleno en los estados miembros, e introduce novedades fundamentales, tanto en la regulación sustantiva del derecho fundamental a la protección de datos, como en lo que afecta a la supervisión de dicho derecho por las denominadas autoridades de control, autoridades públicas independientes que cada Estado miembro establecerá con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento, y de facilitar la libre circulación de datos personales en la Unión. Desde la aprobación de las primeras normas reguladoras de la protección de datos personales en el Estado, su régimen de supervisión se ha materializado en la coexistencia de diversas autoridades de control, estatal y autonómicas, con ámbitos competenciales diferenciados.

A su vez, el Reglamento General de Protección de Datos establece un amplio elenco de funciones y potestades a desarrollar por las autoridades de control, que deberán estar dotadas de medios que garanticen adecuadamente su independencia, constituida como un principio esencial de garantía de la adecuada protección del derecho fundamental.

Con la finalidad de adaptar el derecho interno al reglamento, se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que dedica el capítulo II de su título VII a las denominadas autoridades autonómicas de protección de datos.

Más recientemente, y en transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, se aprobó la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Esta ley orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección y prevención frente a las amenazas contra la seguridad pública.

Teniendo en cuenta las consideraciones anteriores, se ha elaborado esta ley de protección de datos personales, que tiene por objeto adaptar la organización y funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Así pues, esta ley reemplaza el régimen contenido en la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, y en sus normas de desarrollo, en particular el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la citada Ley 2/2004, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.

En la elaboración de la ley se ha considerado que el régimen de los principios, derechos y obligaciones que configura el derecho fundamental a la protección de datos personales se encuentra suficientemente regulado con las disposiciones contenidas en el Reglamento General de Protección de Datos, completadas con las previstas en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, lo que hace innecesario adoptar adicionalmente ninguna disposición relacionada con el contenido sustantivo del derecho fundamental. En el mismo sentido, se ha considerado que ambas normas ya establecen un marco suficientemente claro de obligaciones que no precisa de ser completado por la norma autonómica, so pena de establecer un régimen especialmente burocrático de obligaciones para las administraciones y entidades sometidas a su ámbito de aplicación.

Teniendo en cuenta esta premisa, la ley se ha estructurado en torno a cuatro capítulos, siendo el primero únicamente expresivo de la delimitación del objeto y ámbito de aplicación de la ley. Los tres restantes capítulos regulan el régimen de la Autoridad Vasca de Protección de Datos, que reemplaza a la actual Agencia Vasca de Protección de Datos; el régimen sancionador al que se someten los responsables y encargados del tratamiento comprendidos en el ámbito de aplicación de la ley, y, por último, el procedimiento que se seguirá en los supuestos en los que la autoridad vasca deba tramitar una reclamación formulada por la persona interesada, o hacer uso de sus facultades de investigación y, en su caso, sanción, bien de oficio o bien por haberse solicitado su tramitación por otra autoridad de control, tanto del Estado como de otro Estado miembro, de conformidad con las normas de procedimiento establecidas en el Reglamento General de Protección de Datos.

II

Esta ley consta de cuarenta y dos artículos, estructurados en cuatro capítulos, tres disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y una disposición final.

El objeto de esta ley es adaptar la normativa autonómica vasca en materia de protección de datos al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, estableciendo, en particular, el régimen jurídico de la Autoridad Vasca de Protección de Datos.

La delimitación del ámbito de aplicación subjetivo de la ley se lleva a cabo a partir de la pertenencia al sector público de las entidades que tienen la condición de responsables del tratamiento o la vinculación del mencionado tratamiento con el ejercicio de potestades jurídico-públicas, a fin de regular la totalidad de los tratamientos de datos llevados a cabo por el denominado sector público.

En su ámbito de aplicación también se incluyen los tratamientos de los que sean responsables aquellas instituciones reguladas por el Estatuto de Autonomía, tales como el Parlamento Vasco, las juntas generales de los territorios históricos, el Tribunal Vasco de Cuentas Públicas y el Ararteko, así como las entidades creadas por ley del Parlamento Vasco y las autoridades administrativas independientes. Igualmente incluye a los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas generales de los territorios históricos y los grupos políticos municipales, así como a la Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del Sistema Universitario Vasco, así como los entes de ellas dependientes.

Así mismo, están sometidos al ámbito de competencia de la Autoridad Vasca de Protección de Datos la totalidad de los tratamientos de los que sean responsables las corporaciones de derecho público, representativas de intereses económicos y profesionales.

Por último, en relación con el sector privado, es preciso diferenciar tres supuestos de sometimiento a las disposiciones de la ley. En primer lugar, somete a su ámbito de aplicación a las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que sean competencia de las administraciones públicas que integran el sector público. En segundo lugar, quedan sometidas a lo dispuesto en la norma las entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios, al considerarse esos servicios como prestados por la administración titular de la competencia para su gestión. Por último, no debe olvidarse que existen entidades de derecho privado que prestan sus servicios como encargados del tratamiento a las administraciones y entidades del sector público. Estas entidades quedarán sometidas a la competencia de la Autoridad Vasca de Protección de Datos, al estar sujeta a esta última la actividad de la administración o entidad responsable del tratamiento.

Junto con el ámbito de aplicación subjetivo, en cuanto a los responsables o encargados cuya actividad queda sometida a la ley, es preciso igualmente delimitar los supuestos excluidos de su aplicación, quedando exclusivamente limitados a aquellos tratamientos referidos a personas fallecidas y los sometidos a la normativa sobre protección de materias clasificadas.

III

El capítulo II de la ley, estructurado en seis secciones, establece el régimen jurídico de la Autoridad Vasca de Protección de Datos, que sustituirá, como se indica en la disposición adicional segunda, a la actual Agencia Vasca de Protección de Datos. Se produce así un cambio esencial en la organización institucional en materia de protección de datos, que no solo afecta a la denominación de la Autoridad, sino también a su régimen jurídico, organización y competencias, desarrollando así el elenco establecido por el Reglamento (UE) 2016/679.

La sección 1.ª tiene por objeto establecer el régimen jurídico al que se somete la Autoridad Vasca de Protección de Datos, partiendo del requisito esencial de independencia con que se inviste a la autoridad de control para evitar que la injerencia de los poderes públicos afecte al adecuado cumplimiento de las funciones y potestades que tiene encomendadas. Esta independencia no solo implica el no sometimiento a instrucción alguna en el desempeño de sus competencias, sino que se materializa en la necesidad de que se la dote de los medios personales, materiales, técnicos y financieros necesarios para el cumplimiento efectivo de sus funciones.

En lo que afecta a las competencias de la Autoridad Vasca de Protección de Datos, en caso de que la doctrina emanada de ella en el ejercicio de sus funciones y potestades no pudiera ser accesible por la ciudadanía y por aquellas entidades sometidas a su competencia, el alcance del conocimiento del derecho fundamental a la protección de datos personales quedaría enormemente limitado, lo que implicaría una merma de las garantías que habrían de ser adoptadas para su protección. La ley es particularmente sensible a este necesario esfuerzo en materia de transparencia, estableciendo una serie de obligaciones adicionales a las legalmente establecidas en lo que respecta a sus obligaciones de publicidad activa.

En todo caso, la publicidad de sus resoluciones, dictámenes y documentos no puede ser ajena al propio derecho fundamental tutelado. Por este motivo, la ley prevé que, como ya es norma en otros ámbitos, como el de la publicidad de las resoluciones judiciales, se proceda, con carácter previo a llevarla a cabo, a la disociación de los datos personales que dichos documentos incorporen.

En la sección 2.ª se regulan los órganos de la Autoridad Vasca de Protección de Datos. Se opta por el mantenimiento del modelo unipersonal que ha demostrado su efectividad en los más de quince años de funcionamiento de la Agencia Vasca de Protección de Datos y que, además, se corresponde con el modelo existente en las restantes autoridades de protección de datos creadas en el Estado. Este órgano será asesorado por un consejo consultivo sin potestades ejecutivas, cuya opinión podrá ser recabada en todas las cuestiones que resulten relevantes para el adecuado ejercicio de sus competencias.

Se modifica la denominación del órgano ejecutivo de la Autoridad, que pasa a denominarse presidencia, clarificándose así su rango. Con la finalidad de reforzar su independencia, se diseña un nuevo procedimiento para su designación, en el que intervendrán el Poder ejecutivo y el legislativo. A su vez, se limitan los supuestos en que será posible el cese de quien ostente la presidencia de la Autoridad, exigiendo además la intervención del Parlamento Vasco en todos los que no se produzcan a petición propia o por la existencia de una condena penal.

El plazo de duración del mandato de la presidencia de la Autoridad se fija en cinco años, garantizándose así que no se produzca una coincidencia con la duración temporal de la legislatura, lo que sirve asimismo para reforzar la independencia de la institución y la necesidad de que concurra un consenso en su nombramiento.

Finalmente, se refuerza la consideración de la presidencia de la Autoridad, que será un alto cargo, asimilado al de las personas titulares de las viceconsejerías. No obstante, esta asimilación únicamente será aplicable a partir del primer nombramiento para la presidencia que tenga lugar con posterioridad a la entrada en vigor de la ley.

En la sección 3.ª se recalcan las competencias de investigación de la Autoridad, al ser estas las que requieren una mayor atención, en tanto permiten la adopción de medidas proactivas encaminadas a la protección del derecho y, en caso de que se haya producido su vulneración, de medidas de tipo reactivo, mediante el ejercicio de las potestades sancionadoras. Se reconoce el derecho de la Autoridad a ejercer las potestades de investigación, realizando a tal efecto inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, y en relación con cualesquiera tratamientos sometidos a su competencia, pudiendo incluso desarrollar planes de auditoría.

Al igual que en el ámbito de otras normas reguladoras de las potestades de investigación de las administraciones públicas, tales como el tributario, se establece un deber general de colaboración con la Autoridad, a la que deberán facilitarse los datos, informes, antecedentes y justificantes que fueren necesarios para llevar a cabo la actividad de investigación en el ámbito de sus competencias. En particular, se hace referencia al deber de colaboración de las haciendas forales. En todo caso, quedan excluidos los datos que fueran exclusivamente conservados por los operadores de telecomunicaciones para el cumplimiento de las obligaciones contenidas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Por su carácter novedoso, se hace especial referencia a las competencias de carácter regulatorio, a las que se dedica la sección 4.ª Así, la Autoridad, a través de su presidencia, como órgano ejecutivo, podrá dictar circulares en las que, en relación con los tratamientos sometidos a su competencia, se fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y la restante normativa de protección de datos personales que resulte de aplicación, siendo dichas circulares de obligado cumplimiento, una vez se proceda a su publicación en el «Boletín Oficial del País Vasco».

En la sección 5.ª se regula otra serie de funciones muy diversas de la Autoridad Vasca de Protección de Datos, tales como su participación como sujeto de la acción exterior y en lo que atañe a la posible celebración de acuerdos internacionales administrativos en ejecución y concreción de los tratados internacionales que así lo prevean y se refieran a materias de su competencia; los supuestos en los que su intervención será necesaria en relación con las transferencias internacionales de datos; reconoce su competencia para la aprobación de los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la ley, así como para acreditar a organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados sometidos a su ámbito de aplicación; y, por último, la formación en protección de datos personales, por cuanto la Autoridad Vasca de Protección de Datos promoverá la difusión de las disposiciones contenidas en la normativa de protección de datos personales, con la finalidad de garantizar el adecuado conocimiento por la ciudadanía de su derecho fundamental a la protección de tales datos, y por los responsables de las obligaciones que las citadas normas les imponen para respetarlo.

Por último, la sección 6.ª establece los aspectos esenciales de la relación de la Autoridad Vasca de Protección de Datos con las restantes autoridades de protección de datos del Estado. Profundiza en el reconocimiento del principio de cooperación institucional entre las autoridades de protección de datos del Estado, poniendo de manifiesto su esencial vinculación con la propia razón de ser de las autoridades de control, dado que con la garantía de su adecuada cooperación, colaboración y coordinación se logra el objetivo de garantizar la adecuada protección del derecho fundamental a la protección de datos personales. En este sentido, se prevé la potestad de la Autoridad Vasca de Protección de Datos de suscribir con las restantes autoridades de protección de datos del Estado los protocolos, acuerdos y convenios de colaboración que fuesen necesarios para el adecuado desarrollo de la cooperación institucional.

Se reconoce a su vez la importancia de las actuaciones conjuntas de investigación y la posibilidad de desarrollar planes conjuntos de auditoría, así como los supuestos de cooperación en el marco de los procedimientos transfronterizos.

IV

El capítulo III de la ley regula el régimen sancionador, al que quedan sometidos los responsables y encargados de los tratamientos sometidos a su ámbito de aplicación, así como las entidades acreditadas de supervisión de los códigos de conducta aprobados por la Autoridad Vasca de Protección de Datos, y las entidades de certificación acreditadas por dicha autoridad.

Una de las principales novedades que introduce el Reglamento General de Protección de Datos es el establecimiento de un marco sancionador uniforme para la reacción ante las vulneraciones en materia de protección de datos en el ámbito de toda la Unión Europea. De este modo, es el propio reglamento el que determina las conductas típicas constitutivas de infracción y el régimen sancionador aplicable en caso de comisión de las conductas típicas.