El Boletín Oficial del País Vasco del pasado 4 de enero publicó la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos (LA LEY 36468/2023). Según su disposición final única, esta norma entró en vigor al día siguiente de dicha publicación.
Objeto
Esta ley (que su propia exposición de motivos denomina “de protección de datos personales”), tiene por objeto adaptar la organización y funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a las previsiones del Reglamento (UE) 2016/679 (LA LEY 6637/2016), general de protección de datos (RGPD); de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) (LA LEY 19303/2018); así como de la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
En consecuencia, esta ley reemplaza el régimen establecido por la Ley 2/2004, de 25 de febrero (LA LEY 3123/2004), de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, y en sus normas de desarrollo, en particular el Decreto 308/2005, de 18 de octubre (LA LEY 10125/2005), por el que se desarrolla la citada Ley 2/2004 (LA LEY 3123/2004), y el Decreto 309/2005, de 18 de octubre (LA LEY 10130/2005), por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.
Principal contenido
Según se explica también en su exposición de motivos, en la elaboración de la ley se ha considerado que el régimen de los principios, derechos y obligaciones que configura el derecho fundamental a la protección de datos personales se encuentra suficientemente regulado con las disposiciones contenidas en el RGPD y en la LOPDGDD (LA LEY 19303/2018), lo que hace innecesario adoptar adicionalmente ninguna disposición relacionada con el contenido sustantivo del derecho fundamental.
En el mismo sentido, se ha considerado que ambas normas ya establecen un marco suficientemente claro de obligaciones que no precisa de ser completado por la norma autonómica, so pena de establecer un régimen especialmente burocrático de obligaciones para las administraciones y entidades sometidas a su ámbito de aplicación.
Teniendo en cuenta estas premisas, la ley se ha estructurado en torno a cuatro bloques:
- Su ámbito de aplicación de la ley
- La regulación de la nueva Autoridad Vasca de Protección de Datos (AVPD), que reemplaza a la actual Agencia Vasca de Protección de Datos
Se trata de una modificación que no solo afecta a la denominación de la Autoridad, sino también a su régimen jurídico, organización y competencias.
- El régimen sancionador al que se someten los responsables y encargados del tratamiento comprendidos en el ámbito de aplicación de la ley, y
- El procedimiento de tramitación de reclamaciones formuladas ante la Autoridad y el uso de sus facultades de investigación y, en su caso, sanción.
Estructura de la Ley
Esta ley consta de cuarenta y dos artículos, estructurados en cuatro capítulos, tres disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y una disposición final.
- Ámbito de aplicación
Tal como se recoge en su Capítulo I (Disposiciones generales, arts. 1 y 2), el ámbito de aplicación subjetivo de la ley viene determinado por la pertenencia al sector público de las entidades que tienen la condición de responsables del tratamiento o la vinculación del mencionado tratamiento con el ejercicio de potestades jurídico-públicas.
Es decir, regula la totalidad de los tratamientos de datos llevados a cabo por el denominado sector público.
En consecuencia, se incluye en su ámbito de aplicación:
a. Los tratamientos de los que sean responsables aquellas instituciones reguladas por el Estatuto de Autonomía (el Parlamento Vasco –incluidos sus grupos parlamentarios--, las juntas generales de los territorios históricos –incluidos los grupos junteros--, el Tribunal Vasco de Cuentas Públicas y el Ararteko), así como las entidades creadas por ley del Parlamento Vasco y las autoridades administrativas independientes, como
los grupos políticos municipales, la Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del Sistema Universitario Vasco, así como los entes de ellas dependientes.
b. la totalidad de los tratamientos de los que sean responsables las corporaciones de derecho público, representativas de intereses económicos y profesionales.
c. Los siguientes tratamientos realizados en el ámbito del sector privado:
1. Los tratamientos realizados por personas físicas o jurídicas, si el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que sean competencia de las administraciones públicas que integran el sector público.
2. Los tratamientos realizados por las entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios, al considerarse esos servicios como prestados por la administración titular de la competencia para su gestión.
3. Los tratamientos realizados por entidades de derecho privado que prestan sus servicios como encargados del tratamiento a las administraciones y entidades del sector público.
Por el contrario, se excluyen del ámbito de aplicación de esta ley aquellos tratamientos referidos a personas fallecidas y los sometidos a la normativa sobre protección de materias clasificadas.
- La Autoridad Vasca de Protección de Datos
El capítulo II de la ley, estructurado en seis secciones (arts. 3 a 23), establece el régimen jurídico de la Autoridad Vasca de Protección de Datos.
Régimen jurídico
La sección 1.ª tiene por objeto establecer el régimen jurídico al que se somete la Autoridad Vasca de Protección de Datos. Este basa en el requisito esencial de independencia, un criterio que no solo implica el no sometimiento a instrucción alguna en el desempeño de sus competencias, sino que se materializa en la necesidad de que se la dote de los medios personales, materiales, técnicos y financieros necesarios para el cumplimiento efectivo de sus funciones. Además, se establecen una serie de obligaciones adicionales a las legalmente establecidas en lo que respecta a sus obligaciones de publicidad activa, en particular en relación con sus resoluciones, dictámenes y documentos.
Órganos de la AVPD
En la sección 2.ª se regulan los órganos de la Autoridad Vasca de Protección de Datos.
Se mantiene un modelo unipersonal, ahora denominado Presidencia, que contará con el asesoramiento de un consejo consultivo sin potestades ejecutivas.
La presidencia de la AVPD será designada mediante un nuevo procedimiento, en el que intervendrán el Poder ejecutivo y el legislativo.
Se limitan los supuestos en que será posible el cese de quien ostente la presidencia de la Autoridad, exigiendo además la intervención del Parlamento Vasco en todos los que no se produzcan a petición propia o por la existencia de una condena penal.
El plazo de duración del mandato de la presidencia de la Autoridad se fija en cinco años.
Competencias de la AVPD
En la sección 3.ª se establecen las competencias de investigación de la AVPD.
Se reconoce su derecho a ejercer las potestades de investigación por medio de inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, y en relación con cualesquiera tratamientos sometidos a su competencia, pudiendo incluso desarrollar planes de auditoría.
A estos efectos, se establece un deber general de colaboración con la Autoridad, a la que deberán facilitarse los datos, informes, antecedentes y justificantes que fueren necesarios para llevar a cabo la actividad de investigación en el ámbito de sus competencias, con excepción de los datos que fueran exclusivamente conservados por los operadores de telecomunicaciones para el cumplimiento de las obligaciones contenidas en la Ley 25/2007, de 18 de octubre (LA LEY 10470/2007). En particular, se hace referencia al deber de colaboración de las haciendas forales.
Potestades normativas de la AVPD
Tal como se recoge en la sección 4.ª de este capítulo, la presidencia de la AVPD podrá dictar circulares en las que, en relación con los tratamientos sometidos a su competencia, se fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el RGPD y la restante normativa de protección de datos personales que resulte de aplicación, siendo dichas circulares de obligado cumplimiento, una vez se proceda a su publicación en el BOPV.
Mecanismos de coordinación y cooperación y transferencias internacionales de datos
En la sección 5.ª se regula otra serie de funciones de la AVPD, como los mecanismos de coordinación y cooperación; la posible celebración de acuerdos internacionales administrativos en ejecución y concreción de los tratados internacionales que así lo prevean y se refieran a materias de su competencia; los supuestos en los que su intervención será necesaria en relación con las transferencias internacionales de datos; su competencia para la aprobación de los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la ley; la acreditación de los organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados sometidos a su ámbito de aplicación y la formación en protección de datos personales.
Cooperación con otras autoridades de protección de datos
Por último, la sección 6.ª profundiza en el reconocimiento del principio de cooperación institucional entre las autoridades de protección de datos del Estado. En este sentido, se prevé la potestad de la AVPD de suscribir con las restantes autoridades nacionales los protocolos, acuerdos y convenios de colaboración que fuesen necesarios para el adecuado desarrollo de la cooperación institucional.
Igualmente se establece la posibilidad de desarrollar planes conjuntos de auditoría, así como los supuestos de cooperación en el marco de los procedimientos transfronterizos.
- Régimen sancionador
El capítulo III de la ley (arts. 24 a 30) regula el régimen sancionador, al que quedan sometidos los responsables y encargados de los tratamientos sometidos a su ámbito de aplicación, así como las entidades acreditadas de supervisión de los códigos de conducta aprobados por la Autoridad Vasca de Protección de Datos, y las entidades de certificación acreditadas por dicha autoridad.
La ley establece una clara diferenciación entre el régimen sancionador aplicable al sector público y al privado.
Por lo que se refiere a este último, se prevén diversas sanciones de multa para las infracciones contempladas en la ley, así como los criterios para la graduación de su importe, que se impondrán en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas establecidas en el Reglamento (UE) 2016/679 (LA LEY 6637/2016).
En cuanto al sector público, se establece que la comisión de alguna de las infracciones a las que se refiere esta ley, por las administraciones, entidades e instituciones incluidas en su ámbito de aplicación, cuando actúen como responsables o encargados del tratamiento, no será sancionada con la imposición de una sanción económica, sino con apercibimiento, con indicación de las medidas correctivas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
Cuando las infracciones fueran imputables a autoridades, altos cargos y personal directivo, y se hubiera acreditado que la acción infractora se llevó a cabo en contra del criterio sustentado por informes técnicos o recomendaciones para el tratamiento, que no hubieran sido debidamente atendidos, se prevé expresamente que en la resolución en la que se imponga la sanción se incluirá una amonestación con la denominación del cargo que fuese responsable y se ordenará su publicación en el BOPV.
Por lo que se refiere a la prescripción de las sanciones, se opta por el mantenimiento de los plazos de prescripción que ya regían con anterioridad a la entrada en vigor del RGPD, estableciendo los plazos en función de las cuantías que en el anterior marco normativo se preveían para las infracciones por sanciones leves, graves y muy graves.
Finalmente, y como especialidades propias del régimen del sector público en la Comunidad Autónoma del País Vasco, se prevé que, junto con las medidas establecidas con carácter general, será aplicable lo establecido en el Código Ético y de Conducta de los cargos públicos y personal eventual de la Administración General e Institucional de la Comunidad Autónoma del País Vasco, así como que se comunicarán al Ararteko las resoluciones sancionadoras que se dicten.
Se regula expresamente un régimen especial de publicidad de la actividad sancionadora por este motivo en el ámbito del sector público. En este sentido, se prevé la publicación en el BOPV de la información relevante referida a las sanciones de mayor gravedad impuestas por la AVPD, limitada a los datos publicados a la información que identifique a la persona infractora, la infracción cometida y el importe de la sanción impuesta cuando exceda de un millón de euros y la persona infractora sea una persona jurídica; También se harán públicas las amonestaciones impuestas a las autoridades, altos cargos y personal directivo que hubieran ordenado la realización de la conducta infractora apartándose para ello de informes técnicos o recomendaciones para el tratamiento de los datos.
- Procedimiento sancionador
El capítulo IV (arts. 31 a 42), compuesto por cinco secciones, regula los procedimientos en caso de infracción de las normas de protección de datos.
La sección 1.ª, disposiciones generales, regula el régimen jurídico aplicable y las causas de suspensión del procedimiento.
En primer lugar se establece que esta norma solo será aplicable a aquellos procedimientos en los que resulta necesario el establecimiento de especialidades respecto de lo establecido en la normativa general reguladora del procedimiento administrativo. Es decir: a) aquellos en los que una persona afectada reclame que no ha sido adecuadamente atendida su solicitud de ejercicio de los derechos consagrados por los artículos 15 a (LA LEY 6637/2016)22 del RGPD (LA LEY 6637/2016) y 21 a 23 de la LOPDGDD (LA LEY 19303/2018); b) aquellos que tienen por objeto la determinación de la posible existencia de una infracción en materia de protección de datos y, c) aquellos procedimientos transfronterizos en los que la AVPD tenga la condición de autoridad principal conforme a lo dispuesto en el RGPD.
El efecto suspensivo del procedimiento se prevé no solo en los casos previstos en la normativa básica, sino también en aquellos en los que deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de otras autoridades de control.
La sección 2.ª regula la iniciación del procedimiento, que incluye la admisión a trámite de la reclamación y las actuaciones previas que han de llevarse a cabo, tal como el análisis de la competencia de la autoridad de control, incorporándose la posibilidad de la adopción de una decisión acerca de la procedencia o no de la tramitación del procedimiento. A tal efecto, enumera una serie de supuestos en los que no procedería proseguir con el procedimiento, sino acordar su inadmisión.
Se prevé que la AVPD puede acordar de oficio el inicio del procedimiento al tener conocimiento de la existencia de indicios de la comisión de una infracción de lo dispuesto en la normativa de protección de datos personales. Igualmente, es posible que la iniciación se deba al requerimiento de otra autoridad de protección de datos, tanto del Estado como de otro Estado miembro.
Las secciones 3.ª y 4.ª regulan, respectivamente, la tramitación del procedimiento en caso de reclamaciones derivadas del ejercicio de derechos, y del procedimiento de ejercicio de la potestad sancionadora.
La diferencia, según se explica en la exposición de motivos de la ley, es sustancial, dado que se pretende que el procedimiento relacionado con la atención de los derechos, que en la mayor parte de los supuestos se centrará en la cuestión de valoración de la prueba de que los derechos fueron atendidos o, a lo sumo, en la improcedencia de dicha atención, tenga una duración sustancialmente inferior a la de los procedimientos sancionadores, en los que, además, será posible la adopción de medidas cautelares que garanticen un rápido restablecimiento del derecho cuando así proceda.
Por último, la sección 5.ª regula las diferentes especialidades en los casos de procedimientos referidos a tratamientos transfronterizos, introduciendo especialidades en los supuestos en los que varias autoridades de protección de datos pudieran tener interés en la resolución del procedimiento, diferenciando entre la autoridad principal, en cuya jurisdicción esté ubicado el establecimiento principal del responsable, de las restantes autoridades interesadas.