El pasado 4 de enero se publicó en el BOPV la Ley 16/2023, sobre la Autoridad Vasca de Protección de Datos, que establece un marco legal innovador para la protección de datos en el País Vasco. Los aspectos más importantes de la misma, se pueden resumir básicamente en:
Adaptación al Marco Europeo La Ley 16/2023 representa una adaptación significativa del marco legal vasco al Reglamento General de Protección de Datos de la UE (GDPR). Esta alineación garantiza un estándar elevado de protección de datos personales, colocando al País Vasco en consonancia con las prácticas de privacidad a nivel internacional.
Creación de la Autoridad Vasca de Protección de Datos Un aspecto clave de la ley es el establecimiento de la Autoridad Vasca de Protección de Datos como organismo independiente. Esta entidad es responsable de supervisar y asegurar el cumplimiento de las normativas de protección de datos, tanto en organismos públicos como privados en el País Vasco.
Ámbito de Aplicación El ámbito de aplicación de la ley incluye a responsables y encargados de tratamientos de datos personales, abarcando tanto a entidades públicas como privadas. Esto incluye administraciones locales, entidades del sector público y corporaciones de derecho público, así como a entidades privadas que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios. Estarán igualmente sometidos a lo dispuesto en la presente ley las personas físicas o jurídicas, públicas o privadas que, como encargados del tratamiento, presten servicios a los responsables. Es decir, no solo se aplica a la Administración Pública Vasca sino a empresas, organizaciones, instituciones privadas que sean encargados de tratamiento de las mismas.
Inspección y Sanción a Entidades Privadas El Capítulo III de la Ley 16/2023 introduce un régimen sancionador exhaustivo aplicable tanto a entidades públicas como privadas. Las entidades privadas, incluyendo aquellas que prestan servicios públicos o actúan como encargados del tratamiento de datos, están sujetas a inspecciones y pueden enfrentar sanciones administrativas y medidas correctivas si infringen la ley.
Conclusión La Ley Vasca de Protección de Datos adecua tanto la normativa como a la antigua AVPD al RGPD y amplia el ámbito de aplicación existente incluyendo no sólo a la Administración Pública Vasca sino a aquellas entidades privadas que presten sus servicios como encargados de tratamiento a las mismas.