RSS
N.º 106, lunes 8 de junio de 2026
- Otros formatos:
- PDF (217 KB - 15 Pág.)
- EPUB (129 KB)
- Texto bilingüe
El contenido de los otros formatos que aquí se muestran, se ha obtenido mediante una transformación del documento electrónico PDF oficial y auténtico
DISPOSICIONES GENERALES
DEPARTAMENTO DE GOBERNANZA, ADMINISTRACIÓN DIGITAL Y AUTOGOBIERNO
2451
DECRETO 77/2026, de 19 de mayo, por el que se aprueba el Estatuto de la Autoridad Vasca de Protección de Datos.
El artículo 3.1 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos (en adelante Ley 16/2023), configura a ésta como una autoridad administrativa independiente, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones. Esta independencia no solo implica el no sometimiento a instrucción alguna en el desempeño de sus competencias, sino que se materializa en la necesidad de que se la dote de los medios personales, materiales, técnicos y financieros necesarios para el cumplimiento efectivo de sus funciones.
De conformidad con lo establecido en el artículo 3.5 de la citada Ley, corresponde al Gobierno Vasco aprobar el Estatuto de la Autoridad Vasca de Protección de Datos.
A través del presente decreto se completa el diseño organizativo de la Autoridad, mediante la aprobación de su Estatuto, dejando, al mismo tiempo, el margen de disponibilidad suficiente como para que la propia Autoridad pueda ejercer las potestades de autoorganización necesarias para su adecuado funcionamiento, toda vez que se trata de un ente que tiene la condición de autoridad de control independiente a los efectos de lo dispuesto en el Capítulo VI del Reglamento (UE) 2016/679 y en el Capítulo VI de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
El presente decreto consta de un artículo único, que aprueba el Estatuto de la Autoridad Vasca de Protección de Datos conforme al texto estructurado en cuatro capítulos que se acompaña al mismo, y una disposición final, relativa a su entrada en vigor.
El Estatuto contiene veinticinco artículos distribuidos en cuatro capítulos.
El Capítulo I establece las disposiciones generales relativas a la Autoridad Vasca de Protección de Datos: naturaleza, sede, régimen jurídico, funciones y potestades, directrices y circulares, formación y sensibilización a la ciudadanía, códigos de conducta y certificaciones, acción exterior, régimen lingüístico, igualdad de género, responsabilidad social, transparencia y publicidad, y representación en juicio.
En el Capítulo II se define la estructura orgánica de la Autoridad Vasca de Protección de Datos y se especifican las funciones de la Presidencia, el Consejo Consultivo y las unidades administrativas.
El Capítulo III se refiere a las funciones inspectoras de la Autoridad Vasca de Protección de Datos.
Por último, el capítulo IV regula su régimen económico y presupuestario, de contratación, patrimonial y de personal.
En su virtud, a propuesta de la consejera de Gobernanza, Administración Digital y Autogobierno, de acuerdo con la Comisión Jurídica Asesora de Euskadi, y habiéndose emitido los correspondientes informes preceptivos, previa deliberación y aprobación del Consejo de Gobierno en su sesión celebrada el día 19 de mayo de 2026,
DISPONGO:
Artículo único.– Aprobación del Estatuto de la Autoridad Vasca de Protección de Datos.
Se aprueba el Estatuto de la Autoridad Vasca de Protección de Datos, en desarrollo de lo previsto en el artículo 3.5 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, conforme al texto que acompaña al presente decreto, como anexo.
DISPOSICIÓN FINAL ÚNICA.– Entrada en vigor.
El presente decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del País Vasco.
Dado en Vitoria-Gasteiz, a 19 de mayo de 2026.
El lehendakari,
IMANOL PRADALES GIL.
La consejera de Gobernanza, Administración Digital y Autogobierno,
MARÍA UBARRETXENA CID.
ANEXO AL DECRETO 77/2026, DE 19 DE MAYO
ESTATUTO DE LA AUTORIDAD VASCA DE PROTECCIÓN DE DATOS
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1.– Naturaleza.
1.– La Autoridad Vasca de Protección de Datos es una autoridad administrativa independiente, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y potestades.
2.– La Autoridad Vasca de Protección de Datos se relaciona con el Gobierno Vasco a través del departamento que determine el lehendakari o la lehendakari en el decreto de áreas.
Artículo 2.– Sede.
La Autoridad Vasca de Protección de Datos tiene su sede en el municipio de Vitoria-Gasteiz, sin perjuicio de que el ejercicio de las funciones que tiene atribuidas pueda desarrollarse donde determine la Presidencia.
Artículo 3.– Régimen jurídico.
1.– La Autoridad Vasca de Protección de Datos se rige por las siguientes disposiciones legales y reglamentarias:
a) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
b) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
c) La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
d) La Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, y las disposiciones reglamentarias de desarrollo de la misma.
e) La Ley 1/2023, de 16 de marzo, de la potestad sancionadora de las Administraciones Públicas Vascas.
f) La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
g) La Ley 40/2015, de 1 de octubres, de Régimen Jurídico del Sector Público.
h) El Estatuto de la Autoridad Vasca de Protección de Datos.
i) Cuantas otras disposiciones resulten de aplicación.
2.– La Autoridad Vasca de Protección de Datos ejercerá sus funciones y potestades por medio de la persona titular de la presidencia, a cuyos efectos los actos del presidente o presidenta se consideran actos de la Autoridad Vasca de Protección de Datos.
3.– Los actos y disposiciones dictados por la persona titular de la presidencia de la Autoridad Vasca de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la jurisdicción contencioso-administrativa.
No obstante, frente a los actos administrativos que dicte la persona titular de la presidencia podrá interponerse previamente recurso potestativo de reposición.
Contra las disposiciones no cabrá recurso en vía administrativa.
Artículo 4.– Funciones y potestades.
La Autoridad Vasca de Protección de Datos ejercerá las funciones establecidas y las potestades previstas, respectivamente, en los artículos 57 y 58 del Reglamento (UE) 2016/679, en los artículos 49 y 50 de la Ley Orgánica 7/2021, de 26 de mayo, y las previstas en la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, así como las que se prevean en otras normas con rango de Ley.
La Autoridad Vasca de Protección de Datos ejercerá también las funciones de asesoramiento a responsables o encargados en las consultas previas sobre tratamientos de alto riesgo a que se refieren el artículo 36 de la Ley Orgánica de Protección de Datos y garantía de derechos digitales y el artículo 36 de la Ley Orgánica 7/2021 de 26 de noviembre de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Asimismo, ejercerá la labor consultiva durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento en los supuesto del artículo 36.4 del Reglamento (UE) 2016/679 y en los del artículo 49.1.m) de la Ley Orgánica 7/2021 de noviembre, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Artículo 5.– Directrices y circulares.
1.– La Autoridad Vasca de Protección de Datos velará por el cumplimiento de la legislación sobre protección de datos y controlará su aplicación, en relación con los tratamientos incluidos en su ámbito de actuación. A tal efecto, la persona titular de la Presidencia dictará las directrices y circulares necesarias para la correcta aplicación de las disposiciones legales y reglamentarias en materia de protección de datos de carácter personal y para adecuar los tratamientos de datos a lo dispuesto en las mismas.
Además de las directrices de carácter interpretativo a que se refiere el párrafo anterior, pueden dictarse directrices como consecuencia de los planes de auditoría realizados, en el marco de la actividad de investigación, a fin de asegurar el pleno cumplimiento de las normas de protección de datos. Estas directrices serán de obligado cumplimiento y se publicarán en la página web de la Autoridad Vasca de Protección de Datos.
2.– La persona titular de la presidencia de la Autoridad Vasca de Protección de Dato podrá dictar, en su ámbito de aplicación, circulares en que se fijen los criterios a que responderá la actuación de la Autoridad en la aplicación del Reglamento (UE) 2016/679 y la restante normativa de protección de datos personales que resulte de aplicación.
3.– El procedimiento para la elaboración y aprobación de los proyectos de circulares se iniciará mediante un informe técnico, suscrito por la persona responsable de alguna de las unidades administrativas de la Autoridad Vasca de Protección de Datos, con el siguiente contenido:
a) Especificación de la norma o normas habilitantes para dictar la disposición.
b) Justificación de la necesidad de la disposición, así como de las medidas o soluciones técnicas que se propongan y de los fines que se pretenden alcanzar.
c) Proyecto de Circular.
Se elaborará también un informe jurídico o de legalidad, emitido por la Unidad de Asesoría Jurídica e Inspección de la Autoridad Vasca de Protección de Datos.
Además, en el procedimiento de elaboración de las circulares se dará audiencia a las personas titulares de derechos e intereses legítimos que resulten afectados por las mismas, directamente o a través de las organizaciones y asociaciones reconocidas por la ley que los agrupen o los representen y cuyos fines guarden relación directa con el objeto de la circular, y se fomentará la participación de los ciudadanos.
El trámite de audiencia e información pública se realizará mediante la publicación del texto en la página web de la Autoridad y tendrá un plazo mínimo de quince días hábiles, que podrá ser reducido hasta un mínimo de siete días hábiles cuando razones debidamente motivadas así lo justifiquen. El trámite de audiencia e información pública solo podrá omitirse cuando existan graves razones de interés público, que deberán justificarse en el informe técnico.
Una vez cumplido el trámite de audiencia e información pública, el proyecto será sometido a informe del Consejo Consultivo.
Informado el texto por el Consejo Consultivo, el proyecto de circular, acompañado de una memoria justificativa y del expediente, se elevará a la presidencia de la Autoridad Vasca de Protección de Datos quien podrá solicitar otros informes sin perjuicio de los que resulten preceptivos.
Finalmente, el proyecto de circular será sometido a la aprobación final de la presidencia de la Autoridad Vasca de Protección de Datos, sin que en ningún caso sea posible la delegación de esta facultad en ningún otro órgano.
Las circulares de la Autoridad Vasca de Protección de Datos serán publicadas en el «Boletín Oficial del País Vasco» y entrarán en vigor conforme a lo previsto en el artículo 2 del Código Civil.
Artículo 6.– Formación y sensibilización a la ciudadanía.
1.– Con la finalidad de garantizar el adecuado conocimiento por la ciudadanía de su derecho fundamental a la privacidad y a la protección de datos en todas las esferas de la sociedad, la Autoridad Vasca de Protección de Datos elaborará materiales de sensibilización y promoverá campañas de comunicación y formación dirigidas a concienciar a la población sobre la importancia de ese derecho fundamental, así como sobre los derechos digitales. Estas acciones irán también dirigidas a las personas responsables de tratamiento para facilitar que estas impulsen el cumplimiento del principio de responsabilidad proactiva.
2.– Con el fin de sensibilizar e impulsar la protección de datos en proyectos y contenidos curriculares jurídicos y técnicos, la Autoridad Vasca de Protección de Datos concluirá acuerdos y convenios de colaboración con centros educativos no universitarios y responsables de tratamiento, profesionales y personas consumidoras y con las entidades que integran el sistema universitario vasco.
Artículo 7.– Códigos de conducta y certificaciones.
1.– La Autoridad Vasca de Protección de Datos aprobará los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
2.– El procedimiento para la aprobación de los proyectos de códigos de conducta deberá incluir lo siguiente:
Una memoria justificativa clara y concisa, que describa detalladamente el objetivo del código, su ámbito de aplicación territorial y material en el que determine con claridad las operaciones de tratamiento sujetas al código, así como las categorías de responsables o encargados de tratamiento afectados y cómo facilitará la aplicación efectiva del RGPD y, en su caso, documentación justificativa.
Los titulares de los códigos deberán acreditar que su proyecto de código cumple los criterios de admisibilidad, esto es, que el código satisface una necesidad concreta del sector de tratamiento o actividad de que se trate, facilita la aplicación del RGPD, especifica la aplicación del RGPD, aporta garantías suficientes y dispone de mecanismos eficaces para supervisar el cumplimiento del código.
La Autoridad Vasca de Protección de Datos tras la aprobación del código de conducta ordenará su inscripción en el registro de códigos de conducta aprobados, registro que se interconectará con los del resto de autoridades de protección de datos del estado.
3.– La Autoridad Vasca de Protección de Datos podrá expedir certificaciones, aprobar criterios de certificación y acreditar a organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados incluidos en su ámbito de aplicación.
A fin de evitar posibles conflictos de intereses, el personal de la autoridad que haya intervenido en la expedición de una certificación a un responsable o encargado de tratamiento, no podrá intervenir en la investigación o instrucción de los procedimientos de reclamación que se sigan contra ese responsable o encargado.
Artículo 8.– Acción exterior.
La Autoridad Vasca de Protección de Datos podrá ejercer, en el marco de sus competencias, las funciones previstas en el artículo 16 de la Ley 16/2013, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
Artículo 9.– Régimen lingüístico.
1.– La Autoridad Vasca de Protección de Datos garantiza los derechos lingüísticos reconocidos a la ciudadanía en la Ley 10/1982, de 24 de noviembre, básica de normalización del uso del euskera, y le son de aplicación las disposiciones sobre normalización lingüística, contenidas en el Título XIII de la Ley 11/2022, de 1 de diciembre, de empleo público vasco, y demás normativa vigente.
2.– En cumplimiento del Decreto 19/2024, de 22 de febrero, de normalización del uso del euskera en el Sector Público Vasco, la Autoridad Vasca de Protección de Datos dispondrá de un plan de normalización que fije, entre otras cuestiones, los objetivos lingüísticos que han de ser de aplicación a los distintos servicios, y las medidas tendentes a su efectivo cumplimiento.
Artículo 10.– Igualdad de género.
En el ejercicio de sus funciones, la Autoridad Vasca de Protección de Datos prestará especial atención al contenido de la normativa vigente en materia de igualdad de género. En este sentido, aplicará las políticas de igualdad de género y no discriminación como ejes transversales de todas sus actuaciones y será agente activa a favor de esas políticas.
Artículo 11.– Responsabilidad social.
En su funcionamiento ordinario, la Autoridad Vasca de Protección de Datos aplicará políticas de mejora en cuestiones sociales, medioambientales y económicas, más allá de sus obligaciones legales en el ejercicio de sus competencias.
Artículo 12.– Transparencia y publicidad.
1.– La Autoridad Vasca de Protección de Datos publicará en su página web las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, las que pongan fin a los procedimientos de reclamación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y las que impongan medidas cautelares.
2.– También hará públicas a través de su página web las resoluciones de su Presidencia que pongan término a los procedimientos relacionados con la vulneración de las disposiciones de protección de datos, o con la atención de los derechos establecidos en los artículos 21, 22 y 23 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
3.– Además, la Autoridad Vasca de Protección de Datos hará públicas a través de su página web:
a) Las directrices generales que se adopten como consecuencia de la realización de planes de auditoría.
b) Los informes preceptivos a disposiciones de carácter general evacuados conforme al apartado 4 del artículo 36 del Reglamento (UE) 2016/679.
c) Los dictámenes por los que se dé respuesta a consultas que le hayan sido planteadas, en la medida en que supongan una interpretación de las normas de protección de datos que no haya sido previamente objeto de publicación.
d) Los códigos de conducta aprobados por la Autoridad.
e) Las resoluciones de aprobación de cláusulas contractuales tipo para las transferencias internacionales de datos.
f) Las resoluciones que autoricen transferencias internacionales de datos.
g) Las resoluciones por las que se acrediten organismos o entidades de certificación.
h) Las restantes actuaciones que hayan de hacerse públicas conforme a la normativa de protección de datos personales.
4.– Sin perjuicio de lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, y de conformidad con la normativa de protección de datos, será igualmente objeto de publicación en la página web toda aquella información que la Presidencia considere relevante y que contribuya al mejor cumplimiento de sus funciones.
Artículo 13.– Representación en juicio.
La representación y defensa en juicio de la Autoridad Vasca de Protección de Datos estará a cargo del Servicio Jurídico Central del Gobierno Vasco, conforme a lo dispuesto en sus normas reguladoras, siempre que no existan intereses contrapuestos con las administraciones u organismos públicos cuya representación legal o convencional ostente tal Servicio, en cuyo caso, la responsabilidad de la representación y defensa en juicio recaerá en la propia Autoridad.
CAPÍTULO II
ORGANIZACIÓN
Artículo 14.– Organización.
Para el ejercicio de las funciones señaladas en el artículo 4, la Autoridad Vasca de Protección de Datos se estructura en los siguientes órganos:
a) Presidencia, de la que dependerán jerárquicamente las unidades administrativas.
b) Consejo Consultivo.
Artículo 15.– Presidencia.
1.– La Presidencia de la Autoridad Vasca de Protección de Datos dirige ésta y ostenta su representación.
2.– Corresponde a la Presidencia dictar las resoluciones y adoptar las directrices y circulares que requiera el ejercicio de las potestades y funciones de la Autoridad Vasca de Protección de Datos y, en especial:
a) Resolver las reclamaciones que le pueda dirigir la ciudadanía relacionadas con el ejercicio de derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679, de 26 de abril, y ello en relación con los tratamientos de datos de carácter personal sujetos a la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
b) Resolver las reclamaciones que le pueda dirigir la ciudadanía relacionadas con el ejercicio de derechos a que se refieren los artículos 22 y 23 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
c) Recabar la información necesaria para el cumplimiento de sus funciones de los responsables de tratamiento incluidos en el ámbito de aplicación de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
d) Adoptar las medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora, de conformidad con lo dispuesto en el artículo 40 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
e) Iniciar y resolver los expedientes sancionadores y, en su caso, instar la incoación de los expedientes disciplinarios en los casos de infracciones cometidas por Administraciones Públicas u otras Entidades o Instituciones de derecho público.
f) Autorizar la entrada en los locales en los que se hallen los equipos físicos y/o soportes de información que contengan los datos personales, con el fin de proceder a las inspecciones pertinentes. Cuando dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá ajustarse, además, a las reglas que garantizan su inviolabilidad.
g) Programar la gestión de la Autoridad Vasca de Protección de Datos.
h) Elaborar y aprobar el anteproyecto de presupuesto de la Autoridad Vasca de Protección de Datos, y remitirlo al Gobierno Vasco para que sea integrado, con la debida independencia, en los presupuestos generales de la Comunidad Autónoma, de acuerdo con la legislación reguladora del régimen presupuestario de la Comunidad Autónoma del País Vasco.
i) Aprobar gastos y ordenar pagos, dentro de los límites de los créditos del presupuesto de gastos de la Autoridad Vasca de Protección de Datos.
j) Promover y resolver procedimientos subvencionales, de conformidad con la Ley 20/2023, de 21 de diciembre, reguladora del régimen de subvenciones.
k) Elaborar y aprobar la estructura orgánica y la relación de puestos de trabajo de la Autoridad Vasca de Protección de Datos.
l) Aprobar el informe anual de la Autoridad Vasca de Protección de Datos y comunicarlo al Parlamento Vasco, al Gobierno Vasco, y al resto de autoridades de protección de datos del Estado.
m) Firmar convenios de colaboración con entidades públicas y privadas, para un mejor desempeño de las funciones atribuidas a la Autoridad Vasca de Protección de Datos.
n) Instar a las Administraciones Públicas, Instituciones y Entidades a que se refiere el artículo 9 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos a que designen, cuando proceda, a sus representantes en el Consejo Consultivo.
o) Aprobar los dictámenes de la Autoridad Vasca de Protección de Datos.
p) Aprobar circulares en el ejercicio de su potestad normativa.
q) Aprobar los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos a su ámbito de aplicación.
r) Acreditar a organismos o entidades de certificación.
s) Aprobar cláusulas contractuales tipo para la realización de transferencias internacionales de datos.
t) Aprobar normas corporativas vinculantes.
u) Autorizar transferencias internacionales de datos que no cuenten con decisión de adecuación o no se amparen en alguna de las garantías previstas en cláusulas contractuales tipo o en normas corporativas vinculantes.
v) Ejercer en el marco de sus competencias, las funciones que le competen a la Comunidad Autónoma de Euskadi como sujeto de la acción exterior.
w) Cualesquiera otras que se le atribuyan en el presente Estatuto y demás disposiciones en vigor, así como todas aquellas funciones de dirección y representación de la Autoridad Vasca de Protección de Datos que no estén expresamente atribuidas a otro órgano.
3.– El presidente o presidenta de la Autoridad Vasca de Protección de datos se nombrará por decreto del Gobierno Vasco entre personas de reconocido prestigio y competencia profesional y experiencia de al menos cinco años en materia de protección de datos.
El candidato a presidente o presidenta de la Autoridad Vasca de Protección de Datos que proponga el Gobierno Vasco debe comparecer ante la Comisión de Instituciones, Gobernanza Pública y Seguridad del Parlamento Vasco para que sus miembros puedan pedir las pertinentes aclaraciones y explicaciones sobre cualquier aspecto relacionado con su formación académica, trayectoria profesional o méritos alegados.
4.– La condición de presidenta o presidente de la Autoridad Vasca de Protección de Datos es incompatible con el ejercicio de cualquier actividad profesional, mercantil o laboral, sin perjuicio de la aplicación de lo dispuesto en la Ley 1/2014, de 26 de junio, reguladora del Código de Conducta y de los Conflictos de Intereses de los Cargos Públicos.
5.– Cuando proceda tramitar un expediente que pueda conducir a la separación o cese antes de la expiración de su mandato de la persona que ostente la Presidencia de la Autoridad Vasca de Protección de Datos, por alguna de las causas previstas en el artículo 8.5 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, el acto de inicio y la elevación a Consejo de Gobierno de la propuesta de resolución del expediente corresponderán al departamento del Gobierno Vasco designado como órgano de relación con la Autoridad Vasca de Protección de Datos.
6.– La Presidencia de la Autoridad Vasca de Protección de Datos será sustituida en los casos de vacante, imposibilidad física o ausencia temporal o cuando concurra alguna causa de abstención o recusación, por quien desempeñe las funciones de secretario o secretaria general.
Artículo 16.– Consejo Consultivo.
1.– El Consejo Consultivo de la Autoridad Vasca de Protección de Datos es un órgano colegiado de asesoramiento a la persona titular de la Presidencia, cuya composición es la que determina el artículo 9.1 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
2.– El Consejo Consultivo emitirá informe previo a la aprobación de circulares interpretativas, a la aprobación de las relaciones de puestos de trabajo, en los supuestos de creación de unidades administrativas a que se refiere el artículo 17, así como en todas las cuestiones que le someta la Presidencia de la Autoridad Vasca de Protección de Datos, y podrá formular propuestas en temas relacionados con las materias de la competencia de ésta.
3.– Se establece un sistema de presidencia rotatoria de los miembros del Consejo. Así, los miembros del Consejo Consultivo desempeñarán la Presidencia por periodos de un año, siguiendo el orden establecido en el artículo 9 de la Ley 16/2023.
4.– Corresponde al presidente o presidenta:
a) Ostentar la representación del Consejo Consultivo.
b) Coordinarse con el presidente de la Autoridad respecto de la inclusión de asuntos en el orden del día y de la celebración del Consejo Consultivo.
c) Acordar la convocatoria de las sesiones del Consejo Consultivo y fijar el orden del día teniendo en cuenta, en su caso, las peticiones de los demás miembros formuladas antes de la distribución de la convocatoria.
d) Presidir las sesiones, moderar el desarrollo de los debates y suspenderlos por causas justificadas debidamente motivadas.
e) Dirimir con su voto los empates, a efectos de adoptar acuerdos.
f) Asegurar el cumplimiento de las leyes y reglamentos.
g) Visar las actas y certificaciones de los acuerdos del Consejo Consultivo.
h) Ejercer cuantas otras funciones sean inherentes a su condición de presidente del órgano.
5.– En caso de vacante, ausencia, enfermedad u otra causa legal, el presidente será sustituido por el miembro del Consejo Consultivo de mayor antigüedad, y, a igual antigüedad, por el de más edad.
6.– Desempeñará la Secretaría del Consejo Consultivo, con voz y sin voto, la persona que desempeñe las funciones de Secretario o Secretaria General de la Autoridad Vasca de Protección de Datos. En caso de vacante, ausencia o enfermedad, el secretario o secretaria del Consejo Consultivo será sustituido por el miembro presente de menor edad.
7.– Corresponde al secretario o secretaria del Consejo Consultivo:
a) Asistir a reuniones, con voz y sin voto si es un funcionario de la Autoridad Vasca de Protección de Datos, y con voz y voto si es un miembro del Consejo Consultivo.
b) Efectuar la convocatoria de las sesiones del Consejo Consultivo por orden de su presidente, así como las citaciones a los miembros del mismo.
c) Recibir los actos de comunicación de los miembros con el Consejo Consultivo y, por tanto, las notificaciones, peticiones de datos, rectificaciones y cualquier otra clase de escritos de los que deba tener conocimiento.
d) Preparar el despacho de los asuntos, redactar y autorizar las actas de las sesiones.
e) Expedir certificaciones de las consultas, dictámenes y acuerdos adoptados.
f) Comunicar al presidente o presidenta del Consejo Consultivo y al presidente o presidenta de la Autoridad Vasca de Protección de Datos la producción de vacantes, sustituciones de miembros o cualquier otra circunstancia que afecte a la composición del Consejo Consultivo.
g) Cuantas otras funciones sean inherentes a su condición de secretario del Consejo Consultivo.
8.– Convocatorias y sesiones.
Para la válida constitución del Consejo Consultivo, a efectos de la celebración de sesiones, deliberaciones y toma de acuerdos, se requerirá la presencia del presidente o presidenta y secretario o secretaria, o en su caso, de quienes les sustituyan, y un total de, al menos, cuatro miembros en primera convocatoria y tres en la segunda.
El Consejo Consultivo se reunirá en sesión ordinaria, dos veces al año, una por semestre.
Las convocatorias de las sesiones del Consejo Consultivo se notificarán a sus miembros, con, al menos, tres días de antelación. La notificación se practicará por cualquier medio que permita tener constancia de la recepción de la convocatoria por el miembro o su representante, utilizando, como regla general, el medio señalado por éste. Se podrá prever una segunda convocatoria, debiendo mediar, al menos, 30 minutos entre la primera y la segunda convocatoria.
No podrá ser objeto de deliberación o acuerdo ningún asunto que no figure en el orden del día de la convocatoria, salvo que estén presentes todos los miembros del Consejo Consultivo y sea declarada la urgencia del asunto con el voto favorable de la mayoría.
El presidente o presidenta está obligado a convocar al Consejo Consultivo siempre que así lo soliciten cuatro de sus miembros, mediante escrito presentado en la Secretaría del Consejo, con indicación precisa del asunto o asuntos que desean tratar.
Los acuerdos serán adoptados por mayoría de votos de los miembros presentes, salvo en los supuestos en que la ley, los reglamentos o estas normas exijan una mayoría especial.
Los miembros del Consejo Consultivo y el presidente o presidenta de la Autoridad Vasca de Protección de Datos podrán dirigirse al secretario o secretaria de aquel órgano colegiado para que les sea expedida certificación de los acuerdos.
El presidente o presidenta de la Autoridad Vasca de Protección de Datos asistirá, con voz y sin voto, a las sesiones del Consejo Consultivo.
Los miembros del Consejo Consultivo no percibirán retribución alguna, sin perjuicio, en su caso, del abono de los gastos que les ocasione el ejercicio de su función. Dichos gastos deberán ser debidamente justificados y autorizados por el presidente o presidenta de la Autoridad Vasca de Protección de Datos.
Artículo 17.– Unidades administrativas.
1.– Forman parte de la estructura orgánica de la Autoridad Vasca de Protección de Datos las correspondientes unidades administrativas jerárquicamente dependientes de la Presidencia.
2.– En la relación de puestos de trabajo se determinará la dotación de puestos de cada una de las distintas unidades, las características de cada uno de los puestos y los requisitos exigidos para acceder a los mismos.
3.– Por resolución de la persona titular de la Presidencia, previo informe del Consejo Consultivo, se podrá prever la existencia de nuevas unidades funcional y jerárquicamente dependientes de la Presidencia.
4.– La persona responsable de la Secretaría General podrá sustituir a las personas titulares del resto de unidades administrativas en caso de vacante, ausencia o enfermedad. Aquella será sustituida según determine motivadamente la Presidencia de entre las personas que integren otras unidades administrativas.
CAPÍTULO III
INSPECCIÓN
Artículo 18.– Funciones inspectoras.
1.– La Autoridad Vasca de Protección de Datos podrá efectuar inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, de cualesquiera de los tratamientos realizados por los responsables a que se refiere el artículo 2.1 y 2.2 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, y los artículos 2.1 y 2.2 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de los equipos informáticos correspondientes en los locales en que se hallen. A tal efecto podrá:
a) Acceder a los locales en que se encuentren los sistemas de información o se lleven materialmente a cabo los tratamientos de datos.
b) Examinar los soportes de información que contengan los datos personales y obtener copia de los datos sometidos a tratamiento.
c) Examinar, en el lugar en que se encuentren, los sistemas de información que traten datos personales, incluyendo los equipos físicos y lógicos en que se lleve a cabo el tratamiento.
d) Requerir el envío de los programas y aplicaciones o de la documentación pertinente, a fin de analizar el tratamiento del que sean objeto los datos, y obtener copia de ellos.
e) Requerir la ejecución de los programas, aplicaciones o procedimientos de gestión y soporte del tratamiento que se encuentren sujetos a investigación.
f) Realizar auditorías de los sistemas de información, sistemas de decisión individual automatizada, sistemas de inteligencia artificial y sistemas algorítmicos, y de dispositivos, equipos o programas que faciliten el tratamiento de los datos, a fin de determinar su conformidad o no con la legislación vigente.
g) Requerir la exhibición o remisión de cualquier otra información que resulte precisa para el ejercicio de las funciones inspectoras.
h) Revisar las medidas técnicas y organizativas adoptadas en relación con los tratamientos.
2.– Las funciones inspectoras serán desempeñadas por personal funcionario adscrito a los puestos que tengan asignada la función de inspección en la relación de puestos de trabajo de la Autoridad Vasca de Protección de Datos.
3.– Este personal tendrá acceso a los locales en que se hallen los equipos físicos y/o soportes de información que contengan los datos personales, previa exhibición al responsable del tratamiento de la autorización expedida por la Presidencia de la Autoridad Vasca de Protección de Datos.
Cuando dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá realizarse con el consentimiento de la persona física o jurídica o con autorización judicial.
Artículo 19.– Actuaciones previas de investigación.
De conformidad con lo establecido en el artículo 38.1 de la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, ésta podrá acordar la realización de las actuaciones previas de investigación a través de sistemas digitales en los términos previstos en el artículo 53 bis de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, con una duración máxima de 18 meses.
Artículo 20.– Actos de instrucción de expedientes sancionadores.
El personal funcionario adscrito a los puestos que tengan asignada la función de inspección colaborará en los actos de instrucción de los expedientes sancionadores tramitados por la Autoridad Vasca de Protección de Datos.
CAPÍTULO IV
RÉGIMEN ECONÓMICO Y PRESUPUESTARIO, DE CONTRATACIÓN, PATRIMONIAL Y DE PERSONAL
Artículo 21.– Recursos.
1.– La Autoridad Vasca de Protección de Datos contará con recursos suficientes para el desempeño de sus fines. Dichos recursos procederán de:
a) Las asignaciones que se establezcan con cargo a los presupuestos generales de la Comunidad Autónoma.
b) Las subvenciones y aportaciones que se concedan a su favor.
c) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.
d) Los ingresos, ordinarios y extraordinarios, derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidas en el artículo 58 del Reglamento (UE) 2016/679, y en el artículo 50 de la Ley Orgánica 7/2021, de 26 de mayo.
e) Cualesquiera otros que legalmente le pudieran ser atribuidos.
2.– La Autoridad Vasca de Protección de Datos estará sometida al control económico-financiero y de gestión de la Comunidad Autónoma de Euskadi, así como a la fiscalización del Tribunal Vasco de Cuentas Públicas.
Artículo 22.– Régimen presupuestario y contable.
1.– La Autoridad Vasca de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto, y lo remitirá al Gobierno Vasco para que sea integrado, con la debida independencia, en los presupuestos generales de la Comunidad Autónoma, de acuerdo con la legislación reguladora del régimen presupuestario de Euskadi. Estará sometida a dicha legislación en lo relativo al régimen de modificación, ejecución y liquidación de su presupuesto, atendiendo a estos efectos a la naturaleza de la Autoridad.
2.– La Autoridad Vasca de Protección de Datos está sujeta al régimen de contabilidad pública y aplica los principios y normas de contabilidad recogidos en el Plan de Contabilidad Pública de la Comunidad Autónoma de Euskadi, en sus normas de desarrollo y en las restantes normas que sean de aplicación.
Artículo 23.– Régimen de contratación.
1.– La Autoridad Vasca de Protección de Datos tiene la consideración de administración pública a los efectos de la legislación de contratos del sector público.
2.– El órgano de contratación de la Autoridad Vasca de Protección de Datos es la Presidencia.
Artículo 24.– Patrimonio.
1.– La Autoridad Vasca de Protección de Datos tiene su patrimonio propio, integrado por el conjunto de bienes y derechos de los que sea titular, así como por todos aquellos bienes y derechos que adquiera o reciba por cualquier título.
2.– La gestión y administración de los bienes y derechos propios, así como de aquellos del Patrimonio de la Administración General de la Comunidad Autónoma de Euskadi o de cualquier otra administración que se le adscriban para el cumplimiento de sus fines, será ejercida por la Autoridad Vasca de Protección de Datos, de acuerdo con lo señalado en este Estatuto y en la normativa que le sea de aplicación.
3.– En el ejercicio de la potestad recaudatoria, la Autoridad Vasca de Protección de Datos podrá conveniar con el Gobierno Vasco la gestión recaudatoria en período ejecutivo de sus recursos de derecho público en la forma prevista en el Decreto 1/2021, de 12 de enero, por el que se aprueba el Reglamento de Recaudación de la Hacienda General del País Vasco (BOPV de 8 de febrero de 2021).
Artículo 25.– Régimen de personal.
1.– El personal al servicio de la Autoridad Vasca de Protección de Datos será funcionario, y se regirá por la legislación reguladora del empleo público vasco.
2.– La relación de puestos de trabajo de la Autoridad Vasca de Protección de Datos será aprobada por resolución de su Presidencia, previo informe del Consejo Consultivo, y entrará en vigor el día de su publicación en el Boletín Oficial del País Vasco.
3.– Corresponde a la Autoridad Vasca de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, los requisitos y las características de las pruebas de selección, así como la convocatoria, gestión y resolución de los procedimientos de provisión de puestos de trabajo y promoción profesional.
4.– El personal funcionario que ocupe los puestos a los que se atribuya la dirección de las unidades administrativas reunirá la condición de directivo público profesional, y formalizará su relación de servicios con la Autoridad conforme a lo dispuesto en la Ley 11/2022, de 1 de diciembre, de Empleo Público Vasco, o norma que la sustituya.
5.– El personal de la Autoridad Vasca de Protección de Datos estará obligado a guardar secreto sobre las informaciones que conozca en el ejercicio de sus funciones, incluso después de haber cesado en estas.