Hemen ikusgai dauden gainerako formatuen edukia PDF dokumentu elektroniko ofizial eta jatorrizkoa eraldatuz lortu da
El contenido de los otros formatos que aquí se muestran, se ha obtenido mediante una transformación del documento electrónico PDF oficial y auténtico
16/2023 LEGEA, abenduaren 21ekoa, Datuak Babesteko Euskal Agintaritzarena.
LEY 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
Euskadiko herritar guztiei jakinarazten zaie Eusko Legebiltzarrak onartu egin duela Datuak Babesteko Euskal Agintaritzari buruzko abenduaren 21eko 16/2023 Legea.
Se hace saber a todos los ciudadanos y ciudadanas de Euskadi que el Parlamento Vasco ha aprobado la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
Datu pertsonalen babesaren arloko arau-esparruak aldaketa handia izan zuen 2018ko maiatzaren 25ean, 2016ko apirilaren 27ko 2016/679 (EB) Erregelamendua onartu zenean (datu pertsonalen tratamenduari dagokionez pertsona fisikoen babesari eta datu horien zirkulazio askeari buruzko arauak ezartzen dituena eta 95/46/EE Zuzentaraua indargabetzen duena). Erabilera orokorrean, Datuak Babesteko Erregelamendu Orokorra esan ohi zaio.
El marco normativo en materia de protección de datos personales ha sufrido una importante modificación como consecuencia de la aprobación y plena aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Comúnmente se denomina Reglamento General de Protección de Datos.
2016/679 (EB) Erregelamenduak zuzeneko eragin osoa du estatu kideetan, eta funtsezko berritasunak dakartza, bai datuak babesteko oinarrizko eskubidearen funtsezko erregulazioari dagokionez, bai eskubide hori kontrol-agintaritza deritzenek –alegia, Estatu kide bakoitzak tratamenduari dagokionez pertsona fisikoen oinarrizko eskubideak eta askatasunak babesteko eta Batasunean datu pertsonalen zirkulazio askea errazteko ezarriko dituen agintaritza publiko independenteek– gainbegiratzeari dagokionez. Estatuan datu pertsonalen babesa erregulatzeko lehenengo arauak onartu zirenetik, haiek gainbegiratzeko araubidearen barruan kontrol-agintaritza bat baino gehiago egon dira indarrean aldi berean, bai Estatukoa, bai autonomia-erkidegoetakoak, zeinek bere eskumen-eremu bereiziak dituela.
El Reglamento (UE) 2016/679 es una norma dotada de efecto directo pleno en los estados miembros, e introduce novedades fundamentales, tanto en la regulación sustantiva del derecho fundamental a la protección de datos, como en lo que afecta a la supervisión de dicho derecho por las denominadas autoridades de control, autoridades públicas independientes que cada Estado miembro establecerá con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento, y de facilitar la libre circulación de datos personales en la Unión. Desde la aprobación de las primeras normas reguladoras de la protección de datos personales en el Estado, su régimen de supervisión se ha materializado en la coexistencia de diversas autoridades de control, estatal y autonómicas, con ámbitos competenciales diferenciados.
Datuak Babesteko Erregelamendu Orokorrak, bestalde, kontrol-agintaritzek bete behar dituzten eginkizun eta ahalen sorta zabal-zabala ezartzen du. Agintaritza horiek bitarteko egokiak izan beharko dituzte haien independentzia behar bezala bermatuta egon dadin, independentzia hori baita oinarrizko eskubidearen babes egokirako funtsezko printzipioetako bat.
A su vez, el Reglamento General de Protección de Datos establece un amplio elenco de funciones y potestades a desarrollar por las autoridades de control, que deberán estar dotadas de medios que garanticen adecuadamente su independencia, constituida como un principio esencial de garantía de la adecuada protección del derecho fundamental.
Barne-zuzenbidea erregelamendura egokitzeko asmoz, abenduaren 5eko 3/2018 Lege Organikoa onartu zen, Datu Pertsonalak Babestekoa eta Eskubide Digitalak Bermatzekoa. Lege horrek, VII. tituluko II. kapituluan, datuak babesteko agintaritza autonomiko deritzenak aztertzen ditu.
Con la finalidad de adaptar el derecho interno al reglamento, se aprobó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que dedica el capítulo II de su título VII a las denominadas autoridades autonómicas de protección de datos.
Geroago, Europako Parlamentuaren eta Kontseiluaren 2016ko apirilaren 27ko 2016/680 (EB) Zuzentarauaren transposizioaren ondorioz (pertsona fisikoak babestearen gaineko zuzentaraua, agintari eskudunek arau-hausteak edo zigor penalak prebenitu, ikertu, detektatu edo epaitzeko asmoz datu pertsonalak tratatzeari buruz eta datu horiek aske zirkulatzeari dagokionez, eta Kontseiluaren 2008/977/JAI Esparru Erabakia indargabetzen duena), maiatzaren 26ko 7/2021 Lege Organikoa onartu zen, arau-hauste penalak prebenitu, detektatu, ikertu eta epaitzeko eta zehapen penalak betearazteko tratatutako datu pertsonalak babesteari buruzkoa. Lege organiko horren xedea da agintari eskudunek datu pertsonalak tratatzeari dagokionez pertsona fisikoak babesteari buruzko arauak ezartzea, arau-hauste penalak prebenitzeko, detektatzeko, ikertzeko eta epaitzeko edo zehapen penalak betearazteko, segurtasun publikoaren aurkako mehatxuetatik babestea eta prebenitzea barne.
Más recientemente, y en transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, se aprobó la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Esta ley orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección y prevención frente a las amenazas contra la seguridad pública.
Aurreko gogoetak kontuan hartuta, datu pertsonalak babesteko lege hau egin da, zeinaren helburua baita Euskal Autonomia Erkidegoan aplikatzekoa den araudiaren antolamendua eta funtzionamendua egokitzea lege-arau hauen aurreikuspenetara: 2016/679 (EB) Erregelamendua; 3/2018 Lege Organikoa, abenduaren 5ekoa, Datu Pertsonalak Babestekoa eta Eskubide Digitalak Bermatzekoa, eta 7/2021 Lege Organikoa, maiatzaren 26koa, arau-hauste penalak prebenitu, detektatu, ikertu eta epaitzeko eta zehapen penalak betearazteko tratatutako datu pertsonalak babesteari buruzkoa.
Teniendo en cuenta las consideraciones anteriores, se ha elaborado esta ley de protección de datos personales, que tiene por objeto adaptar la organización y funcionamiento de la normativa aplicable en la Comunidad Autónoma del País Vasco a las previsiones del Reglamento (UE) 2016/679; de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Horrela, lege honek ordeztu egiten du Datu Pertsonaletarako Jabetza Publikoko Fitxategiei eta Datuak Babesteko Euskal Bulegoa Sortzeari buruzko otsailaren 25eko 2/2004 Legean eta hura garatzeko arauetan jasotako araubidea, bereziki urriaren 18ko 308/2005 Dekretua, aipatutako 2/2004 Legea garatzen duena, eta urriaren 18ko 309/2005 Dekretua, Datuak Babesteko Euskal Bulegoaren Estatutua onartzen duena.
Así pues, esta ley reemplaza el régimen contenido en la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, y en sus normas de desarrollo, en particular el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la citada Ley 2/2004, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.
Legea egiterakoan, kontuan hartu da datu pertsonalen babeserako oinarrizko eskubidea taxutzen duten printzipio, eskubide eta betebeharren araubidea behar bezala erregulatuta dagoela Datuak Babesteko Erregelamendu Orokorrak bildutako xedapenetan eta, osagarri gisa, Datu Pertsonalak Babesteko eta Eskubide Digitalak Bermatzeko Legearen xedapenetan, eta, horrenbestez, ez dela beharrezkoa oinarrizko eskubidearen funtsezko edukiarekin lotutako xedapen gehigarririk hartzea. Ildo beretik, aintzat hartu da bi arau horiek dagoeneko betebeharren esparru aski argia ezartzen dutela, hots, arau autonomikoak esparru hori osatu beharrik gabe; bestela, betebehar-araubide sobera burokratikoa ezarriko litzaieke haren aplikazio-eremuaren mende dauden administrazio eta entitateei.
En la elaboración de la ley se ha considerado que el régimen de los principios, derechos y obligaciones que configura el derecho fundamental a la protección de datos personales se encuentra suficientemente regulado con las disposiciones contenidas en el Reglamento General de Protección de Datos, completadas con las previstas en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, lo que hace innecesario adoptar adicionalmente ninguna disposición relacionada con el contenido sustantivo del derecho fundamental. En el mismo sentido, se ha considerado que ambas normas ya establecen un marco suficientemente claro de obligaciones que no precisa de ser completado por la norma autonómica, so pena de establecer un régimen especialmente burocrático de obligaciones para las administraciones y entidades sometidas a su ámbito de aplicación.
Premisa hori kontuan hartuta, legea lau kapitulutan egituratu da, eta lehenengoak legearen xedea eta aplikazio-eremua jorratzen ditu, besterik ez. Gainerako hiru kapituluetan ezartzen da zein izango den gaur egungo Datuak Babesteko Euskal Bulegoa ordeztuko duen Datuak Babesteko Euskal Agintaritzaren araubidea, baita legearen aplikazio-eremuaren barruan dauden tratamendu-arduradun eta -eragileen zehapen-araubidea ere, eta zer prozedura bete beharko den euskal agintaritzak interesdun baten erreklamazio bat izapidetu behar duenean edo bere ikertzeko ahalak egikaritu eta, hala badagokio, zehapen-ahalak bete behar dituenean, ofizioz edo izapideak Estatuko nahiz beste Estatu kide bateko beste kontrol-agintaritza batek eskatu dituenean, Datuak Babesteko Erregelamendu Orokorrean ezarritako prozedura-arauei jarraituz.
Teniendo en cuenta esta premisa, la ley se ha estructurado en torno a cuatro capítulos, siendo el primero únicamente expresivo de la delimitación del objeto y ámbito de aplicación de la ley. Los tres restantes capítulos regulan el régimen de la Autoridad Vasca de Protección de Datos, que reemplaza a la actual Agencia Vasca de Protección de Datos; el régimen sancionador al que se someten los responsables y encargados del tratamiento comprendidos en el ámbito de aplicación de la ley, y, por último, el procedimiento que se seguirá en los supuestos en los que la autoridad vasca deba tramitar una reclamación formulada por la persona interesada, o hacer uso de sus facultades de investigación y, en su caso, sanción, bien de oficio o bien por haberse solicitado su tramitación por otra autoridad de control, tanto del Estado como de otro Estado miembro, de conformidad con las normas de procedimiento establecidas en el Reglamento General de Protección de Datos.
Lege honek berrogeita bi artikulu ditu, honela antolatuak: lau kapitulu, hiru xedapen gehigarri, hiru xedapen iragankor, xedapen indargabetzaile bat eta azken xedapen bat.
Esta ley consta de cuarenta y dos artículos, estructurados en cuatro capítulos, tres disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y una disposición final.
Lege honen xedea da datuen babesaren arloko Euskal Autonomia Erkidegoko araudia egokitzea 2016/679 (EB) Erregelamendura, Datu Pertsonalak Babesteko eta Eskubide Digitalak Bermatzeko abenduaren 5eko 3/2018 Lege Organikora, bai eta arau-hauste penalak prebenitu, detektatu, ikertu eta epaitzeko eta zehapen penalak betearazteko tratatutako datu pertsonalak babesteari buruzko maiatzaren 26ko 7/2021 Lege Organikora ere; horretarako, bereziki, Datuak Babesteko Euskal Agintaritzaren araubide juridikoa ezartzen du.
El objeto de esta ley es adaptar la normativa autonómica vasca en materia de protección de datos al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a la Ley Orgánica 7/2021 de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, estableciendo, en particular, el régimen jurídico de la Autoridad Vasca de Protección de Datos.
Legearen aplikazio-eremu subjektiboa mugatzeko, kontuan hartzen da tratamenduaren arduradun diren entitateak sektore publikokoak direla edo tratamendua lotuta dagoela ahal juridiko-publikoak egikaritzearekin, sektore publiko deritzonak egiten dituen datu-tratamendu guztiak arautzeko.
La delimitación del ámbito de aplicación subjetivo de la ley se lleva a cabo a partir de la pertenencia al sector público de las entidades que tienen la condición de responsables del tratamiento o la vinculación del mencionado tratamiento con el ejercicio de potestades jurídico-públicas, a fin de regular la totalidad de los tratamientos de datos llevados a cabo por el denominado sector público.
Hala, aplikazio-eremuaren barruan sartzen dira, orobat, Autonomia Estatutuak arautzen dituen erakundeak tratamendu-arduradun dituzten tratamenduak, hala nola Eusko Legebiltzarra, lurralde historikoetako batzar nagusiak, Herri Kontuen Euskal Epaitegia eta Arartekoa, bai eta Eusko Legebiltzarrak legez sortutako entitateak eta administrazio-agintaritza independenteak ere. Era berean, Eusko Legebiltzarreko talde parlamentarioak, lurralde historikoetako batzar nagusietako batzar-taldeak eta udaletako talde politikoak, Euskal Herriko Unibertsitatea (UPV/EHU) eta Euskal Unibertsitate Sistema osatzen duten gainerako unibertsitateak eta horien mendeko erakundeak ere sartzen dira.
En su ámbito de aplicación también se incluyen los tratamientos de los que sean responsables aquellas instituciones reguladas por el Estatuto de Autonomía, tales como el Parlamento Vasco, las juntas generales de los territorios históricos, el Tribunal Vasco de Cuentas Públicas y el Ararteko, así como las entidades creadas por ley del Parlamento Vasco y las autoridades administrativas independientes. Igualmente incluye a los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas generales de los territorios históricos y los grupos políticos municipales, así como a la Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del Sistema Universitario Vasco, así como los entes de ellas dependientes.
Halaber, Datuak Babesteko Euskal Agintaritzaren eskumen-eremuaren mende daude interes ekonomikoak eta profesionalak ordezkatzen dituzten zuzenbide publikoko korporazioen ardurapean dauden tratamendu guztiak.
Así mismo, están sometidos al ámbito de competencia de la Autoridad Vasca de Protección de Datos la totalidad de los tratamientos de los que sean responsables las corporaciones de derecho público, representativas de intereses económicos y profesionales.
Azkenik, sektore pribatuari dagokionez, legearen xedapenen mendean jartzeko hiru kasu bereizi behar dira. Lehenengoz, legearen aplikazio-eremuaren barruan sartuko dira pertsona fisikoak eta juridikoak, baldin eta tratamendua egiten bada sektore publikoa osatzen duten administrazio publikoen eskumeneko arloetan eginkizun publikoak egikaritzeko. Bigarrenez, legean xedatutakoaren mendean geratuko dira edozein eratako zuzeneko zein zeharkako kudeaketaren bidez zerbitzu publikoak ematen dituzten zuzenbide pribatuko entitateak, tratamenduen xedea zerbitzu horiek ematearekin lotuta dagoenean, ulertzen baita zerbitzu horiek kudeaketarako eskumenaren titulartasuna duen administrazioak ematen dituela. Azkenik, ez da ahaztu behar zuzenbide pribatuko entitate batzuek tratamendu-eragile gisa ematen dizkietela zerbitzuak sektore publikoko administrazio eta entitateei. Entitate horiek Datuak Babesteko Euskal Agintaritzaren eskumenean geratuko dira, tratamenduaren arduradun den administrazio edo entitatearen jarduera ere eskumen horren mendean dagoelako.
Por último, en relación con el sector privado, es preciso diferenciar tres supuestos de sometimiento a las disposiciones de la ley. En primer lugar, somete a su ámbito de aplicación a las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que sean competencia de las administraciones públicas que integran el sector público. En segundo lugar, quedan sometidas a lo dispuesto en la norma las entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios, al considerarse esos servicios como prestados por la administración titular de la competencia para su gestión. Por último, no debe olvidarse que existen entidades de derecho privado que prestan sus servicios como encargados del tratamiento a las administraciones y entidades del sector público. Estas entidades quedarán sometidas a la competencia de la Autoridad Vasca de Protección de Datos, al estar sujeta a esta última la actividad de la administración o entidad responsable del tratamiento.
Legearen mendeko jarduerak egiten dituzten arduradun edo eragileei dagokien aplikazio-eremu subjektiboarekin batera, legearen aplikaziotik kanpo geratzen diren kasuak ere zedarritu behar dira; alegia: hilda dauden pertsonei buruzko tratamenduak eta sailkatutako gaiak babesteko araudiaren mende daudenak, besterik ez.
Junto con el ámbito de aplicación subjetivo, en cuanto a los responsables o encargados cuya actividad queda sometida a la ley, es preciso igualmente delimitar los supuestos excluidos de su aplicación, quedando exclusivamente limitados a aquellos tratamientos referidos a personas fallecidas y los sometidos a la normativa sobre protección de materias clasificadas.
Legearen II. kapitulua sei ataletan banatuta dago, eta Datuak Babesteko Euskal Agintaritzaren araubide juridikoa ezartzen du. Agintaritza berriak gaur egungo Datuak Babesteko Euskal Bulegoa ordeztuko du, bigarren xedapen gehigarrian azaltzen denez. Hala, funtsezko aldaketa gertatzen da datuen babesaren arloko erakunde-antolaketan. Aldaketa horrek, Agintaritzaren izenaz harago, eragina du haren araubide juridikoan, antolaketan eta eskumenetan, horrela 2016/679 (EU) Erregelamenduak ezartzen duen eginkizun sorta garatzen baita.
El capítulo II de la ley, estructurado en seis secciones, establece el régimen jurídico de la Autoridad Vasca de Protección de Datos, que sustituirá, como se indica en la disposición adicional segunda, a la actual Agencia Vasca de Protección de Datos. Se produce así un cambio esencial en la organización institucional en materia de protección de datos, que no solo afecta a la denominación de la Autoridad, sino también a su régimen jurídico, organización y competencias, desarrollando así el elenco establecido por el Reglamento (UE) 2016/679.
Lehen atalaren xedea da Datuak Babesteko Euskal Agintaritzaren araubide juridikoa ezartzea, abiapuntutzat hartuta kontrol-agintaritzak izan behar duen independentziaren funtsezko betekizuna, botere publikoen esku-sartzeak ez dezan eragotzi Agintaritzak esleituta dituen eginkizunak eta ahalak behar bezala egikaritzea. Independentzia horrek esan nahi du kontrol-agintaritzak, bere eskumenak betetzean, ez duela inongo instrukziorik bete behar eta, horretaz gainera, bere eginkizunak eraginkortasunez betetzeko behar dituen giza baliabide eta baliabide material, tekniko eta finantzarioez hornituta egon behar duela.
La sección 1.ª tiene por objeto establecer el régimen jurídico al que se somete la Autoridad Vasca de Protección de Datos, partiendo del requisito esencial de independencia con que se inviste a la autoridad de control para evitar que la injerencia de los poderes públicos afecte al adecuado cumplimiento de las funciones y potestades que tiene encomendadas. Esta independencia no solo implica el no sometimiento a instrucción alguna en el desempeño de sus competencias, sino que se materializa en la necesidad de que se la dote de los medios personales, materiales, técnicos y financieros necesarios para el cumplimiento efectivo de sus funciones.
Datuak Babesteko Euskal Agintaritzaren eskumenei dagokienez, Agintaritzaren eginkizun eta ahalak egikaritzean sortzen duen doktrina ez balego herritarren eta Agintaritzaren mendeko entitateen eskura, nabarmen mugatuta geratuko litzateke datuak babesteko oinarrizko eskubidearen ezaguera, eta, beraz, datu pertsonalak babesteko hartu beharreko bermeak murriztuta geratuko lirateke. Gardentasunaren arloan egin beharreko ahalegin horri erantzunez, legeak betebehar gehigarri batzuk ezartzen ditu, legez ezarrita daudenez gainera, publikotasun aktiboko betebeharrei dagokienez.
En lo que afecta a las competencias de la Autoridad Vasca de Protección de Datos, en caso de que la doctrina emanada de ella en el ejercicio de sus funciones y potestades no pudiera ser accesible por la ciudadanía y por aquellas entidades sometidas a su competencia, el alcance del conocimiento del derecho fundamental a la protección de datos personales quedaría enormemente limitado, lo que implicaría una merma de las garantías que habrían de ser adoptadas para su protección. La ley es particularmente sensible a este necesario esfuerzo en materia de transparencia, estableciendo una serie de obligaciones adicionales a las legalmente establecidas en lo que respecta a sus obligaciones de publicidad activa.
Nolanahi ere, ebazpen, irizpen eta agirien publikotasuna ezin da geratu babesten den oinarrizko eskubidetik kanpo. Arrazoi horregatik, legeak dio ezen, publiko egin aurretik, agiri horiek dituzten datu pertsonalak disoziatu egin behar direla, dagoeneko beste arlo batzuetan egiten den moduan; adibidez, ebazpen judizialen publizitatearen kasuan.
En todo caso, la publicidad de sus resoluciones, dictámenes y documentos no puede ser ajena al propio derecho fundamental tutelado. Por este motivo, la ley prevé que, como ya es norma en otros ámbitos, como el de la publicidad de las resoluciones judiciales, se proceda, con carácter previo a llevarla a cabo, a la disociación de los datos personales que dichos documentos incorporen.
Bigarren atalean, Datuak Babesteko Euskal Agintaritzaren organoak arautzen dira. Legeak pertsona bakarreko ereduari eusten dio, eredu hori eraginkorra izan baita Datuak Babesteko Euskal Bulegoak jardun duen hamabost urtetik gorako denbora honetan; gainera, eredu hori bat dator Estatuan sortutako datuak babesteko gainerako agintaritzetan dagoen ereduarekin. Organo horri laguntza emango dio betearazpen-ahalik ez duen kontseilu aholku-emaile batek, zeinari iritzia eskatu ahal izango baitzaio organoaren eskumenak behar bezala egikaritzeko garrantzitsuak diren gai guztietan.
En la sección 2.ª se regulan los órganos de la Autoridad Vasca de Protección de Datos. Se opta por el mantenimiento del modelo unipersonal que ha demostrado su efectividad en los más de quince años de funcionamiento de la Agencia Vasca de Protección de Datos y que, además, se corresponde con el modelo existente en las restantes autoridades de protección de datos creadas en el Estado. Este órgano será asesorado por un consejo consultivo sin potestades ejecutivas, cuya opinión podrá ser recabada en todas las cuestiones que resulten relevantes para el adecuado ejercicio de sus competencias.
Agintaritzaren organo betearazlearen izena aldatzen da; aurrerantzean, lehendakaritza izango da eta, horrela, haren maila argitzen da. Haren independentzia indartzeko, beste prozedura bat diseinatu da hura izendatzeko. Prozedura horretan Botere betearazleak eta Botere legegileak esku hartuko dute. Gainera, Agintaritzaren lehendakaria kargutik kentzeko kasuak murriztu egin dira eta, gainera, kargudunak berak hala eskatuta edo zigor-kondena batengatik gertatzen diren kasuetan izan ezik, beste guztietan Eusko Legebiltzarrak esku hartu beharko du.
Se modifica la denominación del órgano ejecutivo de la Autoridad, que pasa a denominarse presidencia, clarificándose así su rango. Con la finalidad de reforzar su independencia, se diseña un nuevo procedimiento para su designación, en el que intervendrán el Poder ejecutivo y el legislativo. A su vez, se limitan los supuestos en que será posible el cese de quien ostente la presidencia de la Autoridad, exigiendo además la intervención del Parlamento Vasco en todos los que no se produzcan a petición propia o por la existencia de una condena penal.
Agintaritzaren lehendakariaren agintaldiak bost urte iraungo du; modu horretan bermatuko da legegintzaldiaren iraupen bera ez izatea eta, era berean, instituzioaren independentzia sendotzea, baita izendapenean adostasuna sustatzea ere.
El plazo de duración del mandato de la presidencia de la Autoridad se fija en cinco años, garantizándose así que no se produzca una coincidencia con la duración temporal de la legislatura, lo que sirve asimismo para reforzar la independencia de la institución y la necesidad de que concurra un consenso en su nombramiento.
Azkenik, Agintaritzaren lehendakariaren maila ere sendotzen da, goi-karguduna izango baita, sailburuordeen parekoa. Dena dela, legea indarrean jarri ostean lehendakaritzarako lehenengo izendapena egiten denetik aurrera parekatuko da, ez lehenago.
Finalmente, se refuerza la consideración de la presidencia de la Autoridad, que será un alto cargo, asimilado al de las personas titulares de las viceconsejerías. No obstante, esta asimilación únicamente será aplicable a partir del primer nombramiento para la presidencia que tenga lugar con posterioridad a la entrada en vigor de la ley.
Hirugarren atalean, Agintaritzaren ikerketa-eskumenak nabarmentzen dira, eskumen horietan arreta handiagoa jarri behar baita; izan ere, haien bitartez eskubidea babesteko neurri proaktiboak har daitezke, eta, eskubidea urratu den kasuetarako, neurri erreaktiboak ere bai, beharrezkoak diren zehatzeko ahalak egikarituz. Onartzen da Agintaritzak ikerketa-ahalak egikaritzeko duen eskubidea eta, horretarako, aldizkako edo unean uneko ikuskapenak egin ahalko ditu –baita auditoretza-planak ere–, ofizioz edo ukitutako pertsonek eskatuta, bere eskumeneko edozer tratamenduri buruz.
En la sección 3.ª se recalcan las competencias de investigación de la Autoridad, al ser estas las que requieren una mayor atención, en tanto permiten la adopción de medidas proactivas encaminadas a la protección del derecho y, en caso de que se haya producido su vulneración, de medidas de tipo reactivo, mediante el ejercicio de las potestades sancionadoras. Se reconoce el derecho de la Autoridad a ejercer las potestades de investigación, realizando a tal efecto inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, y en relación con cualesquiera tratamientos sometidos a su competencia, pudiendo incluso desarrollar planes de auditoría.
Administrazio publikoen ikerketa-ahalak erregulatzen dituzten beste arau batzuen esparruan bezala, hala nola zergen arloan, Agintaritzarekin lankidetzan aritzeko betebehar orokorra ezartzen da, eta hari bere eskumenen esparruan ikerketa-jarduerak gauzatzeko beharrezkoak dituen datuak, txostenak, aurrekariak eta egiaztagiriak eman beharko zaizkio. Bereziki, foru-ogasunek lankidetzan aritzeko duten betebeharra aipatzen da. Nolanahi ere, bazter geratzen dira telekomunikazio-operadoreek urriaren 18ko 25/2007 Legean –komunikazio elektronikoen eta komunikazioen sare publikoen datuak gordetzeari buruzkoan– ezarritako eginbeharrak betetze aldera esklusiboki gordetzen dituzten datuak.
Al igual que en el ámbito de otras normas reguladoras de las potestades de investigación de las administraciones públicas, tales como el tributario, se establece un deber general de colaboración con la Autoridad, a la que deberán facilitarse los datos, informes, antecedentes y justificantes que fueren necesarios para llevar a cabo la actividad de investigación en el ámbito de sus competencias. En particular, se hace referencia al deber de colaboración de las haciendas forales. En todo caso, quedan excluidos los datos que fueran exclusivamente conservados por los operadores de telecomunicaciones para el cumplimiento de las obligaciones contenidas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Berritzaileak direnez, aipamen berezia merezi dute laugarren atalean biltzen diren eskumen arautzaileek. Hala, Agintaritzak, lehendakaritzaren bitartez –Agintaritzaren organo beterazlea den aldetik–, zirkularrak egin ahalko ditu Agintaritzaren eskumeneko tratamenduei buruz, 2016/679 (EB) Erregelamenduan eta datu pertsonalen babeserako gainerako araudian ezarritakoa aplikatzen duenean bere jardunbidearen irizpideak finkatzeko. Zirkular horiek nahitaez bete beharko dira Euskal Herriko Agintaritzaren Aldizkarian argitaratu ondoren.
Por su carácter novedoso, se hace especial referencia a las competencias de carácter regulatorio, a las que se dedica la sección 4.ª. Así, la Autoridad, a través de su presidencia, como órgano ejecutivo, podrá dictar circulares en las que, en relación con los tratamientos sometidos a su competencia, se fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y la restante normativa de protección de datos personales que resulte de aplicación, siendo dichas circulares de obligado cumplimiento, una vez se proceda a su publicación en el Boletín Oficial del País Vasco.
Bosgarren atalean, Datuak Babesteko Euskal Agintaritzaren oso bestelako eginkizun batzuk arautzen dira, hala nola subjektu gisa parte hartzea kanpo-harremanetan edo nazioarteko administrazio-akordioak egiten, hala aurreikusten duten eta bere eskumeneko gaiei buruzkoak diren nazioarteko tratatuak gauzatuz eta zehaztuz; datuen nazioarteko transferentziei dagokienez haren esku-hartzea beharrezkoa den kasuak; aitortzen da Agintaritzaren eskumena dela legearen aplikazio-eremuaren mendean dauden subjektuek egindako tratamendu-jarduerak arautuko dituzten jokabide-kodeak onartzea eta legearen aplikazio-eremuaren barruan dauden arduradun eta eragileek egindako tratamendu-jarduerei dagokienez datuen babesaren arloko ziurtapen-erakunde edo -entitateak egiaztatzea, eta, azkenik, datu pertsonalak babesteko prestakuntza, zeren eta Datuak Babesteko Euskal Agintaritzak datu pertsonalak babesteko araudian jasotako xedapenen zabalkundea sustatuko baitu, herritarrek datu horiek babestuak izateko duten oinarrizko eskubidea behar bezala ezagutzen dutela bermatzeko, bai eta arduradunek ere, eskubide hori errespetatu dadin arau horiek ezartzen dizkieten eginbeharrak betetzen dituztela bermatzeko.
En la sección 5.ª se regula otra serie de funciones muy diversas de la Autoridad Vasca de Protección de Datos, tales como su participación como sujeto de la acción exterior y en lo que atañe a la posible celebración de acuerdos internacionales administrativos en ejecución y concreción de los tratados internacionales que así lo prevean y se refieran a materias de su competencia; los supuestos en los que su intervención será necesaria en relación con las transferencias internacionales de datos; reconoce su competencia para la aprobación de los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la ley, así como para acreditar a organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados sometidos a su ámbito de aplicación; y, por último, la formación en protección de datos personales, por cuanto la Autoridad Vasca de Protección de Datos promoverá la difusión de las disposiciones contenidas en la normativa de protección de datos personales, con la finalidad de garantizar el adecuado conocimiento por la ciudadanía de su derecho fundamental a la protección de tales datos, y por los responsables de las obligaciones que las citadas normas les imponen para respetarlo.
Azkenik, seigarren atalak datuak babesteko Estatuko gainerako agintaritzekin izan beharreko harremanaren funtsezko alderdiak ezartzen ditu. Datuak babesteko Estatuko gainerako agintaritzekin lankidetza instituzionalean aritzeko printzipio hori sakon aztertzen du, eta agerian jartzen du errotiko lotura daukala kontrol-agintaritzen izatearekin berarekin; izan ere, agintaritzen lankidetza, elkarlan eta koordinazio egoki baten bidez lortzen da datu pertsonalen babeserako oinarrizko eskubidea behar bezala babestea. Alde horretatik, aurreikusten da Datuak Babesteko Euskal Agintaritzak ahala izango duela datuak babesteko Estatuko gainerako agintaritzekin lankidetzarako protokolo, akordio eta hitzarmenak sinatzeko, instituzioen arteko lankidetza garatzeko beharrezkoak badira.
Por último, la sección 6.ª establece los aspectos esenciales de la relación de la Autoridad Vasca de Protección de Datos con las restantes autoridades de protección de datos del Estado. Profundiza en el reconocimiento del principio de cooperación institucional entre las autoridades de protección de datos del Estado, poniendo de manifiesto su esencial vinculación con la propia razón de ser de las autoridades de control, dado que con la garantía de su adecuada cooperación, colaboración y coordinación se logra el objetivo de garantizar la adecuada protección del derecho fundamental a la protección de datos personales. En este sentido, se prevé la potestad de la Autoridad Vasca de Protección de Datos de suscribir con las restantes autoridades de protección de datos del Estado los protocolos, acuerdos y convenios de colaboración que fuesen necesarios para el adecuado desarrollo de la cooperación institucional.
Halaber, ikerketa-jarduketa bateratuak egitearen garrantzia azpimarratzen da, eta auditoretza-plan bateratuak garatzeko aukera, baita mugaz gaindiko prozeduren esparruan lankidetza-jarduketak egiteko ere.
Se reconoce a su vez la importancia de las actuaciones conjuntas de investigación y la posibilidad de desarrollar planes conjuntos de auditoría, así como los supuestos de cooperación en el marco de los procedimientos transfronterizos.
Legearen III. kapituluak zehapen-araubidea erregulatzen du, eta horren mende geratzen dira legearen aplikazio-eremuan sartzen diren tratamenduen arduradunak eta eragileak, bai eta Datuak Babesteko Euskal Agintaritzak onartutako jokabide-kodeak gainbegiratzeko egiaztatutako entitateak ere, eta Agintaritzak egiaztatutako ziurtapen-entitateak.
El capítulo III de la ley regula el régimen sancionador, al que quedan sometidos los responsables y encargados de los tratamientos sometidos a su ámbito de aplicación, así como las entidades acreditadas de supervisión de los códigos de conducta aprobados por la Autoridad Vasca de Protección de Datos, y las entidades de certificación acreditadas por dicha autoridad.
Datuak Babesteko Erregelamendu Orokorraren alderdi berritzaile nagusietako bat da zehapen-esparru uniformea ezartzen dela Europar Batasun osoan egiten diren datu-babesaren urraketen aurka erreakzionatzeko. Modu horretan, erregelamenduak berak zehazten du zer jokabide diren arau-hauste eta, arau-haustea eginez gero, zer zehapen-araubide aplikatu behar den.
Una de las principales novedades que introduce el Reglamento General de Protección de Datos es el establecimiento de un marco sancionador uniforme para la reacción ante las vulneraciones en materia de protección de datos en el ámbito de toda la Unión Europea. De este modo, es el propio reglamento el que determina las conductas típicas constitutivas de infracción y el régimen sancionador aplicable en caso de comisión de las conductas típicas.
Aldi berean, xedapen horien osagarri dira, estatu-eremuan, estatu kideen barne-arauak, zeinetara, helburu bera dutenez, egokitzen baitu lege honek datu-babesaren arloko Euskal Autonomia Erkidegoko araudi autonomikoa, bertako artikuluetan jasotzen diren xedapen zehatzen bidez.
Al propio tiempo, estas disposiciones se complementan por la normativa interna de los estados miembros, que en el ámbito estatal está constituida por las concretas previsiones contenidas en los artículos, que se citan, de las leyes orgánicas a las que, atendiendo a su objeto, la presente ley adapta la normativa autonómica vasca en materia de protección de datos.
Legeak argi eta garbi bereizten ditu sektore publikoari aplikatu beharreko zehapen-araubidea eta sektore pribatuari aplikatu beharrekoa. Azken horri dagokionez, legean jasotako arau-hausteetarako zenbait isun-zehapen aurreikusten dira, bai eta isunaren zenbatekoa mailakatzeko irizpideak ere; horiek kasu bakoitzaren inguruabarren arabera ezarriko dira, 2016/679 (EB) Erregelamenduan ezarritako neurrien gehigarri edo ordezko gisa.
La ley establece una clara diferenciación entre el régimen sancionador aplicable al sector público y al privado. Por lo que a este último se refiere, para las infracciones contempladas en la ley se prevén diversas sanciones de multa, así como los criterios para la graduación de su importe, que se impondrán en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas establecidas en el Reglamento (UE) 2016/679.
Bestalde, lege honetan aipatzen diren arau-hausteen egilea baldin bada legearen aplikazio-eremuan sartzen diren Euskal Autonomia Erkidegoko administrazio, entitate eta instituzio publikoetako bat, tratamenduaren arduradun edo eragile gisa jarduten ari dela, ez zaio diru-zehapenik ezarriko; horren ordez, ohartarazpena egingo zaio, jokabide horri amaiera emateko edo egindako arau-haustearen ondorioak zuzentzeko hartu beharreko neurri zuzentzaileak adieraziz.
De otro lado, la comisión de alguna de las infracciones a las que se refiere esta ley, por las administraciones, entidades e instituciones públicas vascas incluidas en su ámbito de aplicación, cuando actúen como responsables o encargados del tratamiento, no será sancionada con la imposición de una sanción económica, sino con apercibimiento, con indicación de las medidas correctivas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
Era berean, neurri espezifiko batzuk ezartzen dira, arau-hausteak agintariei, goi-kargudunei eta zuzendariei egotzi ahal zaizkien kasuetarako, baldin eta egiaztatu bada arau-haustea eragin zuen ekintza egin zela tratamendurako txosten teknikoetan edo gomendioetan oinarritutako irizpideen aurka eta irizpide horiei ez zitzaiela behar bezala jaramon egin. Kasu horretan, beren-beregi xedatzen da ezen zehapena ezartzeko ebazpenean ohartarazpen bat agertuko dela, arduradun den karguaren izendapenarekin, eta ohartarazpen hori Euskal Herriko Agintaritzaren Aldizkarian argitaratzeko aginduko da.
Se establece igualmente la adopción de medidas específicas en los supuestos en los que las infracciones fueran imputables a autoridades, altos cargos y personal directivo, y se hubiera acreditado que la acción infractora se llevó a cabo en contra del criterio sustentado por informes técnicos o recomendaciones para el tratamiento, que no hubieran sido debidamente atendidos. En este caso, se prevé expresamente que en la resolución en la que se imponga la sanción se incluirá una amonestación con la denominación del cargo que fuese responsable y se ordenará su publicación en el Boletín Oficial del País Vasco.
Azkenik, eta Euskal Autonomia Erkidegoko sektore publikoaren araubidearen bereizgarri gisa, aurreikusten da, oro har ezarritako neurriez gain, Euskal Autonomia Erkidegoko Administrazio Orokorreko eta Instituzionaleko kargu publikodunen eta behin-behineko langileen Etika eta Jokabide Kodean ezarritakoa aplikatuko dela, eta ematen diren zehapen-ebazpenen berri jakinaraziko zaiola Arartekoari.
Finalmente, y como especialidades propias del régimen del sector público en la Comunidad Autónoma del País Vasco, se prevé que, junto con las medidas establecidas con carácter general, será aplicable lo establecido en el Código Ético y de Conducta de los cargos públicos y personal eventual de la Administración General e Institucional de la Comunidad Autónoma del País Vasco, así como que se comunicarán al Ararteko las resoluciones sancionadoras que se dicten.
Atal jakin honetan, gardentasun-printzipioak eskatzen du jarduera publikoa behar bezala azter dadila, jendeak jarduera hori nola egiten den jakin dezan; hala, jendeak jakingo du, halaber, kudeaketan desbideraketak noiz gertatzen diren.
En este concreto apartado, el principio de transparencia exige garantizar el adecuado escrutinio de la actividad pública, garantizando el público conocimiento del modo en que se lleva a cabo, de forma que sea de público conocimiento la existencia de cualquier desviación que pudiera haberse producido en la mencionada gestión.
Arrazoi horregatik, beren-beregi erregulatzen da publikotasunerako araubide berezi bat sektore publikoan; araubide horren bidez, herritarrek jakin ahalko dute sektore publikoa osatzen duten erakunde eta organismoek edo sektore pribatuan egonik jarduera hori betetzeko ardura dutenek araudia betetzen duten.
Por este motivo, se regula expresamente un régimen especial de publicidad en el ámbito del sector público, que permita a la ciudadanía conocer el efectivo cumplimiento de la normativa por los entes y organismos que lo integran o por quienes, incardinados en el sector privado, tienen a su cargo la ejecución de esta actividad.
Hala, xedatzen da Euskal Herriko Agintaritzaren Aldizkarian argitaratuko dela Datuak Babesteko Euskal Agintaritzak ezarritako zehapen larrienei buruzko informazioa, alegia: arau-hauslea identifikatzen duen informazioa; egindako arau-haustea eta ezarritako zehapenaren diru-zenbatekoa, milioi bat eurotik gorakoa denean eta arau-hauslea pertsona juridikoa denean, eta datuak tratatzeko txosten teknikoei eta gomendioei muzin eginez jokaera arau-hauslea agindu duten agintari, goi-kargudun eta zuzendariei ezarritako ohartarazpenak.
En este sentido, se prevé la publicación en el Boletín Oficial del País Vasco de la información relevante referida a las sanciones de mayor gravedad impuestas por la Autoridad Vasca de Protección de Datos, limitando los datos publicados a la información que identifique a la persona infractora, la infracción cometida y el importe de la sanción impuesta cuando exceda de un millón de euros y la persona infractora sea una persona jurídica; y a las amonestaciones impuestas a las autoridades, altos cargos y personal directivo que hubieran ordenado la realización de la conducta infractora apartándose para ello de informes técnicos o recomendaciones para el tratamiento de los datos.
Azkenik, eta zehapenen preskripzioari dagokionez, legeak erabaki du 2016/679 (EB) Erregelamenduaren aurretik indarrean zeuden preskripzio-epeei eustea, eta aurreko arau-esparruan zehapen arin, astun eta oso astunengatiko arau-hausteetarako aurreikusitako diru-zenbatekoen araberako epeak ezartzea. Gainera, legearen xedea denez gero Euskal Autonomia Erkidegoko araudia maiatzaren 26ko 7/2021 Lege Organikoan jasotako xedapenetara egokitzea (7/2021 Lege Organikoa, arau-hauste penalak prebenitu, detektatu, ikertu eta epaitzeko eta zehapen penalak betearazteko tratatutako datu pertsonalak babesteari buruzkoa), lege organiko horretan aurreikusitako zehapenen preskripzio-epeak ere erregulatzen ditu, diru-zenbatekoaren arabera.
Por último, y por lo que se refiere a la prescripción de las sanciones, la ley opta por el mantenimiento de los plazos de prescripción que ya regían con anterioridad a la entrada en vigor del Reglamento (UE) 2016/679, estableciendo los plazos en función de las cuantías que en el anterior marco normativo se preveían para las infracciones por sanciones leves, graves y muy graves. Además, y en coherencia con su objeto, que contempla la adaptación de la normativa autonómica vasca a las previsiones contenidas en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, se regulan también los plazos de prescripción de las sanciones contempladas en dicha ley, en función de su importe.
IV. kapituluak bost atal ditu, eta datuak babesteko arauak urratuz gero jarraitu beharreko prozedurak erregulatzen ditu.
El capítulo IV, compuesto por cinco secciones, regula los procedimientos en caso de infracción de las normas de protección de datos.
Lehenengo atalak (xedapen orokorrak) aplikatu beharreko araubide juridikoa eta prozedura eteteko arrazoiak erregulatzen ditu.
La sección 1.ª, disposiciones generales, regula el régimen jurídico aplicable y las causas de suspensión del procedimiento.
Abiapuntu gisa, legeak bertan jasotzen diren arauen norainokoa zedarritzen du. Arau horiek ez zaizkie aplikatzen Datuak Babesteko Euskal Agintaritzak izapidetzen dituen prozedura guztiei, baizik eta administrazio-prozeduraren araudi orokorrean ezarrita dagoenarekin alderatuta berezitasunak eskatzen dituzten prozedurei soilik. Horrela, kapitulu honetan jasotako arauak aplikatuko diren hiru kasuak erregulatzen dira, eta zehapen-prozedurei subsidiarioki aplikatuko zaie Euskal Autonomia Erkidegoko administrazio publikoen zehatzeko ahalaren erabilera erregulatzen duen araudian ezarritakoa.
Como punto de partida, la ley delimita el alcance de la aplicación de las normas que contiene, que no son de aplicación a todos los procedimientos tramitados por la Autoridad Vasca de Protección de Datos, sino únicamente a aquellos en los que resulta necesario el establecimiento de especialidades respecto de lo establecido en la normativa general reguladora del procedimiento administrativo. De este modo, se regulan los tres supuestos en los que serán de aplicación las normas contenidas en este capítulo, siendo de aplicación subsidiaria a los procedimientos sancionadores lo establecido en la normativa reguladora del ejercicio de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
Horregatik, prozedura etetea kontuan hartzen da ez bakarrik oinarrizko araudian ezarritako kasuetan, baizik eta beste kontrol-agintaritza batzuei informazioa, kontsulta, laguntza edo aginduzko irizpena eskatu behar zaien kasuetan ere bai. Prozeduraren etenaldi horrek iraungo luke eskaria egiten den unetik Datuak Babesteko Euskal Agintaritzari irizpena jakinarazten zaion arte.
El efecto suspensivo del procedimiento se prevé no solo en los casos previstos en la normativa básica, sino también en aquellos en los que deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de otras autoridades de control. Esta suspensión se extendería durante el período que media entre la solicitud y la notificación del pronunciamiento a la Autoridad Vasca de Protección de Datos.
Bigarren atalak prozeduraren hasiera arautzen du, eta horren barruan sartzen dira erreklamazioa izapidetzeko onartzea eta egin beharreko aurretiazko jarduketak, hala nola kontrol-agintaritzaren eskumenaren azterketa, eta aukera txertatzen da prozedura izapidetzea egokia den ala ez erabakitzeko. Horretarako, prozedurarekin jarraitzea desegokia litzatekeen zenbait kasu zerrendatzen ditu, eta horietan prozedura ez onartzeko erabakitzea proposatzen du.
La sección 2.ª regula la iniciación del procedimiento, que incluye la admisión a trámite de la reclamación y las actuaciones previas que han de llevarse a cabo, tal como el análisis de la competencia de la autoridad de control, incorporándose la posibilidad de la adopción de una decisión acerca de la procedencia o no de la tramitación del procedimiento. A tal efecto, enumera una serie de supuestos en los que no procedería proseguir con el procedimiento, sino acordar su inadmisión.
Era berean, aurreikusten da Datuak Babesteko Euskal Agintaritzak ofizioz erabaki dezakeela prozedura hastea, baldin badaki datu pertsonalak babesteko araudian xedatutakoa hautsi izanaren zantzuak daudela. Baliteke halaber prozedura hastea datuak babesteko beste agintaritza batek –Espainiako nahiz beste Estatu kide bateko agintaritza batek– eskatuta.
Se prevé a su vez que la Autoridad Vasca de Protección de Datos puede acordar de oficio el inicio del procedimiento al tener conocimiento de la existencia de indicios de la comisión de una infracción de lo dispuesto en la normativa de protección de datos personales. Igualmente, es posible que la iniciación se deba al requerimiento de otra autoridad de protección de datos, tanto del Estado como de otro Estado miembro.
Hirugarren eta laugarren atalek, hurrenez hurren, bi kasu hauetako prozeduraren izapidetzea arautzen dute: eskubideak baliatzearen ondoriozko erreklamazioen kasua, eta zehatzeko ahala baliatzeko prozeduraren kasua.
Las secciones 3.ª y 4.ª regulan, respectivamente, la tramitación del procedimiento en caso de reclamaciones derivadas del ejercicio de derechos, y del procedimiento de ejercicio de la potestad sancionadora.
Legeak, gaur egun indarrean dagoen araudian dagoen irizpideari jarraikiz, bereizi egiten ditu, batetik, interesdunek datuak babesteko arauetan ezarritako eskubideak egikaritzearekin soil-soilik zerikusia duten prozedurak, eta, bestetik, zehapen-ahala egikaritzearekin zerikusia duten prozedurak. Zentzuzkoa denez, interesdunak egindako erreklamazioan bi uziak jasotzen badira, Datuak Babesteko Euskal Agintaritzak bi prozedura bereizi ireki ahalko ditu.
La ley diferencia, siguiendo el criterio ya existente en la normativa actualmente vigente, entre los procedimientos relacionados exclusivamente con el reconocimiento del ejercicio por las personas interesadas de los derechos consagrados por las normas de protección de datos, y los procedimientos relacionados con el ejercicio de la potestad sancionadora. Lógicamente, en los supuestos en los que la reclamación formulada por la persona interesada contuviese ambas pretensiones, la Autoridad Vasca de Protección de Datos podrá decidir la apertura de dos procedimientos diferenciados.
Aldea nabarmena da zeren helburua baita eskubideak betetzearekin zerikusia duen prozedurak –zeinak, gehienetan, ardatz izango baitu eskubideak bete egin zirela dioen frogaren balorazioari buruzko auzia edo, gehienez ere, eskubideok behar bezala bete ez izana– askoz gutxiago irautea zehapen-prozedurek baino. Izan ere, zehapen-prozeduretan, gainera, kautela-neurriak hartu ahalko dira eta neurri horiek bermatu egingo dute kaltetutako eskubideen konponketa azkarra, hala dagokionean.
La diferencia es sustancial, dado que se pretende que el procedimiento relacionado con la atención de los derechos, que en la mayor parte de los supuestos se centrará en la cuestión de valoración de la prueba de que los derechos fueron atendidos o, a lo sumo, en la improcedencia de dicha atención, tenga una duración sustancialmente inferior a la de los procedimientos sancionadores, en los que, además, será posible la adopción de medidas cautelares que garanticen un rápido restablecimiento del derecho cuando así proceda.
Eskubideen egikaritzea eskatu arren eskaera hori aintzat hartu ezean egin beharreko prozedurei dagokienez, legeak aurkakotasun-printzipioari eusten dio, eta ebazteko gehienez sei hilabeteko epea ezartzen du; epe horren ostean, interesdunak ulertu ahalko du bere eskaria ezetsi egin dela.
En relación con los procedimientos referidos a la solicitud no atendida de ejercicio de derechos, la ley mantiene el principio contradictorio, estableciendo un plazo máximo de resolución del procedimiento de seis meses, tras los cuales la persona interesada podrá considerar desestimada su reclamación.
Azkenik, bosgarren atalak mugaz gaindiko tratamenduei buruzko prozeduren berezitasunak arautzen ditu. Legeak beharrezko arau-neurriak hartzen ditu, datuak babesteko Europako erregelamenduak ezarritako egoera berriak kontuan hartuta. Zehazki, berezitasunak txertatzen ditu datuak babesteko agintaritza batek baino gehiagok prozedura ebazteko interesa duten kasuetan, eta bereizi egiten ditu, alde batetik, agintaritza nagusia, zeinaren jurisdikzioan baitago arduradunaren establezimendu nagusia, eta, bestetik, gainerako agintaritza interesdunak.
Por último, la sección 5.ª regula las diferentes especialidades en los casos de procedimientos referidos a tratamientos transfronterizos. La ley adopta las medidas normativas pertinentes para tener en cuenta las nuevas situaciones introducidas por el reglamento europeo de protección de datos. En concreto, introduce especialidades en los supuestos en los que varias autoridades de protección de datos pudieran tener interés en la resolución del procedimiento, diferenciando entre la autoridad principal, en cuya jurisdicción esté ubicado el establecimiento principal del responsable, de las restantes autoridades interesadas.
Legeak hiru xedapen gehigarri, hiru xedapen iragankor, xedapen indargabetzaile bat eta azken xedapen bat.
La ley contiene tres disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y una disposición final.
Lehenengo xedapen gehigarrian, Datuak Babesteko Euskal Agintaritzak izapidetzen dituen baina lege honetan erregulatzen ez diren prozedurei aplikatu beharreko araudia aipatzen da; izan ere, prozedura horien jarduera administrazio-prozedura erregulatzen duen oinarrizko legeriaren eta legeria autonomikoaren mende geratuko da erabat.
La disposición adicional primera comprende la referencia de la normativa aplicable a los procedimientos tramitados por la Autoridad Vasca de Protección de Datos no regulados por esta ley, en los que su actividad quedará plenamente sometida a la legislación básica y autonómica reguladora del procedimiento administrativo.
Bigarren xedapen gehigarriak dio Datuak Babesteko Euskal Agintaritzak gaur egungo Datuak Babesteko Euskal Bulegoa ordezten duela eta, beraz, bere gain hartzen dituela gaur egun indarrean dagoen araudian Bulegoari orain arte esleitu zaizkion eskumenak eta eginkizunak –besteak beste, gainbegiratzeko, kontrolatzeko, aholkua emateko edo txostenak egiteko eskumenak–; hortaz, Bulegoa dioten erreferentzietan Agintaritza aipatzen ari dela ulertu beharko da.
La disposición adicional segunda especifica que la Autoridad Vasca de Protección de Datos reemplaza a la Agencia Vasca de Protección de Datos, asumiendo las competencias y las funciones de supervisión, control, asesoramiento o informe, entre otras, que se le hubieran venido atribuyendo por la normativa actualmente vigente, por lo que las referencias a la Agencia deberán entenderse llevadas a cabo a la Autoridad.
Hirugarren xedapen gehigarriak ezartzen du Datuak Babesteko Euskal Agintaritzako funtzionario propioen kidegoak eta eskalak sortzea, aplikatu beharreko araudiaren arabera, barne hartuta lanpostuen zerrendari, bertako funtzionarioen eta beste administrazio batzuetatik etorritako langileen sarbideari buruzko zenbait gai, bai eta kidego eta eskala propioen eta beste administrazio publiko batzuetakoen artean baliokidetasun-sistema bat gauzatzeko aukera ere.
La disposición adicional tercera establece la creación de cuerpos y escalas de personal funcionario propio de la Autoridad Vasca de Protección de Datos, conforme a la normativa de aplicación, incluyéndose cuestiones relativas a la relación de puestos de trabajo, el acceso de personal funcionario propio y de personal procedente de otras administraciones, así como la posibilidad de llevar a cabo un sistema de equivalencias entre cuerpos y escalas propios y aquellos de otras administraciones públicas.
Lehenengo xedapen iragankorrak argitzen du Datuak Babesteko Euskal Agintaritzaren araubide berriak estatutu berri bat izatea exijituko duela, gaur egun indarrean dagoena ordeztuko duena. Dena dela, indarrean dagoen estatutuaren berezitasunak arazorik gabe aplikatu ahalko dira estatutu berria onartu arte, lege honetan ezarritakoaren aurka ez doan guztian. Aldi berean, azaltzen da ezen Datuak Babesteko Euskal Agintaritzaren lehendakariaren kargua sailburuorde-karguarekin parekatzea eta kontseilu aholku-emaile berriaren osaketa gauzatuko direla haien izendapena egiten denean; alegia, lege hau indarrean jartzeak ez du esan nahi kargutik kenduko direnik ez Datuak Babesteko Euskal Bulegoko zuzendariaren lanpostuan dagoena, ez eta kontseilu aholku-emailea osatzen dutenak ere.
La disposición transitoria primera aclara que el nuevo régimen de la Autoridad Vasca de Protección de Datos exigirá la adopción de un nuevo estatuto, que sustituya al actualmente vigente. Sin embargo, sus especialidades pueden ser perfectamente aplicables, en cuanto no se opongan a lo establecido en la ley, mientras no se proceda a la aprobación de ese nuevo estatuto. Al propio tiempo, se clarifica que la asimilación de la presidencia de la Autoridad Vasca de Protección de Datos al cargo de viceconsejero o viceconsejera y la nueva composición del consejo consultivo se producirán cuando proceda la realización de una nueva designación de los mismos, sin que la entrada en vigor de esta ley pueda implicar el cese de quien ostente el puesto de director o directora de la Agencia Vasca de Protección de Datos ni de quienes conformen su consejo consultivo.
Bigarren xedapen iragankorrak prozeduren araubide iragankorra jorratzen du; esan nahi baita, lege hau indarrean jarri aurretik indarrean zegoen araudia aplikatuko zaiela data horretan hasita zeuden prozedurei edo data hori baino lehenago aurretiazko ikerketa-jarduketak hasiak dituztenei.
La disposición transitoria segunda está dedicada al régimen transitorio de los procedimientos, de forma que las actuaciones previas de investigación y los procedimientos iniciados con anterioridad a la entrada en vigor de esta ley continuarán tramitándose de conformidad con la normativa aplicable en el momento de su inicio.
Hirugarren xedapen iragankorrak ezartzen du Datuak Babesteko Euskal Bulegoko funtzionarioak zer sistemaren bidez integratuko diren Datuak Babesteko Euskal Agintaritzako funtzionarioen kidego eta eskaletan. Hiru kasu bereizten dira: aurrez deitutako salbuespenezko egonkortze-prozesuen bidez finkatutako langileak; beste administrazio publiko batzuetatik datozen karrerako funtzionarioak, eta lanpostuak zerbitzu-eginkizunetan edo bitarteko funtzionario gisa betetzen ari diren langileak.
La disposición transitoria tercera establece el sistema de integración del personal funcionario de la Agencia Vasca de Protección de Datos en los cuerpos y escalas del personal funcionario de la Autoridad Vasca de Protección de Datos. Se diferencian tres supuestos: el personal consolidado como consecuencia de los procesos de estabilización excepcional convocados previamente; el personal funcionario de carrera procedente de otras administraciones públicas, y el personal que ocupa puestos en régimen de comisión de servicios o como personal funcionario interino.
Xedapen indargabetzaile bakarrak jasotzen ditu lege hau indarrean jartzearekin batera indargabetuta geratzen diren arauak: 2/2004 Legea, otsailaren 25ekoa, Datu Pertsonaletarako Jabetza Publikoko Fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzkoa; 308/2005 Dekretua, urriaren 18koa, aipatu lege hori garatzen duena, eta 309/2005 Dekretua, urriaren 18koa, Datuak Babesteko Euskal Bulegoaren Estatutua onartzen duena.
La disposición derogatoria única señala las normas que quedan derogadas a la entrada en vigor de la presente ley: la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, el Decreto 308/2005, de 18 de octubre, por el que se desarrolla la ley anteriormente mencionada, y el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.
Azkenik, azken xedapena lege hau indarrean jartzeari buruzkoa da.
Por último, la disposición final se refiere a la entrada en vigor de esta ley.
1. artikulua.– Xedea.
Artículo 1.– Objeto.
1.– Lege honen xedea da legearen aplikazio-eremuko subjektuen ardurapeko datu-tratamenduen kontrola eta gainbegiratzea arautzea.
1.– La presente ley tiene por objeto regular el control y supervisión de los tratamientos de datos de los que sean responsables los sujetos incluidos en su ámbito de aplicación.
2.– Era berean, lege honen xedea da Datuak Babesteko Euskal Agintaritzaren araubide juridikoa erregulatzea.
2.– Asimismo, la presente ley tiene por objeto regular el régimen jurídico de la Autoridad Vasca de Protección de Datos.
2. artikulua.– Aplikazio-eremua.
Artículo 2.– Ámbito de aplicación.
1.– Lege hau aplikatuko zaie arduradun gisa erakunde hauek dituzten datu pertsonalen tratamenduei:
1.– La presente ley será de aplicación a todos los tratamientos de datos personales de los que sean responsables:
a) Euskal Autonomia Erkidegoko Administrazio orokorra, lurralde historikoetako foru-administrazioak eta Euskal Autonomia Erkidegoko toki-administrazioak, bai eta haien mendeko administrazio instituzionalak eta haiei dagokien sektore publikoa osatzen duten erakundeak ere.
a) La Administración general de la Comunidad Autónoma del País Vasco, las administraciones forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como sus correspondientes administraciones institucionales y los entes integrantes de su respectivo sector público.
b) Euskal Sektore Publikoari buruzko maiatzaren 12ko 3/2022 Legearen 4. artikuluaren 3. eta 4. apartatuetan aurreikusitako sektore publikoa osatzen duten erakundeak.
b) Los entes integrantes del sector público previstos en los apartados 3 y 4 del artículo 4 de la Ley 3/2022, de 12 de mayo, del Sector Público Vasco.
c) Eusko Legebiltzarra.
c) El Parlamento Vasco.
d) Lurralde historikoetako batzar nagusiak.
d) Las juntas generales de los territorios históricos.
e) Herri Kontuen Euskal Epaitegia.
e) El Tribunal Vasco de Cuentas Públicas.
f) Arartekoa.
f) El Ararteko.
g) Eusko Legebiltzarraren lege bidez sortutako entitateak eta administrazio-agintaritza independenteak.
g) Las entidades creadas por ley del Parlamento Vasco y las autoridades administrativas independientes.
h) Eusko Legebiltzarreko talde parlamentarioak, lurralde historikoetako batzar nagusietako batzar-taldeak eta udaletako udal-taldeak.
h) Los grupos parlamentarios del Parlamento Vasco, los grupos junteros de las juntas generales de los territorios históricos y los grupos municipales de los ayuntamientos.
i) Interes ekonomikoak eta lanbide-interesak ordezkatzen dituzten zuzenbide publikoko korporazioak, haien lurralde-eremuak Euskal Autonomia Erkidegoa gainditzen ez badu, eta korporazio horien ordezkaritzak, baldin eta beren xedeak betetzeko autonomia organiko, funtzional eta ekonomiko osoarekin jarduten badute eta haien lurralde-eremuak Euskal Autonomia Erkidegoa gainditzen ez badu.
i) Las corporaciones de derecho público, representativas de intereses económicos y profesionales, cuyo ámbito territorial no exceda de la Comunidad Autónoma del País Vasco, así como las delegaciones de dichas corporaciones que, actuando con plena autonomía orgánica, funcional y económica para la realización de los fines, tuviesen un ámbito territorial que no excediera de dicha comunidad autónoma.
j) Euskal Herriko Unibertsitatea (UPV/EHU), Euskal Unibertsitate Sistema osatzen duten gainerako unibertsitateak eta unibertsitate horien mendeko erakundeak.
j) La Universidad del País Vasco (UPV/EHU) y las demás universidades integrantes del Sistema Universitario Vasco, así como los entes de ellas dependientes.
k) Lan Harremanen Kontseilua eta Euskadiko Ekonomia eta Gizarte Arazoetarako Batzordea.
k) Consejo de Relaciones Laborales y Consejo Económico y Social Vasco.
l) Pertsona fisikoak edo juridikoak, baldin eta tratamendua egiten bada a) letran agertzen diren administrazio publikoen eskumeneko gaietako eginkizun publikoak egikaritzeko.
l) Las personas físicas o jurídicas, si el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que sean competencia de las administraciones públicas enumeradas en la letra a).
m) Edozein eratako zuzeneko zein zeharkako kudeaketaren bidez zerbitzuak ematen dituzten zuzenbide pribatuko entitateak, tratamenduen xedea zerbitzu horiek ematearekin lotuta dagoenean.
m) Las entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, en lo que respecta a los tratamientos cuya finalidad se encuentre vinculada a la prestación de dichos servicios.
2.– Era berean, lege honetan xedatuta dagoenaren mendean egongo dira tratamenduaren eragile gisa artikulu honetako 1. apartatuan azaltzen diren arduradunei zerbitzuak ematen dizkieten pertsona fisikoak edo juridikoak, publikoak edo pribatuak.
2.– Estarán igualmente sometidos a lo dispuesto en la presente ley las personas físicas o jurídicas, públicas o privadas que, como encargados del tratamiento, presten servicios a los responsables a los que se refieren el apartado 1 de este artículo.
3.– Lege hau ez zaie hauei aplikatuko:
3.– La presente ley no se aplicará a:
a) Hildakoen datuen tratamenduei, abenduaren 5eko 3/2018 Legearen 3. artikuluan eta maiatzaren 26ko 7/2021 Lege Organikoaren 3. artikuluan xedatutakoa gorabehera.
a) Los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 3 de la Ley Orgánica 7/2021, de 26 de mayo.
b) Sailkatutako gaiak babesteari buruzko araudiaren mende dauden tratamenduei.
b) Los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
3. artikulua.– Izaera eta araubide juridikoa.
Artículo 3.– Naturaleza y régimen jurídico.
1.– Datuak Babesteko Euskal Agintaritza administrazio-agintaritza independentea da, nortasun juridiko propioa eta gaitasun publiko eta pribatu erabatekoa izango ditu, eta administrazio publikoekiko inongo loturarik gabe beteko ditu bere eginkizunak.
1.– La Autoridad Vasca de Protección de Datos es una autoridad administrativa independiente, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.
Lehendakariak arloen dekretuan zehazten duen sailaren bidez jartzen da harremanetan Datuak Babesteko Euskal Agintaritza Eusko Jaurlaritzarekin.
La Autoridad Vasca de Protección de Datos se relaciona con el Gobierno Vasco a través del departamento que determine el lehendakari o la lehendakari en el decreto de áreas.
2.– Datuak Babesteko Euskal Agintaritza kontrol-agintaritza independentea da 2016/679 (EB) Erregelamenduaren VI. kapituluan eta maiatzaren 26ko 7/2021 Lege Organikoaren VI. kapituluan xedatutakoaren ondorioetarako.
2.– La Autoridad Vasca de Protección de Datos tiene la condición de autoridad de control independiente a los efectos de lo dispuesto en el capítulo VI del Reglamento (UE) 2016/679 y en el capítulo VI de la Ley Orgánica 7/2021, de 26 de mayo.
3.– Datuak Babesteko Euskal Agintaritzak gainbegiratze- eta kontrol-ahalak egikaritzean izapidetzen dituen prozedurak lege honen eta legea garatzeko araudiaren mendean egongo dira, bai eta, osagarri moduan, prozedura horiek zehatzaileak direnean, Euskal Autonomia Erkidegoko administrazio publikoen zehatzeko ahalari buruzko araudian ezarrita dagoenaren mendean ere.
3.– Los procedimientos tramitados por la Autoridad Vasca de Protección de Datos en el ejercicio de sus potestades de supervisión y control se someterán a la presente ley y a su normativa de desarrollo y, supletoriamente, cuando dichos procedimientos revistan carácter sancionador, a lo establecido en la normativa reguladora de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
4.– Auzibidean jardun beharra badago, Eusko Jaurlaritzaren Zerbitzu Juridiko Nagusiaren ardura izango da Datuak Babesteko Euskal Agintaritza ordezkatzea eta defendatzea, beren arauetan xedaturik dagoenaren arabera, betiere interes kontrajarririk ez badago legezko edo hitzarmenezko ordezkaritza Eusko Jaurlaritzaren Zerbitzu Juridiko Nagusiak egiten dien administrazio edo organismo publikoekin.
4.– La representación y defensa en juicio de la Autoridad Vasca de Protección de Datos estará a cargo del Servicio Jurídico Central del Gobierno Vasco, conforme a lo dispuesto en sus normas reguladoras, siempre que no existan intereses contrapuestos con las administraciones u organismos públicos cuya representación legal o convencional ostente el Servicio Jurídico Central del Gobierno Vasco.
5.– Eusko Jaurlaritzari dagokio Datuak Babesteko Euskal Agintaritzaren Estatutua onartzea eta lege hau garatuko duten erregelamenduzko xedapen guztiak ematea.
5.– Corresponde al Gobierno Vasco aprobar el Estatuto de la Autoridad Vasca de Protección de Datos, así como dictar cuantas disposiciones reglamentarias sean precisas para el desarrollo de la presente ley.
4. artikulua.– Ekonomia- eta aurrekontu-araubidea.
Artículo 4.– Régimen económico y presupuestario.
1.– Datuak Babesteko Euskal Agintaritzak urtero prestatu eta onartuko du aurrekontu-aurreproiektua, eta Eusko Jaurlaritzara bidaliko du, Euskal Autonomia Erkidegoko aurrekontu orokorretan behar bezalako independentziarekin sar dadin, Euskal Autonomia Erkidegoko aurrekontu-araubidea erregulatzen duen legeriarekin bat etorriz. Legeria horren mendean egongo da aurrekontua aldatzeko, gauzatzeko eta likidatzeko araubideari dagokionez, eta, ondorio horietarako, Agintaritzaren izaera hartuko da kontuan.
1.– La Autoridad Vasca de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto, y lo remitirá al Gobierno Vasco para que sea integrado, con la debida independencia, en los presupuestos generales de la Comunidad Autónoma, de acuerdo con la legislación reguladora del régimen presupuestario de la Comunidad Autónoma del País Vasco. Estará sometida a dicha legislación en lo relativo al régimen de modificación, ejecución y liquidación de su presupuesto, atendiendo a estos efectos a la naturaleza de la Autoridad.
2.– Datuak Babesteko Euskal Agintaritzak nahikoa baliabide izango du bere eginkizunak betetzeko eta ahalak egikaritzeko. Honako hauek izango dira baliabide horiek:
2.– La Autoridad Vasca de Protección de Datos contará con recursos suficientes para el desempeño de sus funciones y ejercicio de sus potestades. Dichos recursos procederán de:
a) Autonomia Erkidegoko aurrekontu orokorretan urtero izendatuko zaion diru-kopurua.
a) Las asignaciones que se establezcan con cargo a los presupuestos generales de la Comunidad Autónoma.
b) Ematen dizkioten dirulaguntzak eta egiten dizkioten ekarpenak.
b) Las subvenciones y aportaciones que se concedan a su favor.
c) Haren ondarea osatzen duten ondasun eta baloreak eta horietatik sortutako produktu eta errentak.
c) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.
d) Bere jarduera egikaritzearen ondoriozko diru-sarrerak (ohikoak eta apartekoak), 2016/679 (EB) Erregelamenduaren 58. artikuluan eta maiatzaren 26ko 7/2021 Lege Organikoaren 50. artikuluan ezarritako ahalak egikaritzearen ondoriozkoak barne.
d) Los ingresos, ordinarios y extraordinarios, derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidas en el artículo 58 del Reglamento (UE) 2016/679, y en el artículo 50 de la Ley Orgánica 7/2021, de 26 de mayo.
e) Legez ematen dioten beste edozein ondasun edo baliabide.
e) Cualesquiera otros que legalmente le pudieran ser atribuidos.
3.– Lege honek Datuak Babesteko Euskal Agintaritzari esleitzen dizkion jarduerak eta ahalak egikaritzearen ondoriozko edo egikaritze horretatik eratorritako diru-sarrerak Agintaritzaren erreserbak hornitzeko baliatuko dira.
3.– Los ingresos procedentes o derivados del ejercicio de las actividades y potestades que la presente ley atribuye a la Autoridad Vasca de Protección de Datos se destinarán por esta a la dotación de sus reservas.
4.– Datuak Babesteko Euskal Agintaritza Euskal Autonomia Erkidegoaren ekonomia-, finantza- eta kudeaketa-arloko kontrolaren mendean egongo da, baita Herri Kontuen Euskal Epaitegiaren fiskalizazioaren mendean ere.
4.– La Autoridad Vasca de Protección de Datos estará sometida al control económico-financiero y de gestión de la Comunidad Autónoma del País Vasco, así como a la fiscalización del Tribunal Vasco de Cuentas Públicas.
5. artikulua.– Langileen araubidea.
Artículo 5.– Régimen de personal.
1.– Datuak Babesteko Euskal Agintaritzaren zerbitzuko langileak funtzionarioak izango dira, eta euskal funtzio publikoa erregulatzen duen legediaren agindupean egongo dira.
1.– El personal al servicio de la Autoridad Vasca de Protección de Datos será funcionario, y se regirá por la legislación reguladora de la función pública vasca.
2.– Datuak Babesteko Euskal Agintaritzaren lanpostuen zerrenda Agintaritzaren lehendakariaren ebazpen bidez onartuko da eta Euskal Herriko Agintaritzaren Aldizkarian argitaratzen den egunean jarriko da indarrean.
2.– La relación de puestos de trabajo de la Autoridad Vasca de Protección de Datos será aprobada por resolución de su presidencia y entrará en vigor el día de su publicación en el Boletín Oficial del País Vasco.
3.– Datuak Babesteko Euskal Agintaritzari dagokio lanpostuak eskuratzeko sistema erabakitzea, baldintzak eta hautaproben ezaugarriak zehaztea, bai eta lanpostuak betetzeko eta laneko sustapeneko prozeduretako deialdiak egitea eta prozedura horiek kudeatzea eta ebaztea ere.
3.– Corresponde a la Autoridad Vasca de Protección de Datos determinar el régimen de acceso a sus puestos de trabajo, los requisitos y las características de las pruebas de selección, así como la convocatoria, gestión y resolución de los procedimientos de provisión de puestos de trabajo y promoción profesional.
4.– Datuak Babesteko Euskal Agintaritzako langileek sekretupean gorde beharko dituzte beren eginkizunak betetzean ezagutzen dituzten informazioak, baita eginkizun horiek utzi ondoren ere.
4.– El personal de la Autoridad Vasca de Protección de Datos estará obligado a guardar secreto sobre las informaciones que conozca en el ejercicio de sus funciones, incluso después de haber cesado en estas.
6. artikulua.– Eginkizunak eta ahalak.
Artículo 6.– Funciones y potestades.
Datuak Babesteko Euskal Agintaritzak 2016/679 (EB) Erregelamenduaren 57. eta 58. artikuluetan eta maiatzaren 26ko 7/2021 Lege Organikoaren 49. eta 50. artikuluetan, hurrenez hurren, ezarritako eginkizunak eta ahalak egikarituko ditu, bai eta lege honetan ezarritakoak ere.
La Autoridad Vasca de Protección de Datos ejercerá las funciones establecidas y las potestades previstas, respectivamente, en los artículos 57 y 58 del Reglamento (UE) 2016/679, en los artículos 49 y 50 de la Ley Orgánica 7/2021, de 26 de mayo, así como las previstas en esta ley.
Halaber, legez esleitzen zaizkion eskumenak egikarituko ditu.
Asimismo, ejercerá cuantas competencias le sean legalmente atribuidas.
7. artikulua.– Gardentasuna.
Artículo 7.– Transparencia.
1.– Gardentasunaren eta informazio publikorako irispidearen arloan aplikatu beharreko araudian ezarritako baldintzak betetzeaz gain, Datuak Babesteko Euskal Agintaritzak datuen babeserako xedapenen urraketarekin edo 2016/679 (EB) Erregelamenduaren 15.etik 22.era bitarteko artikuluetan ezarritako eskubideen arretarekin zerikusia duten prozedurei amaiera ematen dieten ebazpenak argitaratuko ditu bere web orrian, Agintaritzaren lehendakariak emanak, bai eta nazioarteko datu-transferentziak egitea xede duten klausula-ereduak onartzen dituztenak, datuen nazioarteko transferentziak baimentzen dituztenak edo ziurtapen-entitateak egiaztatzen dituztenak ere.
1.– Además de cumplir las exigencias establecidas en la normativa aplicable en materia de transparencia y acceso a la información pública, la Autoridad Vasca de Protección de Datos hará públicas a través de su página web las resoluciones de su presidencia que pongan término a los procedimientos relacionados con la vulneración de las disposiciones de protección de datos o con la atención de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como aquellas por las que se adopten cláusulas contractuales tipo para las transferencias internacionales de datos, se autoricen transferencias internacionales de datos, o se acrediten entidades de certificación.
2.– Halaber argitaratuko dira web orrian datu-babeserako xedapenak urratzearekin edo maiatzaren 26ko 7/2021 Lege Organikoaren 21., 22. eta 23. artikuluetan ezarritako eskubideak betetzearekin zerikusia duten prozedurei amaiera ematen dieten Agintaritzaren lehendakariaren ebazpenak.
2.– También hará públicas a través de su página web las resoluciones de su presidencia que pongan término a los procedimientos relacionados con la vulneración de las disposiciones de protección de datos, o con la atención de los derechos establecidos en los artículos 21, 22 y 23 de la Ley Orgánica 7/2021, de 26 de mayo.
Aurreko paragrafoan azaltzen diren ebazpenak Datuak Babesteko Europako Lantaldearen irizpen batean ezarrita dagoenaren ondorioz ematen direnean, irizpen hori argitaratuko da emandako ebazpenarekin batera.
Cuando las resoluciones a las que se refiere el párrafo anterior traigan su causa de lo establecido en un dictamen del Comité Europeo de Protección de Datos, este será objeto de publicación junto con la resolución adoptada.
3.– Gainera, Datuak Babesteko Euskal Agintaritzak hauek ere argitaratuko ditu bere web orrian:
3.– Además, la Autoridad Vasca de Protección de Datos hará públicas a través de su página web:
a) Auditoretza-planak egin ondoren ezartzen diren gidalerro orokorrak.
a) Las directrices generales que se adopten como consecuencia de la realización de planes de auditoría.
b) 2016/679 (EB) Erregelamenduaren 36. artikuluko 4. apartatuaren arabera ematen diren xedapen orokorrei buruzko nahitaezko txostenak.
b) Los informes preceptivos a disposiciones de carácter general evacuados conforme al apartado 4 del artículo 36 del Reglamento (UE) 2016/679.
c) Planteatzen dizkioten kontsultei erantzuteko emandako irizpenak, baldin eta irizpen horiek aurretik argitaratu ez den datuen babeserako arauen interpretazio bat baldin badira.
c) Los dictámenes por los que se dé respuesta a consultas que le hayan sido planteadas, en la medida en que supongan una interpretación de las normas de protección de datos que no haya sido previamente objeto de publicación.
d) Agintaritzak onartutako jokabide-kodeak.
d) Los códigos de conducta aprobados por la Autoridad.
e) Datu pertsonalak babesteko araudiari jarraituz argitaratu behar diren gainerako jarduketak.
e) Las restantes actuaciones que hayan de hacerse públicas conforme a la normativa de protección de datos personales.
4.– Aurreko apartatuetan azaltzen den informazioa zabaldu aurretik, datu pertsonalak disoziatu egingo dira, eta gardentasunaren eta informazio publikorako irispidearen arloan aplikatu beharreko legerian ezarritako mugak errespetatuko dira.
4.– La difusión a la que se refieren los apartados anteriores se llevará a cabo previa disociación de los datos de carácter personal y respetando los límites establecidos en la legislación aplicable en materia de transparencia y acceso a la información pública.
8. artikulua.– Datuak Babesteko Euskal Agintaritzaren lehendakaria.
Artículo 8.– Presidencia de la Autoridad Vasca de Protección de Datos.
1.– Datuak Babesteko Euskal Agintaritzaren lehendakariak zuzentzen du Agintaritza, haren ordezkaria da eta haren ebazpenak, zirkularrak eta gidalerroak ematen ditu.
1.– La presidencia de la Autoridad Vasca de Protección de Datos la dirige, ostenta su representación y dicta sus resoluciones, circulares y directrices.
Hirugarrenengan ondorio juridikoak sortzen dituzten euskal agintaritzaren egintzak lehendakariak emango ditu.
Los actos de la autoridad vasca que produzcan efectos jurídicos sobre terceros serán dictados por su presidencia.
2.– Datuak Babesteko Euskal Agintaritzaren lehendakariak independentzia eta objektibotasun osoz beteko ditu bere zereginak, inolako jarraibiderik bete beharrik gabe.
2.– La presidencia de la Autoridad Vasca de Protección de Datos ejercerá sus funciones con plena independencia y objetividad, y no estará sujeta a instrucción alguna en el desempeño de aquellas.
3.– Datuak Babesteko Euskal Agintaritzaren lehendakaria Eusko Jaurlaritzaren dekretu bidez izendatuko da, bost urterako, eta kargua iraupen bereko epealdi bakar baterako berritu ahalko da.
3.– La presidencia de la Autoridad Vasca de Protección de Datos será nombrada por decreto del Gobierno Vasco por un período de cinco años, pudiendo ser renovada por un único período de igual duración.
Jaurlaritzak Eusko Legebiltzarrari proposatuko dio Datuak Babesteko Euskal Agintaritzako lehendakari izateko egokitzat jotzen duen pertsona. Hautagai horrek dagozkion eginkizunak betetzeko eta ahalak egikaritzeko beharrezkoak diren titulazioa, esperientzia eta gaitasunak izango ditu, batez ere datu pertsonalen babesaren arlokoak.
A tal efecto, el Gobierno Vasco propondrá al Parlamento Vasco la persona que considere idónea para presidir la Autoridad Vasca de Protección de Datos. Dicha persona poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.
4.– Proposamena jaso ondoren, Eusko Legebiltzarrak batzorde eskudunari aurkeztuko dio, gehiengo osoz onar dezan. Gehiengo osoa lortu ezean, proposamena indargabetuta geratuko da eta Eusko Jaurlaritzari itzuliko zaio.
4.– Recibida la propuesta por el Parlamento Vasco, se someterá a la comisión competente, que deberá aprobarla por mayoría absoluta. En caso de no obtenerse dicha mayoría se entenderá decaída la propuesta, y se devolverá al Gobierno Vasco.
5.– Datuak Babesteko Euskal Agintaritzaren lehendakariak arrazoi hauetako batengatik baino ezingo da kargu gabetu agintaldia amaitu aurretik:
5.– La presidencia de la Autoridad Vasca de Protección de Datos solo cesará antes de la expiración de su mandato por alguna de las siguientes causas:
a) Norberak hala eskatzeagatik.
a) A petición propia.
b) Dolozko delitu bat dela-eta kondena irmoa jasotzeagatik.
b) Por condena firme por delito doloso.
c) Bere betebeharrak larriki urratzeagatik.
c) Por incumplimiento grave de sus obligaciones.
d) Bere eginkizunak gauzatzeko ezgaitasunagatik.
d) Por incapacidad sobrevenida para el ejercicio de su función.
e) Bateraezintasunarengatik.
e) Por incompatibilidad.
Apartatu honetako c), d) eta e) letretan aurreikusitako kasuetan Eusko Legebiltzarreko Erakunde, Gobernantza Publiko eta Segurtasun Batzordearen gehiengoak berretsi beharko ditu kargu-kentzeak.
En los supuestos previstos en las letras c), d) y e) será necesaria la ratificación de la separación por mayoría absoluta de la Comisión de Instituciones, Gobernanza Pública y Seguridad del Parlamento Vasco.
6.– Datuak Babesteko Euskal Agintaritzaren lehendakaria goi-karguduna izango da, sailburuordearen parekoa. Izendatu aurretik funtzionario publiko gisa lanpostu bat betetzen ari bazen, zerbitzu berezien egoeran geratuko da.
6.– La presidencia de la Autoridad Vasca de Protección de Datos tendrá la consideración de alto cargo, asimilado al de viceconsejero o viceconsejera. Si con anterioridad a su nombramiento estuviera ocupando una plaza como funcionaria o funcionario público, quedará en situación de servicios especiales.
Nolanahi ere, Kargu Publikodunen Jokabide Kodea eta Haien Interes Gatazkak Arautzen dituen ekainaren 26ko 1/2014 Legean eta hura garatzeko araudian xedatutakoa aplikatuko zaio.
En todo caso, le será de aplicación lo dispuesto en la Ley 1/2014, de 26 de junio, Reguladora del Código de Conducta y de los Conflictos de Intereses de los Cargos Públicos y su normativa de desarrollo.
7.– Datuak Babesteko Euskal Agintaritzaren lehendakariak emandako egintza eta xedapenek administrazio-bidea amaitzen dute, eta horien aurka errekurtsoa aurkeztea dago administrazioarekiko auzien jurisdikzioan zuzenean.
7.– Los actos y disposiciones dictados por la presidencia de la Autoridad Vasca de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la jurisdicción contencioso-administrativa.
8.– Datuak Babesteko Euskal Agintaritzaren lehendakariak, Datuak Babesteko Erregelamendu Orokorraren 59. artikuluan xedatutakoaren arabera, bere jarduerei buruzko txosten bat egingo du urtero, eta Eusko Legebiltzarrari, Eusko Jaurlaritzari eta datuak babesteko Estatuko gainerako agintaritzei jakinaraziko die. Txosten hori Agintaritzaren webgunean argitaratuko da.
8.– La presidencia de la Autoridad Vasca de Protección de Datos, de conformidad con lo dispuesto en el artículo 59 del Reglamento General de Protección de Datos, elaborará un informe anual de sus actividades, que será comunicado al Parlamento Vasco, al Gobierno Vasco y a las demás autoridades de protección de datos del Estado. Este informe será publicado en su página web.
9. artikulua.– Datuak Babesteko Euskal Agintaritzaren Kontseilu Aholku-emailea.
Artículo 9.– El Consejo Consultivo de la Autoridad Vasca de Protección de Datos.
1.– Datuak Babesteko Euskal Agintaritzaren lehendakariak kontseilu aholku-emaile baten laguntza izango du; hauek izango dira kontseilukide:
1.– La presidencia de la Autoridad Vasca de Protección de Datos estará asesorada por un consejo consultivo compuesto por los siguientes miembros:
a) Eusko Legebiltzarraren ordezkari bat, Legebiltzarrak berak izendatua.
a) Una persona representante del Parlamento Vasco, designada por este.
b) Euskal Autonomia Erkidegoko Administrazio orokorraren ordezkari bat, Eusko Jaurlaritzak izendatua.
b) Una persona representante de la Administración general de la Comunidad Autónoma del País Vasco, designada por el Gobierno Vasco.
c) Lurralde historiko bakoitzeko ordezkari bat, lurralde historiko horrek izendatua.
c) Una persona representante de cada uno de los territorios históricos vascos, designada por estos.
d) Euskal Autonomia Erkidegoko toki-entitateen ordezkari bat, Euskadiko Udalen Elkarteak izendatua.
d) Una persona representante de las entidades locales del ámbito territorial de la Comunidad Autónoma del País Vasco, designada por la Asociación de Municipios Vascos.
e) Kontsumitzaileen eta erabiltzaileen ordezkari bat, Kontsumobide-Kontsumoko Euskal Institutuak izendatua.
e) Una persona representante de las personas consumidoras y usuarias, designada por Kontsumobide-Instituto Vasco de Consumo.
f) Bi aditu, bat informazioaren teknologietakoa eta bestea Zuzenbidearen arlokoa, datuen babesaren arloko Zuzenbidean eta jardunbidean ezagutza egiaztatuak dauzkatenak, Euskal Unibertsitate Sistemako unibertsitateek txandaka izendatuak.
f) Dos personas expertas, una en tecnologías de la información y otra en el ámbito del Derecho, con conocimientos acreditados en el Derecho y la práctica en materia de protección de datos, designadas de forma rotatoria por las universidades del Sistema Universitario Vasco.
g) Aditu bat, Cyberzaintza Euskadiko Zibersegurtasun Agentziak izendatua.
g) Una persona experta designada por Cyberzaintza, Agencia Vasca de Ciberseguridad.
2.– Kontseilu aholku-emailearen osaeran emakumeen eta gizonen ordezkaritza orekatua izateko ahalegina egingo da, trebakuntza, gaitasun eta prestakuntza egokiaz hornituak. Ondorio horietarako, ordezkaritza orekatutzat joko da sexu biek gutxienez % 40ko ordezkaritza dutenean.
2.– Se procurará que la composición del consejo consultivo tenga una representación equilibrada entre mujeres y hombres, con capacitación, competencia y preparación adecuada. A los efectos, se considera representación equilibrada cuando ambos sexos estén representados al menos al 40 %.
3.– Datuak Babesteko Euskal Agintaritzaren lehendakariak erabakiko du kontseilu aholku-emailea noiz bilduko den; baina sei hiletik behin bildu beharko da, gutxienez.
3.– El consejo consultivo se reunirá cuando así lo disponga la presidencia de la Autoridad Vasca de Protección de Datos y, en todo caso, una vez al semestre.
4.– Kontseilu aholku-emaileak hartutako erabakiak ez dira inoiz lotesleak izango. Halarik ere, lege honen 15. artikuluan aipatzen den araugintza-ahalaren arabera dagokion bezala, lehendakariak legea eta legea bera garatzeko araudia interpretatzeko zirkularrak onartu aurretik, nahitaezkoa izango da kontseilu aholku-emaileak txostena egitea, hargatik eragotzi gabe txosten horiek ere lotesleak ez izatea.
4.– Los acuerdos adoptados por el consejo consultivo no tendrán en ningún caso carácter vinculante. No obstante, será preceptiva la emisión de informe del consejo consultivo previo a la aprobación de circulares interpretativas de la ley y normativa de desarrollo que, en el ejercicio de la potestad normativa a la que alude el artículo 15 de esta ley, tiene atribuida la presidencia, sin perjuicio de que, igualmente, dichos informes carezcan de carácter vinculante.
5.– Artikulu honetan aurreikusita ez dagoen guztian, Datuak Babesteko Euskal Agintaritzaren Estatutuak ezarriko ditu kontseilu aholku-emailearen araubidea, antolaketa, eskumenak eta funtzionamendua.
5.– En lo no previsto en este artículo, el régimen, organización, competencias y funcionamiento del consejo consultivo se regulará por el Estatuto de la Autoridad Vasca de Protección de Datos.
10. artikulua.– Ikertzeko ahalaren eremua.
Artículo 10.– Ámbito de la potestad de investigación.
1.– Datuak Babesteko Euskal Agintaritzak, ikertzeko ahalak baliatuz, aldizkako edo unean uneko ikuskapenak egin ahalko ditu, ofizioz edo ukituek eskatuta, lege honen aplikazio-eremuaren barruan dauden tratamenduetako edozeinetan.
1.– La Autoridad Vasca de Protección de Datos podrá, en ejercicio de sus potestades de investigación, realizar inspecciones periódicas o circunstanciales, de oficio o a instancia de las personas afectadas, de cualquiera de los tratamientos sometidos al ámbito de aplicación de esta ley.
2.– Halaber, eginkizun horiek bete ahalko ditu auditoretza-plan bat egitean, lege honen 14. artikuluan ezarrita dagoenaren arabera.
2.– Asimismo, podrá desarrollar las citadas funciones con ocasión de la realización de un plan de auditoría, en los términos establecidos en el artículo 14 de la presente ley.
11. artikulua.– Ikerketa-jarduerak egiteko eskumena duten langileak.
Artículo 11.– Personal competente para realizar la actividad de investigación.
1.– Ikerketa-jarduera Datuak Babesteko Euskal Agintaritzako ikuskatzaileek egingo dute.
1.– La actividad de investigación se llevará a cabo por el personal inspector de la Autoridad Vasca de Protección de Datos.
2.– Hala ere, Datuak Babesteko Euskal Agintaritzaren lehendakariak gaikuntza eman ahalko die beren-beregi beste funtzionario publiko batzuei, ikerketa-jarduerak egiteko. Gaikuntzak ematean, zehazki zer ikerketa-jardueratarako izango diren azalduko da.
2.– No obstante, la presidencia de la Autoridad Vasca de Protección de Datos podrá habilitar expresamente a otro personal funcionario público para la realización de actividades de investigación. La habilitación indicará las actividades concretas de investigación a las que la misma se circunscribe.
3.– 2016/679 (EB) Erregelamenduaren 62. artikuluaren araberako ikerketa-jarduketa bateratuetan, Datuak Babesteko Euskal Agintaritzarekin elkarlanean diharduten Europar Batasuneko beste estatu kideetako kontrol-agintaritzetako langileek lege honetan ezarritakoari jarraikiz jardungo dute beren eginkizunak betetzen dituztenean. Langile horiek Datuak Babesteko Euskal Agintaritzako langileen aurrean jardungo dute, haien orientabide eta jarraibideen arabera.
3.– En los supuestos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros estados miembros de Unión Europea que colabore con la Autoridad Vasca de Protección de Datos ejercerá sus facultades con arreglo a lo previsto en la presente ley. Dicho personal actuará en presencia del personal de la Autoridad Vasca de Protección de Datos y bajo su orientación y dirección.
4.– Ikerketa-jarduerak egiten dituzten funtzionarioak Datuak Babesteko Euskal Agintaritzaren agente izango dira, ondorio guztietarako, beren eginkizunak betetzen ari direnean.
4.– El personal funcionario que desarrolle actividades de investigación tendrá a todos los efectos la condición de agente de la Autoridad Vasca de Protección de Datos en el ejercicio de sus funciones.
12. artikulua.– Ikerketa-jardueraren norainokoa.
Artículo 12.– Alcance de la actividad de investigación.
1.– Ikerketa-jarduera egiten dutenek beren eginkizunak betetzeko beharrezkoak diren informazioak eskatu ahalko dituzte. Zehazki:
1.– Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones. En particular, podrán:
a) Informazio-sistemak dauden lokaletara edo datuen tratamenduak egiten diren lekuetara sartzea.
a) Acceder a los locales en que se encuentren los sistemas de información o se lleven materialmente a cabo los tratamientos de datos.
b) Datu pertsonalak dauzkaten informazio-euskarriak aztertzea eta tratatu diren datuen kopia lortzea.
b) Examinar los soportes de información que contengan los datos personales y obtener copia de los datos sometidos a tratamiento.
c) Datu pertsonalak tratatzen dituzten informazio-sistemak aztertzea, dauden lekuan, baita tratamendua egiten den ekipo fisikoak eta logikoak ere.
c) Examinar, en el lugar en que se encuentren, los sistemas de información que traten datos personales, incluyendo los equipos físicos y lógicos en que se lleve a cabo el tratamiento.
d) Beharrezkoak diren programa eta aplikazioak edo agiriak bidaltzeko eskatzea, egindako datuen tratamendua aztertzeko eta datu horien kopia lortzeko.
d) Requerir el envío de los programas y aplicaciones o de la documentación pertinente, a fin de analizar el tratamiento del que sean objeto los datos, y obtener copia de ellos.
e) Ikerketapeko tratamendua kudeatu eta sostengatzeko programak, aplikazioak edo prozedurak exekuta daitezela eskatzea.
e) Requerir la ejecución de los programas, aplicaciones o procedimientos de gestión y soporte del tratamiento que se encuentren sujetos a investigación.
f) Auditoretzak egitea datuen tratamendua bideratzen duten informazio-sistemen, banakako erabaki automatizatuen sistemen, adimen artifizialeko sistemen eta sistema algoritmikoen, gailuen, ekipoen edo programen gainean, indarreko legeriarekin bat datozen ala ez erabakitzeko.
f) Realizar auditorías de los sistemas de información, sistemas de decisión individual automatizada, sistemas de inteligencia artificial y sistemas algorítmicos, y de dispositivos, equipos o programas que faciliten el tratamiento de los datos, a fin de determinar su conformidad o no con la legislación vigente.
g) Ikuskapen-eginkizunak egiteko beharrezkoak diren beste informazio guztiak erakusteko edo bidaltzeko eskatzea.
g) Requerir la exhibición o remisión de cualquier otra información que resulte precisa para el ejercicio de las funciones inspectoras.
h) Tratamenduei buruz hartutako neurri teknikoak eta antolakuntzakoak berraztertzea.
h) Revisar las medidas técnicas y organizativas adoptadas en relación con los tratamientos.
2.– Ikerketa-jardueretan dihardutenak ikuskatuaren etxebizitzan sartzea beharrezkoa denean, Konstituzioak etxebizitza babesten duenez, haren adostasuna edo dagokion baimen judiziala eskuratu beharko da, etxebizitzaren bortxaezintasuna errespetatuta.
2.– Cuando fuese necesario el acceso por el personal que desarrolla la actividad de investigación al domicilio, constitucionalmente protegido, de la persona inspeccionada, será preciso contar con su consentimiento o haber obtenido la correspondiente autorización judicial, respetando su inviolabilidad.
13. artikulua.– Lankidetzan jarduteko betebeharra.
Artículo 13.– Deber de colaboración.
1.– Administrazio publikoek, foru-ogasunak barne direla, bai eta pertsona fisikoek edo juridikoek ere, haien tratamenduak lege honetan xedatutakoaren mendean egon zein ez, nahitaez eman beharko dizkiote Datuak Babesteko Euskal Agintaritzari bere ikerketa-jarduera egoki egiteko behar dituen datuak, txostenak, aurrekariak eta egiaztagiriak. Informazioak datu pertsonalak dituenean, datu horien komunikazioa 2016/679 (EB) Erregelamenduaren 6.1.c) artikuluan xedatutakoaren babesean egingo da.
1.– Las administraciones públicas, incluidas las haciendas forales, así como las personas físicas o jurídicas, estén o no sometidos sus tratamientos a lo dispuesto en la presente ley, estarán obligados a proporcionar a la Autoridad Vasca de Protección de Datos los datos, informes, antecedentes y justificantes que fueren necesarios para llevar a cabo la actividad de investigación en el ámbito de sus competencias. Cuando la información contenga datos personales, la comunicación de dichos datos estará amparada por lo dispuesto en el artículo 6.1.c) del Reglamento (UE) 2016/679.
2.– Datuak Babesteko Euskal Agintaritzak, bere eskumenen esparruan, abenduaren 5eko 3/2018 Lege Organikoaren 52. artikuluko 2. eta 3. apartatuetan xedatutako ahalmenak izango ditu.
2.– La Autoridad Vasca de Protección de Datos tendrá, en el ámbito de sus competencias, las facultades previstas en los apartados 2 y 3 del artículo 52 de la Ley Orgánica 3/2018, de 5 de diciembre.
14. artikulua.– Auditoretza-planak.
Artículo 14.– Planes de auditoría.
1.– Datuak Babesteko Euskal Agintaritzaren lehendakariak auditoretza-planak egitea erabaki ahalko du, dela lege honen aplikazio-eremuaren barruan dauden tratamendu-arduradun edo -eragileen esparru jakin bati buruz, dela mota jakin bateko tratamendu-jarduera bati buruz.
1.– La presidencia de la Autoridad Vasca de Protección de Datos podrá acordar la realización de planes de auditoría, referidos bien a un determinado ámbito de responsables o encargados del tratamiento sometidos a la aplicación de la presente ley, bien a un determinado tipo de actividad de tratamiento.
2.– Prebentziozko auditoretza-planen xedea da 2016/679 (EB) Erregelamenduaren xedapenak eta datu pertsonalen babesaren arloan aplikatu beharreko gainerako araudia betetzen diren aztertzea.
2.– Los planes de auditoría preventiva tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y la restante normativa en materia de protección de datos personales que resulte aplicable.
3.– Auditoretza-planen ondorioz, Datuak Babesteko Euskal Agintaritzaren lehendakariak datuen babeserako arauak erabat betetzeko beharrezkoak diren gidalerroak eman beharko ditu. Gidalerro horiek ikuskapenaren mendean egon diren subjektu guztiei edo tratamendu baten arduradun edo eragile jakin batzuei zuzendu ahalko zaizkie.
3.– Como resultado de los planes de auditoría, la presidencia de la Autoridad Vasca de Protección de Datos deberá dictar las directrices que resulten precisas para asegurar el pleno cumplimiento de las normas de protección de datos. Dichas directrices podrán ir dirigidas a la totalidad de los sujetos inspeccionados, o a un responsable o encargado del tratamiento concreto.
Gidalerroak nahitaez bete beharko dira beti.
Las directrices serán en todo caso de obligado cumplimiento.
15. artikulua.– Datuak Babesteko Euskal Agintaritzaren zirkularrak.
Artículo 15.– Circulares de la Autoridad Vasca de Protección de Datos.
1.– Datuak Babesteko Euskal Agintaritzaren lehendakariak lege hau eta legea bera garatzeko araudia interpretatzeko jarraibideak onartuko ditu, bai eta, hala badagokio, datu pertsonalak babesteari buruz aplikagarria den gainerako araudia interpretatzeko jarraibideak ere.
1.– La presidencia de la Autoridad Vasca de Protección de Datos aprobará las directrices interpretativas de esta ley y de su normativa de desarrollo, así como, en su caso, de la restante normativa de protección de datos personales que resulte de aplicación.
2.– Lege honen mendean dauden tratamenduei buruz beharrezkoak diren zirkularrak eman beharko ditu bere jardunbidean jarraitu beharreko irizpideak finkatzeko, 2016/679 (EB) Erregelamenduan eta datu pertsonalen babeserako gainerako araudian ezarritakoa aplikatzen duenean.
2.– En relación con los tratamientos sometidos a la presente ley, deberá dictar las circulares que resulten precisas, en las que se fijen los criterios a los que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y la restante normativa de protección de datos personales que resulte de aplicación.
3.– Zirkularrak egiteko, beharrezkoak diren txosten tekniko eta juridikoak eskatuko dira eta interesdunei entzunaldia bermatuko zaie beti, zirkularra prestatzen ari den bitartean, beharrezkoa izanez gero.
3.– Para su elaboración se recabarán los informes técnicos y jurídicos que fueran necesarios, garantizando en todo caso la audiencia a las personas interesadas durante su elaboración, cuando ello fuera necesario.
4.– Zirkularrak derrigorrezkoak izango dira lege honen mendean dauden subjektuentzat, Euskal Herriko Agintaritzaren Aldizkarian argitaratu ostean.
4.– Las circulares serán obligatorias para los sujetos sometidos a la presente ley una vez publicadas en el Boletín Oficial del País Vasco.
16. artikulua.– Datuak babesteko agintaritzen arteko koordinazio- eta lankidetza-mekanismoak Euskal Autonomia Erkidegoaren eskumeneko gaietan.
Artículo 16.– Mecanismos de coordinación y cooperación entre autoridades de protección de datos en materias competencia de la Comunidad Autónoma del País Vasco.
1.– Datuak Babesteko Euskal Agintaritzak, bere eskumenen barruan, Euskal Autonomia Erkidegoari kanpo-harremanen subjektu gisa Estatuaren kanpo-harremanei buruzko araudiaren arabera dagozkion eginkizunak bete ahalko ditu.
1.– La Autoridad Vasca de Protección de Datos podrá, en el marco de sus competencias, ejercitar las funciones que le competen a la Comunidad Autónoma del País Vasco como sujeto de la acción exterior de conformidad con la normativa reguladora de la acción exterior del Estado.
2.– Datuak Babesteko Euskal Agintaritzak, Euskal Autonomia Erkidegoaren ordezkari gisa, nazioarteko administrazio-hitzarmenak egin ahalko ditu nazioarteko itunak gauzatzeari eta zehazteari begira, itunek aukera hori aurreikusten dutenean, horretarako gaitasuna ematen diotenean, eta haien eskumeneko gaien ingurukoa denean, lege honetan xedatuta dagoenaren arabera.
2.– La Autoridad Vasca de Protección de Datos podrá, en representación de la Comunidad Autónoma del País Vasco, celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional cuando así lo prevea el propio tratado, le atribuya potestad para ello y verse sobre materias de su competencia conforme a lo dispuesto en la presente ley.
3.– Halaber, arauemaileak ez diren eta sinatzaileak juridikoki lotzen ez dituzten hitzarmenak egin ahal izango ditu Datuak Babesteko Euskal Agintaritzak nazioarteko zuzenbideko beste subjektu batzuen erakunde baliokideekin, euren eskumeneko gaien inguruan.
3.– Asimismo, la Autoridad Vasca de Protección de Datos podrá celebrar acuerdos no normativos con los órganos análogos de otros sujetos de derecho internacional, no vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia.
17. artikulua.– Datuen nazioarteko transferentziak.
Artículo 17.– Transferencias internacionales de datos.
1.– Datuak Babesteko Euskal Agintaritzak kontratuetarako klausula-ereduak sinatu ahalko ditu, bere eskumeneko tratamendu-arduradunek eta -eragileek nazioarteko datu-transferentziak egin ditzaten, 2016/679 (EB) Erregelamenduaren 46.2.c) artikuluarekin bat.
1.– La Autoridad Vasca de Protección de Datos podrá adoptar, conforme a lo dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales tipo para la realización de transferencias internacionales de datos por los responsables y encargados del tratamiento sometidos a su competencia.
2.– Halaber, korporazio-arau lotesleak onartu ahalko ditu 2016/679 (EB) Erregelamenduaren 47. artikuluan ezarrita dagoenaren arabera.
2.– Asimismo, podrá aprobar, en dicho ámbito, normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
3.– Datuak Babesteko Euskal Agintaritzak baimena emango du beste herrialde edo nazioarteko erakunde batera nazioarteko datu-transferentziak egiteko, nahiz eta Europako Batzordeak onartutako egokitasun-erabakirik ez izan edo aurreko apartatuetan xedatutako bermeren baten babespean ez egon. Baimena emango du kasu hauetan:
3.– La Autoridad Vasca de Protección de Datos autorizará las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión Europea o que no se amparen en alguna de las garantías previstas en los apartados anteriores. La autorización podrá otorgarse:
a) Transferentziaren oinarrian dauden bermeak egokiak direnean kontratu-klausulei dagokienez, nahiz eta ez izan 2016/679 (EB) Erregelamenduaren 46.2 artikuluaren c) eta d) letretan ezarritako klausula-ereduen araberakoak.
a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
b) Transferentzia zuzenbide publikoko subjektu batek egiten duenean eta transferentziaren oinarria denean hirugarren estatuetako agintaritza edo organismo publikoekin egindako nazioarteko akordio ez-arauemaileetan xedatutakoa, zeinek ukituentzako eskubide efektiboak eta exijitu daitezkeenak jasoko baitituzte, bai eta elkar ulertzeko memorandumak ere.
b) Cuando la transferencia se lleve a cabo por un sujeto de derecho público y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros estados, que incorporen derechos efectivos y exigibles para las personas afectadas, incluidos los memorandos de entendimiento.
4.– Datuak Babesteko Euskal Agintaritzaren ebazpena Datuak Babesteko Europako Lantaldearen irizpean jarri beharko da, 2016/679 (EB) Erregelamenduaren 64. artikuluan xedatuta dagoenaren arabera.
4.– La resolución de la Autoridad Vasca de Protección de Datos se someterá al dictamen del Comité Europeo de Protección de Datos, en los términos previstos por el artículo 64 del Reglamento (UE) 2016/679.
5.– Artikulu honen 2. eta 3. apartatuetan ezartzen diren kasuetan, Datuak Babesteko Europako Lantaldeari irizpena eskatzeak berekin ekarriko du eskatutako nazioarteko transferentzia bidezkoa den ala ez ebazteko prozedura etetea, Datuak Babesteko Euskal Agintaritzari irizpena jakinarazi arte.
5.– En los supuestos establecidos en los apartados 2 y 3, la solicitud del dictamen al Comité Europeo de Protección de Datos implicará la suspensión del procedimiento para resolver sobre la procedencia de la transferencia internacional solicitada, que no se levantará hasta la notificación de dicho dictamen a la Autoridad Vasca de Protección de Datos.
6.– Datuak Babesteko Euskal Agintaritzak abenduaren 5eko 3/2018 Lege Organikoaren bosgarren xedapen gehigarrian azaltzen den baimen judiziala eskatu ahalko dio Euskal Autonomia Erkidegoko Justizia Auzitegi Nagusiaren Administrazioarekiko Auzien Salari.
6.– La Autoridad Vasca de Protección de Datos podrá solicitar de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco la autorización judicial a la que se refiere la disposición adicional quinta de la Ley Orgánica 3/2018, de 5 de diciembre.
7.– Arau-hauste penalak prebenitzeko, detektatzeko, ikertzeko eta epaitzeko eta zehapen penalak betearazteko nazioarteko datu-transferentziak maiatzaren 26ko 7/2021 Lege Organikoaren V. kapituluan xedatutakoaren arabera erregulatuko dira.
7.– Las transferencias internacionales de datos con la finalidad de prevención, detección, investigación y enjuiciamiento de infracciones penales y ejecución de sanciones penales se regirán por lo dispuesto en el capítulo V de la Ley Orgánica 7/2021, de 26 de mayo.
8.– Tratamenduaren arduradunek Datuak Babesteko Euskal Agintaritzari eman beharko diote egin nahi duten edozein nazioarteko transferentziaren berri, baldin eta transferentzia oinarritzen bada arduradunek bilatzen dituzten premiazko interes legitimoekin loturiko helburuak lortzeko beharrezkotasunean eta 2016/679 (EB) Erregelamenduaren 49.1 artikuluko azken paragrafoan aurreikusitako beste baldintza guztiak betetzen badira. Era berean, transferentziaren berri eta bilatzen dituzten premiazko interes legitimoen berri emango diete ukituei.
8.– Los responsables del tratamiento deberán informar a la Autoridad Vasca de Protección de Datos de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquellos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos.
18. artikulua.– Jokabide-kodeak.
Artículo 18.– Códigos de conducta.
1.– Datuak Babesteko Euskal Agintaritzak lege honen aplikazio-esparruaren mende dauden subjektuen tratamendu-jarduerak arautzeko jokabide-kodeak sustatu eta onartuko ditu. Era berean, jokabide-kodeak ikuskatu behar dituzten erakundeak onesteko beharrezkoak diren irizpideak landu eta argitaratu beharko ditu.
1.– La Autoridad Vasca de Protección de Datos promoverá y aprobará los códigos de conducta que regulen las actividades de tratamiento de los sujetos sometidos al ámbito de aplicación de la presente ley. Asimismo, deberá elaborar y publicar los criterios que resulten precisos para la acreditación de organismos de supervisión de los códigos de conducta.
2.– Datuak Babesteko Euskal Agintaritzak 2016/679 (EB) Erregelamenduaren 63. artikuluan jasotako koherentzia-mekanismoaren mende jarri beharko ditu jokabide-kodeen proiektuak, aipatu erregelamenduaren 40.7 artikuluak agintzen duen kasuetan. Kodea onartzeko prozedura etenda geldituko da Datuak Babesteko Europako Lantaldeak erregelamenduaren 64.1.b) eta 65.1.c) artikuluetan jasotzen den irizpena ematen ez duen bitartean.
2.– La Autoridad Vasca de Protección de Datos someterá los proyectos de código de conducta al mecanismo de coherencia mencionado en el artículo 63 de Reglamento (UE) 2016/679, en los supuestos en que ello proceda según su artículo 40.7. El procedimiento de aprobación del código quedará suspendido en tanto el Comité Europeo de Protección de Datos no emita el dictamen al que se refieren los artículos 64.1.b) y 65.1.c) del citado reglamento.
3.– Datuak Babesteko Euskal Agintaritzak berak onartutako jokabide-kodeen erregistroa izango du. Bitarteko elektronikoen bidez eskuratu ahalko den erregistro hori lotuta egongo da datuak babesteko Estatuko gainerako agintaritzen erregistroekin. Halaber, erregistro hori Datuak Babesteko Europako Lantaldeak kudeatzen duen erregistroarekin koordinatuko da 2016/679 (EB) Erregelamenduaren 40.11 artikuluaren arabera.
3.– La Autoridad Vasca de Protección de Datos mantendrá un registro, accesible a través de medios electrónicos, de los códigos de conducta aprobados por ella, que se interconectará con los de las restantes autoridades de protección de datos del Estado. Asimismo, el registro se coordinará con el gestionado por el Comité Europeo de Protección de Datos conforme al artículo 40.11 del Reglamento (UE) 2016/679.
4.– Erregistroaren edukia eta onartzeko prozeduraren berezitasunak dekretu bidez ezarriko dira.
4.– Mediante decreto se establecerá el contenido del registro y las especialidades del procedimiento de aprobación.
19. artikulua.– Ziurtagiriak.
Artículo 19.– Certificaciones.
1.– Datuak Babesteko Euskal Agintaritzak ziurtagiriak eman ahal izango ditu, ziurtatzeko irizpideak onartu, eta datuen babesaren arloko organismo edo entitateak egiaztatu ahalko ditu, lege honen 2. artikuluan azaltzen diren arduradun eta eragileek egindako tratamendu-jarduerei dagokienez, Datuak Babesteko Erregelamendu Orokorraren 42. eta 43. artikuluetan xedatutakoaren arabera.
1.– La Autoridad Vasca de Protección de Datos podrá expedir certificaciones, aprobar criterios de certificación y acreditar a organismos o entidades de certificación en materia de protección de datos respecto de las actividades de tratamiento llevadas a cabo por los responsables y encargados a los que se refiere el artículo 2 de la presente ley, con arreglo a lo dispuesto en los artículos 42 y 43 del Reglamento General de Protección de Datos.
2.– Aurreko hori galarazi gabe, Egiaztatze Erakunde Nazionalak (ENAC) ziurtapen-entitateei onespenak eman, kendu edo berritu dituela jakinarazi beharko dio Datuak Babesteko Euskal Agintaritzari, eta horretarako erabili duen arrazoia azaldu ere bai.
2.– Sin perjuicio de lo anterior, la Entidad Nacional de Acreditación (ENAC), comunicará en todo caso a la Autoridad Vasca de Protección de Datos las concesiones, denegaciones o revocaciones de las acreditaciones de entidades de certificación que hubiera adoptado, así como la motivación en que se hubiera fundado.
20. artikulua.– Datu pertsonalak babesteari eta eskubide digitalei buruzko prestakuntza eta sentsibilizazioa.
Artículo 20.– Formación y sensibilización en protección de datos personales y derechos digitales.
1.– Datuak Babesteko Euskal Agintaritzak datu pertsonalak babesteari eta eskubide digitalei buruzko araudian jasotzen diren xedapenak heda daitezela eta horiei buruzko prestakuntza bultzatuko du, herritarrek zein arduradunek behar bezala jakin dezaten zer betebehar ezartzen dizkieten arau horiek aipatu eskubideak errespetatzeko. Datuen babesaren eta pribatutasunaren inguruko sentsibilizazioa eta prestakuntza bermatuko da gizartearen maila guztietan, oso gaztetatik hasita –hiru urtetik aurrera–, ikasleentzako eta haien familientzako datuen babesa eta pribatutasuna sustatuz eta sare sozialen erabileran azpimarra eginez.
1.– La Autoridad Vasca de Protección de Datos promoverá la difusión y formación en relación con las disposiciones contenidas en la normativa de protección de datos personales y sobre derechos digitales, con la finalidad de garantizar el adecuado conocimiento tanto por la ciudadanía como por los responsables de las obligaciones que las citadas normas les imponen para respetarlos. Se garantizará la sensibilización y formación en materia de privacidad y protección de datos en todas las esferas de la sociedad, comenzando por edades muy tempranas –a partir de los tres años–, promoviendo la privacidad y protección de datos para el alumnado y sus familias, con especial hincapié en el uso de las redes sociales.
2.– Xede horrekin, akordioak eta hitzarmenak egingo ditu UPV/EHU Euskal Herriko Unibertsitatearekin eta Euskal Unibertsitate Sistema osatzen duten gainerako unibertsitate eta entitateekin, bai eta unibertsitatez kanpoko ikastetxeekin eta tratamenduen arduradunekin, profesionalekin eta kontsumitzaileekin ere.
2.– A tal efecto, concluirá acuerdos y convenios de colaboración con la Universidad del País Vasco (UPV/EHU) y las restantes universidades y entidades integrantes del Sistema Universitario Vasco, así como con centros educativos no universitarios y responsables de los tratamientos, profesionales y personas consumidoras.
21. artikulua.– Lankidetza instituzionalaren printzipioa.
Artículo 21.– Principio de cooperación institucional.
1.– Datuak Babesteko Euskal Agintaritzak bermatzen du datuak babesteko Estatuko gainerako agintaritzekin lankidetzan aritzeko, elkarlana egiteko eta koordinatzeko printzipioak beteko dituela, datuak babesteko oinarrizko eskubidea behar bezala babesten dela ziurtatze aldera, eta betiere leialtasun instituzionalaren printzipioari jarraikiz.
1.– La Autoridad Vasca de Protección de Datos garantiza el cumplimiento de los principios de cooperación, colaboración y coordinación con las restantes autoridades de protección de datos del Estado, a fin de garantizar la adecuada protección del derecho fundamental a la protección de datos personales, respetando en todo caso el principio de lealtad institucional.
2.– Xede horrekin, Datuak Babesteko Euskal Agintaritzak:
2.– A tal efecto, la Autoridad Vasca de Protección de Datos:
a) Daukan informazioa gainerako agintaritzen esku jarriko du, haiek eskatzen diotenean, baldin eta informazio hori agintaritza horientzat beharrezkoa bada euren eskumenak egikaritzeko.
a) Facilitará a las restantes autoridades la información de que dispusiera y que aquellas precisasen para el adecuado desarrollo de sus competencias, cuando así le fuera solicitada.
b) Euskal Autonomia Erkidegoaren eremuan, datuak babesteko Estatuko gainerako agintaritzei laguntza emango die, euren eskumenak egikaritzeko beharrezkoa badute.
b) Prestará, en el ámbito de la Comunidad Autónoma del País Vasco, la asistencia y auxilio que las restantes autoridades de protección de datos del Estado pudieran solicitar para el eficaz ejercicio de sus competencias.
c) Auditoretzako eta ikerketako jarduera bateratuak egingo ditu, hala erabakitzen denean.
c) Desarrollará, cuando así se acuerde, actuaciones comunes de auditoría e investigación.
d) Denon intereseko gai espezifikoak aztertzeko eratzen diren lantaldeetan parte hartuko du.
d) Participará activamente en los grupos de trabajo que se constituyeran para tratar asuntos específicos de interés común.
3.– Artikulu honetan araututa dagoen erakundearteko lankidetza behar bezala garatzeko beharrezkoak diren protokolo, akordio eta hitzarmenak sinatu ahalko ditu Datuak Babesteko Euskal Agintaritzak datuak babesteko Estatuko gainerako agintaritzekin.
3.– La Autoridad Vasca de Protección de Datos podrá suscribir con las restantes autoridades de protección de datos del Estado los protocolos, acuerdos y convenios de colaboración que fuesen necesarios para el adecuado desarrollo de la cooperación institucional regulada en este artículo.
22. artikulua.– Auditoretza-plan bateratuak.
Artículo 22.– Planes conjuntos de auditoría.
1.– Datuak Babesteko Euskal Agintaritzak auditoretza-ekintza bateratuak egin ahal izango ditu Estatuko datuak babesteko gainerako agintaritzekin.
1.– La Autoridad Vasca de Protección de Datos podrá desarrollar acciones comunes de auditoría con las restantes autoridades de protección de datos del Estado.
2.– Horren haritik, agintaritza bateko eta besteko langileek parte hartu ahalko dute egiten diren ikerketa-jarduketa bateratuetan. Kasu horietan, lege honen II. kapituluko 3. atalaren arabera Datuak Babesteko Euskal Agintaritzan ikerketa-jarduera egiteko eskumena duten langileek gainerako esku-hartzaileen jarduera koordinatuko dute, esku-hartzaile horiek lege honen mendeko tratamendu-arduradunak edo -eragileak direnean, zeinek Datuak Babesteko Euskal Agintaritzako langileen zuzendaritzapean eta koordinaziopean jardungo baitute.
2.– Dentro de dichas actividades, podrán llevarse a cabo actuaciones de investigación conjuntas con participación del personal de las distintas autoridades. En estos supuestos, el personal de la Autoridad Vasca de Protección de Datos competente para realizar las actuaciones de inspección, conforme a la sección 3.ª del capítulo II de esta ley, coordinará la actividad de los restantes intervinientes cuando se tratase de responsables o encargados del tratamiento sometidos a esta ley, actuando dichos intervinientes bajo la dirección y coordinación del personal de la Autoridad Vasca de Protección de Datos.
3.– Auditoretza-planen ondorioz, lege honen mendean dauden subjektuen gainean egokiak diren gidalerroak eman ahalko ditu Datuak Babesteko Euskal Agintaritzak, ezertan ere galarazi gabe esku hartzen duten agintaritza guztiek batera ezartzen dituzten gidalerroak.
3.– La Autoridad Vasca de Protección de Datos podrá dictar, respecto de los sujetos sometidos a esta ley, las directrices que procedan como consecuencia de la realización de los planes de auditoría, sin perjuicio de las que se adoptasen conjuntamente por todas las autoridades intervinientes.
23. artikulua.– Lankidetza mugaz gaindiko prozeduren esparruan.
Artículo 23.– Cooperación en el marco de los procedimientos transfronterizos.
1.– Datuak Babesteko Euskal Agintaritza, mugaz gaindiko prozeduretan, agintaritza nagusitzat edo interesduntzat hartu ahal izango da, 2016/679 (EB) Erregelamenduaren 56. eta 60. artikuluetan ezarritakoaren arabera.
1.– La Autoridad Vasca de Protección de Datos podrá tener la consideración de autoridad principal o interesada en los procedimientos transfronterizos, de acuerdo con lo establecido en los artículos 56 y 60 del Reglamento (UE) 2016/679.
2.– Datuak Babesteko Euskal Agintaritzak datu pertsonalen mugaz gaindiko tratamendu batekin lotutako prozedura koordinatu batean esku hartzen badu edo Agintaritzaren erabakietako bat Datuak Babesteko Europako Lantaldeak onartu behar badu, Datuak Babesteko Euskal Agintaritzak Datuak Babesteko Europako Lantaldearen bileretan esku hartuko du, abenduaren 5eko 3/2018 Legearen 60., 61. eta 62. artikuluetan ezarrita dagoenaren arabera.
2.– Cuando la Autoridad Vasca de Protección de Datos intervenga en un procedimiento coordinado relacionado con un tratamiento transfronterizo de datos personales o alguna de sus decisiones haya de someterse a aprobación del Comité Europeo de Protección de Datos, intervendrá en las reuniones de dicho comité en los términos establecidos en los artículos 60 a 62 de la Ley Orgánica 3/2018, de 5 de diciembre.
3.– Europar Batasuneko estatu kideetako datuak babesteko agintaritzen arteko laguntza eta lankidetza, maiatzaren 26ko 7/2021 Lege Organikoaren esparruan, lege horren 51. artikuluan xedatutakoaren mende egongo da.
3.– La asistencia y cooperación entre autoridades de protección de datos de los estados miembros de la Unión Europea, en el marco de la Ley Orgánica 7/2021 de 26 de mayo, se someterá a lo dispuesto en su artículo 51.
24. artikulua.– Subjektu erantzuleak.
Artículo 24.– Sujetos responsables.
1.– Lege honen 2. artikuluan azaltzen diren tratamenduen arduradunak eta eragileak kapitulu honetan jasota dagoen arau-hausteen eta zehapenen araubidearen mendean egongo dira.
1.– Los responsables y encargados de los tratamientos a los que se refiere el artículo 2 de esta ley están sujetos al régimen de infracciones y sanciones contenido en este capítulo.
2.– Lege honen zehapen-araubidea hauei ere aplikatuko zaie:
2.– Asimismo, el régimen sancionador de esta ley será aplicable a:
a) Datuak Babesteko Euskal Agintaritzak onartutako jokabide-kodeak gainbegiratzeko egiaztatuta dauden entitateei, 18. artikuluari jarraikiz.
a) Las entidades acreditadas de supervisión de los códigos de conducta aprobados por la Autoridad Vasca de Protección de Datos, conforme a lo dispuesto en el artículo 18.
b) Datuak Babesteko Euskal Agintaritzak 19. artikuluari jarraikiz egiaztatutako ziurtapen-entitateei.
b) Las entidades de certificación acreditadas por la Autoridad Vasca de Protección de Datos conforme a lo dispuesto en el artículo 19.
25. artikulua.– Arau-hausteak.
Artículo 25.– Infracciones.
1.– Lege honen arau-hausteak dira 2016/679 (EB) Erregelamenduaren 83. artikuluko 4., 5. eta 6. apartatuetan eta abenduaren 5eko 3/2018 Lege Organikoaren 72. artikulutik 74. artikulura bitartean aipatzen diren egintza eta jokabideak.
1.– Constituyen infracciones de la presente ley los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, y los artículos 72 a 74 de la Ley Orgánica 3/2018, de 5 de diciembre.
2.– Halaber, arau-hausteak dira maiatzaren 26ko 7/2021 Lege Organikoaren 58. artikulutik 60. artikulura bitartean aipatzen diren egintza eta jokabideak.
2.– Asimismo, constituyen infracciones de la presente ley los actos y conductas a las que se refieren los artículos 58 a 60 de la Ley Orgánica 7/2021, de 26 de mayo.
3.– Datuak Babesteko Euskal Agintaritzak eskumena izango du aurreko artikuluan aipatzen diren subjektu erantzuleek egindako arau-hausteak zehatzeko, maiatzaren 26ko 7/2021 Lege Organikoaren 58.j) eta 59.j) artikuluetan tipifikatutako jokabideak izan ezik.
3.– La Autoridad Vasca de Protección de Datos será competente para sancionar las infracciones cometidas por los sujetos responsables a los que se refiere el artículo anterior, a excepción de las conductas tipificadas en los artículos 58.j) y 59.j) de la Ley Orgánica 7/2021, de 26 de mayo.
26 artikulua. Arau-hausteek preskribatzea.
Artículo 26.– Prescripción de las infracciones.
1.– 2016/679 (EB) Erregelamenduaren 83. artikuluko 4., 5. eta 6. apartatuetan aipatzen diren arau-hausteek hiru urteren buruan, bi urteren buruan edo urtebeteren buruan preskribatuko dute, haien sailkapenaren arabera –oso astunak, astunak edo arinak, hurrenez hurren–, abenduaren 5eko 3/2018 Lege Organikoaren 72. artikulutik 74. artikulura artekoei jarraituz.
1.– Las infracciones a que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años, a los dos años o al año, según se califiquen como muy graves, graves o leves, de acuerdo con los artículos 72 a 74 de la Ley Orgánica 3/2018, de 5 de diciembre.
2.– Maiatzaren 26ko 7/2021 Lege Organikoan tipifikatutako arau-hausteek sei hilen buruan, bi urteren buruan edo hiru urteren buruan preskribatuko dute, haien sailkapenaren arabera –arinak, astunak edo oso astunak, hurrenez hurren–.
2.– Las infracciones tipificadas en la Ley Orgánica 7/2021, de 26 de mayo, prescribirán a los seis meses, a los dos años o a los tres años de haberse cometido, según sean leves, graves o muy graves, respectivamente.
3.– Arau-haustearen preskripzioa eten egingo da, interesduna jakitun dela, lege honen IV. kapituluan ezarritako prozedura hasten denean. Preskripzio-epea berriro hasiko da zenbatzen baldin eta zehapen-prozedura sei hilabetetik gora geldi badago ustezko arau-hausleari egotzi ezin zaion arrazoi baten ondorioz.
3.– Interrumpirá la prescripción de la infracción la iniciación, con conocimiento de la persona interesada, del procedimiento establecido en el capítulo IV de esta ley, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables a la presunta persona infractora.
27. artikulua.– Administrazio-zehapenak eta neurri zuzentzaileak.
Artículo 27.– Sanciones administrativas y medidas correctivas.
1.– Artikulu honetan jasota dagoen araubidea entitate hauei aplikatuko zaie:
1.– El régimen contenido en el presente artículo será de aplicación a:
a) Izaera juridiko pribatua duten Euskal Autonomia Erkidegoko sektore publikoko erakundeei.
a) Los entes de naturaleza jurídica privada pertenecientes al sector público vasco.
b) Edozein eratako zuzeneko zein zeharkako kudeaketaren bidez zerbitzu publikoak ematen dituzten pertsona fisikoei eta entitate pribatuei edo lege honen mende dauden tratamendu-eragile direnei, legearen 2.2 artikuluaren arabera.
b) Las personas físicas y las entidades privadas que presten servicios públicos mediante cualquier forma de gestión directa o indirecta o que ostenten la condición de encargados del tratamiento sometidos a esta ley conforme a su artículo 2.2.
c) Jokabide-kodeak gainbegiratzeko egiaztatuta dauden entitateei eta Datuak Babesteko Euskal Agintaritzak egiaztatutako ziurtapen-entitateei, baldin eta entitate horiek izaera juridiko pribatua badute.
c) Las entidades acreditadas de supervisión de los códigos de conducta y las entidades de certificación acreditadas por la Autoridad Vasca de Protección de Datos cuando tengan naturaleza jurídica privada.
2.– Lege honen 25. artikuluan azaltzen diren arau-hausteak isunen bidez zehatuko dira, 2016/679 (EB) Erregelamenduaren 83. artikuluko 4., 5. eta 6. apartatuetan eta maiatzaren 26ko 7/2021 Lege Organikoaren 62.2 artikuluan xedatutakoaren arabera.
2.– Las infracciones a que se refiere el artículo 25 de esta ley serán sancionadas con multa en los términos recogidos en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, y en el artículo 62.2 de la Ley Orgánica 7/2021, de 26 de mayo.
Isunen diru-zenbatekoa zehazteko, 2016/679 (EB) Erregelamenduaren 83.2 artikuluan eta abenduaren 5eko 3/2018 Lege Organikoaren 76.2 artikuluan ezartzen diren irizpideei jarraituko zaie.
Para la determinación de su importe se atenderá a los criterios establecidos en los artículos 83.2 del Reglamento (UE) 2016/679 y 76.2 de la Ley Orgánica 3/2018, de 5 de diciembre.
3.– Kasuan kasuko inguruabarrak hartuko dira kontuan isunak jartzeko, 2016/679 (EB) Erregelamenduaren 58.2 artikuluko a) letratik h) letrara artean eta j) letran jasotzen diren neurrien osagarri edo ordezko gisa.
3.– Las multas se impondrán en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas establecidas en el artículo 58.2, letras a) a h) y j) del Reglamento (UE) 2016/679.
28. artikulua.– Euskal Autonomia Erkidegoko administrazioei, entitateei eta instituzio publikoei aplikatu beharreko araubidea.
Artículo 28.– Régimen aplicable a las administraciones, entidades e instituciones públicas vascas.
1.– Lege honen aplikazio-eremuaren barruan dauden Euskal Autonomia Erkidegoko administrazioek, entitateek eta instituzio publikoek, tratamenduaren arduradun edo eragile gisa jardutean, legean azaltzen diren arau-hausteetako bat egiten badute, Datuak Babesteko Euskal Agintaritzak ebazpena emango du arau-haustea deklaratzeko eta ohartarazpena egiteko. Ebazpenak, gainera, jokabide arau-hauslea eteteko edo arau-haustearen ondorioak zuzentzeko hartu beharreko neurriak ezarriko ditu.
1.– Cuando las administraciones, entidades e instituciones públicas vascas incluidas en el ámbito de aplicación de esta ley, actuando como responsables o encargados del tratamiento, cometiesen alguna de las infracciones contempladas en ella, la Autoridad Vasca de Protección de Datos dictará resolución declarando la infracción y dirigiendo un apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
2.– Ebazpena tratamenduaren arduradunari edo eragileari jakinaraziko zaio, baita hierarkian gainetik duen organoari, halakorik baldin badago, eta salatzaileari ere.
2.– La resolución adoptada se notificará al responsable o encargado del tratamiento, así como, en su caso, al órgano del que dependa jerárquicamente, y a la persona denunciante.
3.– Interesdun ez den salatzaileak prozeduran parte hartzeko modu bakarra izango du; alegia, prozedura ireki den ala ez jakiteko eskubidea izatea eta, halakorik badago, prozedura amaitzeko ebazpenaren berri izatea.
3.– La persona denunciante que no ostente la condición de interesada no tendrá más participación en el procedimiento que el derecho a conocer sobre la apertura o no del procedimiento y, en su caso, de la resolución que le ponga fin.
4.– Aurreko apartatuan xedatutakoa ezertan ere eragotzi gabe, Datuak Babesteko Euskal Agintaritzak diziplinako jarduketak abiaraztea proposatuko du, horretarako nahikoa zantzu badago. Kasu horretan, aplikatzekoa den diziplina- edo zehapen-araubideari buruzko legerian ezarritako prozedura eta zehapenak erabiliko dira.
4.– Sin perjuicio de lo establecido en el apartado anterior, la Autoridad Vasca de Protección de Datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
5.– Gainera, arau-hausteak agintariei, goi-kargudunei eta zuzendariei egoztekoak direnean, eta egiaztatzen bada badela tratamenduari begira egindako txosten tekniko edo gomendiorik eta ez zaiela behar bezala jaramon egin, arduradun den karguaren izena daraman ohartarazpen bat sartuko da ebazpenean, eta Euskal Herriko Agintaritzaren Aldizkarian argitaratzeko aginduko da.
5.– Asimismo, cuando las infracciones sean imputables a autoridades, altos cargos y personal directivo, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con la denominación del cargo que fuese responsable y se ordenará su publicación en el Boletín Oficial del País Vasco.
6.– Agintaria, goi-karguduna edo zuzendaria Euskal Autonomia Erkidegoko Administrazio Orokor eta Instituzionaleko kargu publikodunen eta behin-behineko langileen Etika eta Jokabide Kodearen mendean badago, ebazpena Etika Publikoko Batzordeari ere bidaliko zaio, dagokion izapidea eman diezaion eta, bereziki, kode etiko horretan ezarritako erantzukizun-printzipioa betetzen dela bermatzeko.
6.– Si la autoridad, alto cargo o personal directivo estuviese sometido al Código Ético y de Conducta de los cargos públicos y personal eventual de la Administración General e Institucional de la Comunidad Autónoma del País Vasco, se dará igualmente traslado de la resolución a la Comisión de Ética Pública, a fin de que le dé el trámite que proceda y, particularmente, garantice el cumplimiento del principio de responsabilidad establecido en el citado código ético.
7.– Aurreko bi apartatuetan aipatzen diren neurri eta jarduketak direla-eta ematen diren ebazpenak Datuak Babesteko Euskal Agintaritzari jakinarazi beharko zaizkio.
7.– Se deberán comunicar a la Autoridad Vasca de Protección de Datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los dos apartados anteriores.
8.– Artikulu honen babespean emandako zehapen-ebazpenak Arartekoari jakinaraziko zaizkio.
8.– Se comunicarán al Ararteko las resoluciones sancionadoras dictadas al amparo de este artículo.
29. artikulua.– Zehapenak argitaratzea.
Artículo 29.– Publicidad de las sanciones.
Lege honen 7. artikuluan ezarritako gardentasun-betebeharrak ezertan ere galarazi gabe, Datuak Babesteko Euskal Agintaritzak hauek argitaratuko ditu Euskal Herriko Agintaritzaren Aldizkarian:
Sin perjuicio de las obligaciones de transparencia establecidas en el artículo 7 de esta ley, la Autoridad Vasca de Protección de Datos hará públicas en el Boletín Oficial del País Vasco:
a) Arau-hauslea identifikatzen duen informazioa, egindako arau-haustea eta ezarritako zehapenaren diru-zenbatekoa, baldin eta zehapena milioi bat eurotik gorakoa bada eta arau-hauslea pertsona juridikoa bada.
a) La información que identifique a la persona infractora, la infracción cometida y el importe de la sanción impuesta cuando exceda de un millón de euros y la persona infractora sea una persona jurídica.
b) Lege honen 28.5 artikuluko bigarren paragrafoan azaltzen diren ohartarazpenak.
b) Las amonestaciones a las que se refiere el párrafo segundo del artículo 28.5 de esta ley.
30. artikulua.– Zehapenek preskribatzea.
Artículo 30.– Prescripción de las sanciones.
1.– 2016/679 (EB) Erregelamendua eta lege hau aplikatzearen ondorioz ezartzen diren zehapen ekonomikoek epe hauetan preskribatuko dute:
1.– Las sanciones económicas impuestas en aplicación del Reglamento (UE) 2016/679 y de esta ley prescriben en los siguientes plazos:
a) 40.000 euroko edo hortik beheragoko zehapenek urte baten buruan preskribatuko dute.
a) Las sanciones por importe igual o inferior a 40.000 euros prescriben en el plazo de un año.
b) 40.001 eta 300.000 euro arteko zehapenek bi urteren buruan preskribatuko dute.
b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
c) 300.000 eurotik gorako zehapenek hiru urteren buruan preskribatuko dute.
c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
2.– Maiatzaren 26ko 7/2021 Lege Organikoa aplikatzearen ondorioz ezartzen diren zehapen ekonomikoek epe hauetan preskribatuko dute:
2.– Las sanciones económicas impuestas en aplicación de la Ley Orgánica 7/2021, de 26 de mayo, prescriben en los siguientes plazos:
a) 6.000 eta 60.000 euro arteko zehapenek urte baten buruan preskribatuko dute.
a) Las sanciones por importe comprendido entre 6.000 y 60.000 euros prescriben en el plazo de un año.
b) 60.001 eta 360.000 euro arteko zehapenek bi urteko epean preskribatuko dute.
b) Las sanciones por importe comprendido entre 60.001 y 360.000 euros prescriben en el plazo de dos años.
c) 360.001 eta 1.000.000 euro arteko zehapenek hiru urteko epean preskribatuko dute.
c) Las sanciones por importe comprendido entre 360.001 y 1.000.000 de euros prescriben en el plazo de tres años.
3.– Zehapenen preskripzio-epea zehapena ezartzen duen ebazpena betearazi daitekeen egunaren biharamunean hasiko da zenbatzen, edo ebazpena errekurritzeko epea igaro ondoren.
3.– El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.
4.– Preskripzioa eten egingo da betearazpen-prozedura hasten denean, interesduna jakitun dela. Preskripzio-epea berriro hasiko da zenbatzen baldin eta zehapen-prozedura sei hilabetetik gora geldi badago arau-hausleari egotzi ezin zaion arrazoi baten ondorioz.
4.– La prescripción se interrumpirá por la iniciación, con conocimiento de la persona interesada, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable a la persona infractora.
31. artikulua.– Araubide juridikoa.
Artículo 31.– Régimen jurídico.
1.– Kapitulu honetako xedapenak Datuak Babesteko Euskal Agintaritzak izapideturiko prozedura hauetan aplikatuko dira:
1.– Las disposiciones de este capítulo serán de aplicación a los siguientes procedimientos tramitados por la Autoridad Vasca de Protección de Datos:
a) Ukitutako pertsona batek erreklamatzen badu ez diotela behar bezala kasu egin 2016/679 (EB) Erregelamenduaren 15.etik 22. artikulura artekoetan eta maiatzaren 26ko 7/2021 Lege Organikoaren 21.etik 23.era artekoetan jasotako eskubideak egikaritzeko egin duen eskabideari.
a) Aquellos en los que una persona afectada reclame que no ha sido adecuadamente atendida su solicitud de ejercicio de los derechos consagrados por los artículos 15 a 22 del Reglamento (UE) 2016/679 y 21 a 23 de la Ley Orgánica 7/2021, de 26 de mayo.
b) Ikertzen bada datuen babesaren arloan arau-hausterik egin den ala ez.
b) Aquellos que tienen por objeto la determinación de la posible existencia de una infracción en materia de protección de datos.
c) Mugaz gaindiko prozedura batean agintaritza nagusia Datuak Babesteko Euskal Agintaritza bada, 2016/679 (EB) Erregelamenduan xedatuta dagoenaren arabera.
c) Aquellos procedimientos transfronterizos en los que la Autoridad Vasca de Protección de Datos tenga la condición de autoridad principal conforme a lo dispuesto en el Reglamento (UE) 2016/679.
2.– Prozedura horiek, aplikatzekoa den heinean, 2016/679 (EU) Erregelamenduaren mendean egongo dira, bai eta kapitulu honetan eta lege hau garatzeko xedapenetan xedatutakoaren mendean ere.
2.– Dichos procedimientos se regirán, en lo que resulte aplicable, por el Reglamento (UE) 2016/679, así como por lo dispuesto en el presente capítulo y las disposiciones de desarrollo de esta ley.
3.– Zehapen-prozedurei subsidiarioki aplikatuko zaie Euskal Autonomia Erkidegoko administrazio publikoen zehatzeko ahalari buruzko araudian ezarrita dagoena.
3.– Será de aplicación subsidiaria a los procedimientos sancionadores lo establecido en la normativa reguladora del ejercicio de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
32. artikulua.– Prozedura eteteko arrazoiak.
Artículo 32.– Causas de suspensión del procedimiento.
1.– Kapitulu honetan ezarritako izapidetze-epeak, bai eta izapidetzeko onartzekoak –34.4 artikuluan arautuak– eta aurretiazko ikerketa-jarduketen iraupenari buruzkoak –38.2 artikuluan aurreikusiak– eten egingo dira automatikoki baldin eta, 2016/679 (EB) Erregelamenduak agindutakoaren arabera, informazioa, kontsulta, laguntza edo aginduzko irizpena eskatu behar bazaio Europar Batasuneko organo edo organismoren bati edo beste estatu kide batzuetako kontrol-agintaritzaren bati edo gehiagori, eta etendurak iraungo du eskaera egiten denetik Datuak Babesteko Euskal Agintaritzari erabakia jakinarazten zaion arte. Eten hori interesdunari jakinaraziko zaio.
1.– Los plazos de tramitación establecidos en este capítulo, así como los de admisión a trámite regulados por el artículo 34.4 y de duración de las actuaciones previas de investigación previstos en el artículo 38.2, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de otros estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Autoridad Vasca de Protección de Datos. Esta suspensión se comunicará a la persona interesada.
2.– Izapideak egiteko epeak etenda geratuko dira, halaber, administrazio-prozedura arautzen duen oinarrizko legerian eta legeria autonomikoan ezarritako kasuetan.
2.– Los plazos de tramitación quedarán igualmente suspendidos en los supuestos establecidos en la legislación básica y autonómica reguladora del procedimiento administrativo.
3.– Bereziki, epeak etenda geratuko dira mugaz gaindiko tratamenduekin lotutako prozeduretan kontrol-agintaritza nagusia zehaztu behar denean eta 2016/679 (EB) Erregelamenduaren 60. eta 63. artikuluetan ezarritako prozedura koordinatua izapidetu behar denean ere.
3.– En particular, los plazos quedarán suspendidos en los supuestos en que proceda la determinación de la autoridad de control principal en caso de procedimientos relacionados con tratamientos transfronterizos, así como la tramitación del procedimiento coordinado establecido en los artículos 60 y 63 del Reglamento (UE) 2016/679.
4.– Izapidetzeko epeak zenbatzeari uzteko aukera egongo da, ebazpen arrazoitua emanda, ezinbestekoa bada jurisdikzio-organo baten informazioa biltzea.
4.– El transcurso de los plazos de tramitación se podrá suspender, mediante resolución motivada, cuando resulte indispensable recabar información de un órgano jurisdiccional.
33. artikulua.– Erreklamatuz gero egin beharreko izapideak. Izapidetzeko onartu aurretik egin beharrekoak.
Artículo 33.– Tramitación en caso de reclamación. Actuaciones previas a la admisión a trámite.
1.– Datuak Babesteko Euskal Agintaritzari erreklamazio bat egiten zaionean 2016/679 (EB) Erregelamenduaren 57.1.f) artikuluan edo maiatzaren 26ko 7/2021 Lege Organikoaren 52. artikuluan ezarrita dagoenaren arabera, Agintaritzak, beste ezer egin aurretik, eskumena duen ala ez aztertuko du eta erreklamazioaren xede den tratamendua mugaz gaindikoa den ala ez zehaztuko du, erregelamendu horretan xedatuta dagoenaren argitan.
1.– En todos los supuestos en que se formule ante la Autoridad Vasca de Protección de Datos una reclamación en los términos establecidos en el artículo 57.1.f) del Reglamento (UE) 2016/679, o en el artículo 52 de la Ley Orgánica 7/2021, de 26 de mayo, aquella procederá, con carácter previo a la realización de cualquier otra actuación, a examinar su competencia y determinar si el tratamiento al que la reclamación se refiere tiene carácter transfronterizo, conforme a lo dispuesto en el citado reglamento.
2.– Datuak Babesteko Euskal Agintaritzak, ikusten badu eskumena datuak babesteko Estatuko beste agintaritza bati dagokiola, edo, mugaz gaindiko prozedura baten kasuan, 2016/679 (EB) Erregelamenduaren arabera agintaritza nagusia den Europar Batasuneko beste Estatu kide bateko kontrol-agintaritza bati dagokiola, erreklamazioaren berri emango dio berehala eskumena duenari. Erreklamazioaren helarazpena eta behin-behineko artxibatzea erreklamaziogileari jakinaraziko zaizkio.
2.– La Autoridad Vasca de Protección de Datos dará inmediatamente traslado de la reclamación a quien resulte competente cuando aprecie que la competencia corresponde a otra autoridad de protección de datos del Estado o, en caso de tratarse de un procedimiento trasfronterizo, a la autoridad de control de otro Estado miembro de la Unión Europea que ostente la condición de autoridad principal conforme al Reglamento (UE) 2016/679. El traslado de la reclamación y su archivo provisional se notificarán a la persona reclamante.
3.– Datuak Babesteko Euskal Agintaritzaren eskumena egiaztatu ondoren, agintaritza horrek erreklamazioaren berri eman ahalko dio erreklamazioa zuzentzen zaion tratamendu-arduradun edo -eragileari, beharrezkotzat jotzen dituen azalpen eta alegazioak egin ditzan, gehienez hilabeteko epean, aurkeztutako erreklamazioari buruz. Arduradunak edo eragileak Datuak Babesteko Euskal Agintaritzari jakinarazi badio datuak babesteko ordezkari bat izendatu duela, erreklamazioaren berri ordezkari horrek emango du.
3.– Verificada la competencia de la Autoridad Vasca de Protección de Datos, esta podrá dar traslado de la reclamación al responsable o encargado del tratamiento contra el que se dirija dicha reclamación, a fin de que, en el plazo máximo de un mes, realice las aclaraciones y alegaciones que estime necesarias en relación con la reclamación presentada. Cuando el responsable o encargado hubiese notificado a la Autoridad Vasca de Protección de Datos la designación de un delegado o delegada de protección de datos, el traslado de la reclamación se realizará a través de este.
Hilabeteko epea igaro eta erreklamazioari emandako erantzuna ez bazaio jakinarazi Datuak Babesteko Euskal Agintaritzari, agintaritza horrek aurrera jarraituko du prozedurarekin.
Si transcurrido el plazo de un mes no se hubiera comunicado a la Autoridad Vasca de Protección de Datos la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento.
4.– Era berean, tratamenduaren arduraduna edo eragilea jokabide-kode baten mendean badago, Datuak Babesteko Euskal Agintaritzak erreklamazioaren berri eman ahalko dio bere gainbegiratze-organoari, hark hilabeteko epean txostena egin dezan.
4.– Igualmente, si el responsable o encargado del tratamiento se encontrasen adheridos a un código de conducta, la Autoridad Vasca de Protección de Datos podrá dar traslado de la reclamación a su órgano de supervisión, a fin de que informe lo que proceda en el plazo de un mes.
34. artikulua.– Erreklamazioak izapidetzeko onartzea.
Artículo 34.– Admisión a trámite de las reclamaciones.
1.– Datuak Babesteko Euskal Agintaritzak, erreklamazioa jaso eta hurrengo hiru hilabeteen barruan, izapidetzeko onartzeko edo ez onartzeko ebazpena emango du.
1.– La Autoridad Vasca de Protección de Datos notificará, dentro de los tres meses siguientes a la fecha de recepción de la reclamación, la resolución por la que acordará su admisión o inadmisión a trámite.
2.– Datuak Babesteko Euskal Agintaritzak, izapidetzeko onartzeari buruzko erabakian, erreklamazioa zer motatako prozedurak sorrarazi duen azalduko du.
2.– En el acuerdo de admisión a trámite la Autoridad Vasca de Protección de Datos especificará el tipo de procedimiento que origina la reclamación formulada.
3.– Datuak Babesteko Euskal Agintaritzari erreklamazio bat aurkezten bazaio 2016/679 (EB) Erregelamenduaren 15.etik 22. artikulura artekoetan edo maiatzaren 26ko 7/2021 Lege Organikoaren 21.etik 23.era artekoetan jasotako eskubideei epe barruan jaramonik egin ez zaielako, edo datuak babesteko araudiaren arau-hauste izan daitezkeen gertakariak egon direlako, Datuak Babesteko Euskal Agintaritzak bi prozedura bereizi izapidetzeko onartu ahalko ditu; prozedura horiek kapitulu honetako 3. eta 4. ataletan, hurrenez hurren, ezarrita dagoenaren arabera izapidetuko dira.
3.– Cuando se hubiese presentado ante la Autoridad Vasca de Protección de Datos una reclamación referida a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, o 21 a 23 de la Ley Orgánica 7/2021, de 26 de mayo, o a la existencia de hechos que pudiesen ser constitutivos de una infracción de la normativa de protección de datos, la Autoridad Vasca de Protección de Datos podrá acordar la admisión a trámite de dos procedimientos diferenciados, que se tramitarán, respectivamente, conforme a lo establecido en las secciones 3.ª y 4.ª de este capítulo.
4.– Erreklamazioa jasotzen denetik hiru hilabete igarotzen badira erreklamaziogileari izapidetzeko onartzeari buruzko erabakia jakinarazi gabe, egun horretatik aurrera erreklamazioa onartutzat joko da, eta izapidetzen jarraituko da kapitulu honetako 3. eta 4. ataletan ezarritako prozeduren arabera.
4.– Transcurridos tres meses desde la recepción de la reclamación sin que se hubiera notificado a la persona reclamante la decisión sobre su admisión a trámite, se entenderá admitida la reclamación desde esa fecha y proseguirá su tramitación conforme a los procedimientos establecidos en las secciones 3.ª y 4.ª de este capítulo.
35. artikulua.– Izapidetzeko ez onartzea.
Artículo 35.– Inadmisión a trámite.
1.– Datuak Babesteko Euskal Agintaritzak erreklamazioa izapidetzeko ez onartzea erabakiko du baldin eta datu pertsonalen babesaren arloko gaiei buruzkoa ez bada, modu nabarian oinarririk ez badu, abusuzkoa bada edo arau-hausteen arrazoizko zantzurik ez dakarrenean.
1.– La Autoridad Vasca de Protección de Datos acordará la inadmisión a trámite de la reclamación en caso de que la misma no verse sobre cuestiones de protección de datos personales, carezca notoriamente de fundamento, sea abusiva o no aporte indicios racionales de la existencia de una infracción.
2.– Halaber, Datuak Babesteko Euskal Agintaritzak erreklamazioa izapidetzeko ez onartzea erabaki ahalko du baldin eta tratamenduaren arduradunak edo eragileak, Agintaritzak aldez aurretik ohartarazita, neurri zuzentzaileak hartu baditu datu-babeserako legeriaren urraketa posiblearen aurka egiteko eta inguruabar hauetakoren bat gertatzen bada:
2.– Igualmente, la Autoridad Vasca de Protección de Datos podrá inadmitir a trámite la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por aquella, hubiera adoptado medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
a) Ukituari kalterik sortu ez izana, preskripzioari dagokionez arintzat jotzen diren arau-hausteen kasuan.
a) Que no se haya causado perjuicio a la persona afectada en el caso de las infracciones con la consideración de leves a efectos de prescripción.
b) Hartutako neurriak aplikatuz ukituaren eskubideak erabat bermatuta geratzea.
b) Que el derecho de la persona afectada quede plenamente garantizado mediante la aplicación de las medidas adoptadas.
36. artikulua.– Prozedura hasteko beste arrazoi batzuk.
Artículo 36.– Otros supuestos de iniciación del procedimiento.
Datuak Babesteko Euskal Agintaritzak kasu hauetan ere erabaki ahalko du prozedura hastea:
La Autoridad Vasca de Protección de Datos podrá igualmente acordar el inicio del procedimiento en los siguientes supuestos:
a) Europar Batasuneko beste Estatu kide bateko kontrol-agintaritza batek Datuak Babesteko Euskal Agintaritzari komunikatzen badio erreklamazio bat aurkeztu dutela beste kontrol-agintaritza horretan eta Datuak Babesteko Euskal Agintaritza kontrol-agintaritza nagusia bada prozedura izapidetzeko 2016/679 (EB) Erregelamenduaren 56. eta 60. artikuluen arabera.
a) Cuando le fuera comunicada por una autoridad de control perteneciente a otro Estado miembro de la Unión Europea una reclamación formulada ante ella, y la Autoridad Vasca de Protección de Datos ostentase la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679.
b) Datuak babesteko Estatuko beste agintaritza batek berari aurkeztu dioten erreklamazioa igortzen badio eta Datuak Babesteko Euskal Agintaritza bada erreklamazio hori aztertzeko eskuduna, lege honen 2. artikuluaren arabera.
b) Cuando le sea remitida por otra autoridad de protección de datos del Estado la reclamación que se hubiese formulado ante aquella y fuera la Autoridad Vasca de Protección de Datos la competente para conocer de la reclamación conforme al artículo 2 de esta ley.
c) Datuak Babesteko Euskal Agintaritzak hala erabakitzen badu, datu pertsonalak babesteko araudian xedatutakoaren urraketa baten zantzuak daudela jakin ondoren.
c) Cuando así lo determinase la Autoridad Vasca de Protección de Datos al tener conocimiento de la existencia de indicios de la comisión de una infracción de lo dispuesto en la normativa de protección de datos personales.
37. artikulua.– Prozedura izapidetzea.
Artículo 37.– Tramitación del procedimiento.
1.– Erreklamazioa izapidetzeko onartu ondoren, edo onartzeko epea igaro ondoren, Datuak Babesteko Euskal Agintaritzak erreklamazioa igorriko dio tratamenduaren arduradunari, hark hamabost eguneko epean beharrezkotzat jotzen dituen alegazioak egin ditzan.
1.– Admitida a trámite la reclamación o transcurrido el plazo para ello, la Autoridad Vasca de Protección de Datos la remitirá al responsable del tratamiento a fin de que este, en el plazo de quince días, formule las alegaciones que estime pertinentes.
2.– Alegazio horiek jasotzen dituenean, edo aurreko apartatuan ezarritako epea amaitzen denean, Datuak Babesteko Euskal Agintaritzak egin beharreko txostenak, probak eta instrukzio-egintzak egingo ditu, baita ukitutako pertsonari eta atzera berriro tratamenduaren arduradunari entzunaldia eman ere, eta erreklamazioa ebatziko du.
2.– Recibidas las alegaciones o transcurrido el plazo previsto en el apartado anterior, la Autoridad Vasca de Protección de Datos, previos los informes, pruebas y otros actos de instrucción pertinentes, incluida la audiencia de la persona afectada y nuevamente del responsable del tratamiento, resolverá sobre la reclamación formulada.
3.– Sei hilekoa izango da prozedura ebazteko gehieneko epea, izapidetzeko onartzeko erabakia erreklamatzaileari jakinarazten zaionetik zenbatuta, edo erreklamazioa onartzeari buruzko erabakia erreklamatzaileari jakinarazi gabe hiru hilabeteko epea igarotzen denetik zenbatuta.
3.– El plazo máximo para resolver el procedimiento será de seis meses a contar desde la notificación a la persona reclamante del acuerdo de admisión a trámite, o desde el transcurso del plazo de tres meses sin que se notifique a la persona reclamante la decisión sobre la admisión de su reclamación.
4.– Ebazteko sei hilabeteko epea igaro ondoren, ukituak ulertu ahalko du bere erreklamazioa ezetsi egin dela.
4.– Transcurrido el plazo máximo de seis meses para resolver, la persona afectada podrá considerar desestimada su reclamación.
38. artikulua.– Aldez aurreko ikerketa-jarduerak.
Artículo 38.– Actuaciones previas de investigación.
1.– Zehapen-prozedura hasteko erabakia hartu aurretik, Datuak Babesteko Euskal Agintaritzak beharrezkoak diren aurretiazko ikerketa-jarduketak egitea erabaki ahalko ditu, zehatzeko ahala egikaritzeko prozedura izapidetzea justifikatzen duten egitateak eta inguruabarrak hobeto zehazteko.
1.– Antes de la adopción del acuerdo de inicio del procedimiento sancionador, la Autoridad Vasca de Protección de Datos podrá acordar la realización de las actuaciones previas de investigación que resulten necesarias a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento de ejercicio de la potestad sancionadora.
Datuak Babesteko Euskal Agintaritzak aurretiazko ikerketa-jarduketak sistema digitalen bidez egitea erabaki ahal izango du, Datu Pertsonalak Babesteko eta Eskubide Digitalak Bermatzeko abenduaren 5eko 3/2018 Lege Organikoaren 53 bis artikuluan aurreikusitakoaren arabera, eta gehienez ere 18 hilabete iraungo dute.
La Autoridad Vasca de Protección de Datos podrá acordar la realización de las actuaciones previas de investigación a través de sistemas digitales en los términos previstos en el artículo 53 bis de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, con una duración máxima de 18 meses.
2.– Aurretiazko ikerketa-jarduketak lege honen II. kapituluko 3. atalean xedatutakoaren mende egongo dira, eta gehienez ere 18 hilabete iraungo dute, izapidetzeko onartzeari buruzko erabakia hartzen den egunetik edo erabakitzeko epea amaitzen den egunetik aurrera zenbatuta, edo Agintaritzak berak hasteko erabakia hartzen duenetik aurrera, lege honen 36. artikuluan aipatzen diren kasuetan.
2.– Las actuaciones previas de investigación se someterán a lo dispuesto en la sección 3.ª del capítulo II de esta ley y no podrán tener una duración superior a los 18 meses a contar desde la fecha del acuerdo de admisión a trámite o desde que se hubiera cumplido el plazo para adoptarlo, o desde que la propia Autoridad decida su iniciación en los supuestos a los que se refiere el artículo 36 de esta ley.
39. artikulua.– Zehapen-prozedura.
Artículo 39.– Procedimiento sancionador.
1.– Ikerketarik eginez gero, haien jarduketak amaitzen direnean Datuak Babesteko Euskal Agintaritzaren lehendakariak zehapen-prozedura hasteko erabakia emango du, hala badagokio.
1.– Concluidas, en su caso, las actuaciones de investigación, la presidencia de la Autoridad Vasca de Protección de Datos dictará, cuando así proceda, acuerdo de iniciación del procedimiento sancionador.
2.– Hasteko erabakia hartzen den egunetik, gehienez ere 12 hilabeteko epea egongo da ebazpena emateko. Epe hori igarotzen bada ebazpenik eman gabe, prozedura iraungi egingo da.
2.– El plazo máximo para dictar resolución será de 12 meses a contar desde la fecha del acuerdo de inicio. Transcurrido este plazo sin que dicte resolución se producirá la caducidad del procedimiento.
3.– Gainerakoan, prozedura Euskal Autonomia Erkidegoko administrazio publikoen zehatzeko ahalari buruzko araudiak erregulatuko du, hargatik eragotzi gabe kapitulu honetako 5. atalak agintzen duena.
3.– En lo demás, el procedimiento se regulará por lo establecido en la normativa reguladora del ejercicio de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco, sin perjuicio de la aplicación, en su caso, de lo establecido en la sección 5.ª de este capítulo.
4.– Hala dagokionean, gertaeren izaerari erreparatuta eta behar bezala kontuan hartuta Europako Parlamentuaren eta Kontseiluaren 2016ko apirilaren 27ko 2016/679 (EB) Erregelamenduaren 83.2 artikuluan ezarritako irizpideak, Datuak Babesteko Euskal Agintaritzak, tratamenduaren arduradunari edo eragileari entzun ondoren, ohartarazpen bat egin ahal izango du, eta neurri zuzentzaileak hartzeko agindu ahal izango die tratamenduaren arduradunari edo eragileari, datuak babesteko legeriaren urraketa izan daitekeen horri amaiera emateko modu jakin batean eta zehaztutako epearen barruan. Prozedurak, gehienez ere, sei hilabeteko iraupena izango du, hasteko erabakia hartzen den egunetik zenbatzen hasita. Epe hori igarotakoan, iraungi egingo da eta, ondorioz, jarduketak artxibatu egingo dira.
4.– Cuando así proceda, en atención a la naturaleza de los hechos y teniendo debidamente en cuenta los criterios establecidos en el artículo 83.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Autoridad Vasca de Protección de Datos, previa audiencia al responsable o encargado del tratamiento, podrá dirigir un apercibimiento, así como ordenar al responsable o encargado del tratamiento que adopte las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado. El procedimiento tendrá una duración máxima de seis meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.
40. artikulua.– Kautela-neurriak.
Artículo 40.– Medidas cautelares.
1.– Aurretiazko ikerketa-jarduketak egiten diren bitartean edo zehapen-ahala egikaritzeko prozedura bat hasita dagoenean, Datuak Babesteko Euskal Agintaritzaren lehendakariak behin-behineko neurriak edo kautela-neurriak erabaki ahalko ditu, modu arrazoituan, datuak babesteko oinarrizko eskubidea babestearen alde beharrezko eta proportziozko diren heinean, eta, bereziki, 2016/679 (EB) Erregelamenduaren 66.1 artikuluan jasotako neurriak, datuak kautelaz blokeatzea eta eskatutako eskubideari berehala jaramon egiteko betebeharra.
1.– Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la presidencia de la Autoridad Vasca de Protección de Datos podrá acordar motivadamente las medidas provisionales o cautelares necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
2.– Era berean, Euskal Autonomia Erkidegoko administrazio publikoen zehatzeko ahalari buruzko araudian ezarrita dauden kautela-neurriak hartu ahalko ditu.
2.– Igualmente podrá acordar la adopción de las medidas cautelares establecidas en la normativa reguladora del ejercicio de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
3.– Datuak Babesteko Euskal Agintaritzak uste badu datu pertsonalen tratamenduak aurrera jarraitzeak, datuok komunikatzeak edo nazioartean transferitzeak kalte larria ekar diezaioketela datu pertsonalak babesteko eskubideari, datuak blokeatzeko eta datuen tratamendua eteteko agindu diezaieke tratamenduen arduradunei edo eragileei, eta, haiek aginduok bete ezean, datuak geraraz ditzake.
3.– En los casos en que la Autoridad Vasca de Protección de Datos considere que la continuación del tratamiento de los datos personales, su comunicación o transferencia internacional comportará un menoscabo grave del derecho a la protección de datos personales, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de incumplirse por estos dichos mandatos, proceder a su inmovilización.
4.– Era berean, Datuak Babesteko Euskal Agintaritzako ikuskatzaileek, aurretiazko ikerketa-jarduketak egiten ari direla, kautela-neurriak salbuespen gisa hartu ahalko dituzte, Euskal Autonomia Erkidegoko administrazio publikoen zehatzeko ahalari buruzko araudian ezarrita dauden kasu eta baldintzetan.
4.– Será igualmente posible la adopción excepcional de medidas cautelares por los inspectores o inspectoras de la Autoridad Vasca de Protección de Datos que estuviesen llevando a cabo las actuaciones previas de investigación en los supuestos y con las condiciones establecidas en la normativa reguladora del ejercicio de la potestad sancionadora de las administraciones públicas de la Comunidad Autónoma del País Vasco.
41. artikulua.– Mugaz gaindiko prozedurei aplikatu beharreko berezitasunak, prozedura horietan Datuak Babesteko Euskal Agintaritza denean agintaritza nagusia.
Artículo 41.– Especialidades aplicables a los procedimientos transfronterizos en que la Autoridad Vasca de Protección de Datos sea autoridad principal.
Datuak Babesteko Euskal Agintaritza 2016/679 (EB) Erregelamenduaren 60. artikuluan araututako prozeduretako batean agintaritza nagusia bada, prozedura behar bezala antolatzeko beharrezkoak diren izapide eta jarduketak egin ostean ebazpen-proiektua emango du. Interesa duten gainerako agintaritzei ebazpen-proiektu horren berri emango zaie, Erregelamenduaren 60.3 artikuluan ezarrita dauden xedeetarako.
Cuando la Autoridad Vasca de Protección de Datos tuviera la condición de autoridad principal en un procedimiento de los regulados por el artículo 60 del Reglamento (UE) 2016/679, una vez realizados los trámites y actuaciones complementarias que resulten necesarias para la adecuada ordenación del procedimiento, aquella dictará proyecto de resolución del que se dará traslado a las restantes autoridades interesadas a los efectos previstos en el artículo 60.3 del citado reglamento.
Kasu horretan, 2016/679 (EB) Erregelamenduaren 60. artikuluan xedatuta dagoena aplikatuko da; baita, hala badagokio, 63. artikuluan xedatuta dagoena ere.
Será en este supuesto de aplicación lo dispuesto en el artículo 60 y, en su caso, en el artículo 63 del Reglamento (UE) 2016/679.
42. artikulua.– Mugaz gaindiko prozedurei aplikatu beharreko berezitasunak, prozedura horietan agintaritza interesduna Datuak Babesteko Euskal Agintaritza denean, baldin eta ukitu batek berari erreklamazioa egin badio.
Artículo 42.– Especialidades aplicables a los procedimientos transfronterizos en los que la Autoridad Vasca de Protección de Datos sea autoridad interesada ante la que se hubiese formulado reclamación por una persona afectada.
1.– Datuak Babesteko Euskal Agintaritza 2016/679 (EB) Erregelamenduaren 60. artikuluan araututako prozeduretako batean agintaritza interesduna bada, berari aurkeztu dioten erreklamazioaren berri emango dio agintaritza nagusiari berehala, agintaritza nagusi horrek prozedura izapidetu dezan 2016/679 (EB) Erregelamenduaren 60. artikuluaren arabera.
1.– Cuando la Autoridad Vasca de Protección de Datos tuviera la condición de autoridad interesada en un procedimiento de los regulados por el artículo 60 del Reglamento (UE) 2016/679, dará inmediatamente traslado de la reclamación formulada ante ella a la autoridad principal, a fin de que proceda a la tramitación del procedimiento conforme a lo dispuesto en el artículo 60 del citado reglamento.
2.– Aurreko apartatuak aipatzen duen bidalketa-erabakiak prozeduraren behin-behineko artxibatzea dakar, hargatik eragotzi gabe Datuak Babesteko Euskal Agintaritzak 2016/679 Erregelamenduaren 60. artikuluko 8. eta 9. apartatuetan jasotzen den ebazpena ematea, hala badagokio.
2.– El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Autoridad Vasca de Protección de Datos se dicte, en caso de que así proceda, la resolución a la que se refieren los apartados 8 y 9 del artículo 60 del Reglamento (UE) 2016/679.
Administrazio-prozedura arautzeko oinarrizko legeria zein Autonomia Erkidegokoa aplikatuko zaie lege honetan edo beste batzuetan ezarrita dagoenaren arabera Datuak Babesteko Euskal Agintaritzak izapidetu behar dituen prozedurei, baldin eta prozedura horiek lege honen IV. kapituluan beren-beregi araututa ez badaude.
La legislación básica y autonómica reguladora del procedimiento administrativo será de aplicación a los procedimientos cuya tramitación corresponda a la Autoridad Vasca de Protección de Datos, en virtud de lo establecido en esta u otras leyes y que no se encuentren expresamente regulados por el capítulo IV de esta ley.
1.– Datuak Babesteko Euskal Agintaritza Datuak Babesteko Euskal Bulegoaren posizio juridikoan subrogatuko da, Bulegoaren titulartasuneko ondasun, eskubide eta betebeharrei dagokienez.
1.– La Autoridad Vasca de Protección de Datos se subroga en la posición jurídica de la Agencia Vasca de Protección de Datos en cuanto a los bienes, derechos y obligaciones de que fuera titular la Agencia.
2.– Ordenamendu juridikoan Datuak Babesteko Euskal Bulegoa aipatzen denean, ulertu behar da Datuak Babesteko Euskal Agintaritza aipatzen dela.
2.– Las referencias hechas en el ordenamiento jurídico a la Agencia Vasca de Protección de Datos deben entenderse hechas a la Autoridad Vasca de Protección de Datos.
1.– Datuak Babesteko Euskal Agintaritzaren funtzionario propioak kidego eta eskalatan sailkatuta daude, kidego eta eskala horietan sartzeko exijitzen den titulazio-mailaren arabera, Enplegatu Publikoaren Oinarrizko Estatutuaren Legearen testu bategina onartzen duen urriaren 30eko 5/2015 Legegintzako Errege Dekretuaren 76. artikuluan aurreikusten denari jarraituz, bai eta Euskal Autonomia Erkidegoko Administrazioko kidegoei eta eskalei buruzko azaroaren 11ko 7/2021 Legearen 15. artikuluan aurreikusten denari ere.
1.– El personal funcionario propio de la Autoridad Vasca de Protección de Datos se agrupa en cuerpos y escalas, según el nivel de titulación exigido para el acceso a dichos cuerpos y escalas, conforme a lo previsto en el artículo 76 del Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público, y según lo previsto en el artículo 15 de la Ley 7/2021, de 11 de noviembre, de los cuerpos y de las escalas de la Administración de la Comunidad Autónoma de Euskadi.
2.– Kidego eta eskala hauek sortzen dira, eta horietan integratuko dira Agintaritzako funtzionario propioak:
2.– Se crean los siguientes cuerpos y escalas, en los cuales se integrará el personal funcionario propio de la Autoridad:
Goi Mailako Kidegoa (A1 sailkapen-azpitaldea).
Cuerpo Superior (Subgrupo de clasificación A1).
– Datuak Babesteko Euskal Agintaritzaren Administrazioko Goi Mailako Eskala.
– Escala Superior de Administración de la Autoridad Vasca de Protección de Datos.
– Datuak Babesteko Euskal Agintaritzaren Fakultatiboen Goi Mailako Eskala Juridikoa.
– Escala Superior Facultativa Jurídica de la Autoridad Vasca de Protección de Datos.
– Datuak Babesteko Euskal Agintaritzaren Informazio Sistemetako Fakultatiboen Goi Mailako Eskala.
– Escala Superior Facultativa de Sistemas de Información de la Autoridad Vasca de Protección de Datos.
– Datuak Babesteko Euskal Agintaritzaren Artxibo, Liburutegi eta Dokumentazioko Fakultatiboen Goi Mailako Eskala.
– Escala Superior Facultativa de Archivo, Biblioteca y Documentación de la Autoridad Vasca de Protección de Datos.
– Datuak Babesteko Euskal Agintaritzaren Itzulpengintzako Fakultatiboen Goi Mailako Eskala.
– Escala Superior Facultativa de Traducción de la Autoridad Vasca de Protección de Datos.
Teknikarien Kidegoa (B sailkapen-taldea).
Cuerpo Técnico (Grupo de clasificación B).
– Datuak Babesteko Euskal Agintaritzaren Kudeaketa Informatikako Teknikarien Eskala.
– Escala Técnica de Informática de Gestión de la Autoridad Vasca de Protección de Datos.
Administrarien Kidegoa (C1 sailkapen-azpitaldea).
Cuerpo Administrativo (Subgrupo de clasificación C1).
– Datuak Babesteko Euskal Agintaritzaren Administrarien Eskala.
– Escala Administrativa de la Autoridad Vasca de Protección de Datos.
Administrari Laguntzaileen Kidegoa (C2 sailkapen-azpitaldea).
Cuerpo Auxiliar Administrativo (Subgrupo de clasificación C2).
– Datuak Babesteko Euskal Agintaritzaren Administrari Laguntzaileen Eskala.
– Escala Auxiliar Administrativa de la Autoridad Vasca de Protección de Datos.
3.– Lege honen 5. artikuluan ezarritakoaren arabera, entitatearen lanpostu-zerrendaren arabera zehaztuko da lanpostu bakoitzaren atxikipena xedapen gehigarri honetan ezarritako kidego eta eskaletara.
3.– De acuerdo con lo establecido en el artículo 5 de la presente ley, la relación de puestos de trabajo de la entidad establecerá la adscripción de cada puesto de trabajo a los cuerpos y escalas establecidos en la presente disposición adicional.
4.– Deialdiaren xede den plaza atxikita dagoen kidegoan eta eskalan sartuko dira funtzionario propioak. Lanpostuak beste administrazio publiko batzuetatik datozen langileek beteko dituztenean, lanpostuen zerrendan ezarritakoaren arabera jokatuko da.
4.– El acceso del personal funcionario propio se producirá al cuerpo y escala correspondiente al que esté adscrita la plaza objeto de la convocatoria. La provisión de puestos de trabajo por personal procedente de otras administraciones públicas se realizará de acuerdo con lo establecido, en su caso, en la relación de puestos de trabajo.
5.– Orobat, Agintaritzako lehendakariaren ebazpen bidez, baliokidetza-sistema bat sartu ahal izango da Agintaritzaren kidego eta eskala propioen eta lanpostuen eta beste administrazio publiko batzuetako kidego, eskala, klase eta kategorien artean.
5.– Por resolución de la presidencia de la Autoridad se podrá incluir, asimismo, un sistema de equivalencias entre los cuerpos y escalas propios y de los puestos de trabajo de la Autoridad, y los cuerpos, escalas, clases y categorías de otras administraciones públicas.
1.– Datuak Babesteko Euskal Bulegoaren Estatutua (Datuak Babesteko Euskal Bulegoaren Estatutua onartzen duen urriaren 18ko 309/2005 Dekretuaren bitartez onartua) aplikatuko zaio Datuak Babesteko Euskal Agintaritzari, non eta ez doan lege honetan xedatutakoaren aurka, harik eta Agintaritzaren estatutua onartzen den arte.
1.– El Estatuto de la Agencia Vasca de Protección de Datos, aprobado por el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos, será aplicable a la Autoridad Vasca de Protección de Datos en cuanto no se oponga a lo dispuesto en la presente ley, mientras no se adopte el estatuto de esta última.
2.– Lege honen 8. artikuluko 5. apartatuan eta 9. artikuluko 1. apartatuan xedatuta dagoena aplikatuko da Datuak Babesteko Euskal Bulegoaren zuzendariaren eta lege hau indarrean jartzean kontseilu aholku-emailea osatzen dutenen agintaldia iraungi ondoren.
2.– Lo dispuesto en el apartado 5 del artículo 8 y en el apartado 1 del artículo 9 será de aplicación una vez expire el mandato de la persona que ostente la dirección de la Agencia Vasca de Protección de Datos y de quienes conformen su consejo consultivo en el momento de entrada en vigor de esta ley.
Lege hau indarrean jarri aurretik hasitako aurretiazko ikerketa-jarduketak eta administrazio-prozedurak hasi ziren unean aplikatzekoa zen araudiaren arabera jarraituko dira izapidetzen.
Las actuaciones previas de investigación y los procedimientos administrativos iniciados con anterioridad a la entrada en vigor de esta ley continuarán tramitándose de conformidad con la normativa aplicable en el momento de su inicio.
1.– Aurretik deitutako ezohiko egonkortze-prozesuak direla-eta, lege hau indarrean jartzean Datuak Babesteko Euskal Bulegoaren karrerako funtzionario izendapena duten langileak Datuak Babesteko Euskal Agintaritzaren kidego eta eskaletan integratuko dira, betetzen dituzten plazek lanpostuen zerrendan duten adskripzioaren arabera.
1.– El personal con nombramiento de funcionaria o funcionario de carrera de la Agencia Vasca de Protección de Datos a la entrada en vigor de esta ley, como consecuencia de los procesos de estabilización excepcional convocados previamente, se integrará en los cuerpos y escalas correspondientes de la Autoridad Vasca de Protección de Datos a los que se adscriban las plazas que ocupen en la relación de puestos de trabajo.
2.– Lege hau indarrean sartzean Datuak Babesteko Euskal Bulegoko lanpostuetan titular gisa diharduten beste administrazio publiko batzuetako kidego eta eskaletan integratutako karrerako funtzionarioek aukera izango dute Datuak Babesteko Euskal Agintaritzaren kidego eta eskaletan integratzeko, erregelamendu bidez zehazten den moduan.
2.– Las funcionarias y funcionarios de carrera integrados en cuerpos y escalas de otras administraciones públicas que desempeñen, como titulares, puestos de trabajo de la Agencia Vasca de Protección de Datos a la entrada en vigor de esta ley, podrán optar por integrarse en los cuerpos y escalas correspondientes de la Autoridad Vasca de Protección de Datos, en los términos que reglamentariamente se determine.
3.– Datuak Babesteko Euskal Bulegoko lanpostuetan zerbitzu-eginkizunen erregimenean edo bitarteko funtzionario gisa diharduten funtzionarioek zerbitzuak ematen zituzten baldintza berberetan jarraituko dute.
3.– El personal funcionario que ocupe puestos de trabajo de la Agencia Vasca de Protección de Datos en régimen de comisión de servicios o como personal funcionario interino continuará en las mismas condiciones en que viniera prestando sus servicios.
Indargabetuta gelditzen dira honako xedapen hauek:
Quedan derogadas las siguientes disposiciones normativas:
– 2/2004 Legea, otsailaren 25ekoa, Datu Pertsonaletarako Jabetza Publikoko Fitxategiei eta Datuak Babesteko Euskal Bulegoa Sortzeari buruzkoa.
– Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
– 308/2005 Dekretua, urriaren 18koa, Datu Pertsonaletarako Jabetza Publikoko Fitxategiei eta Datuak Babesteko Euskal Bulegoa sortzeari buruzko otsailaren 25eko 2/2004 Legea garatzen duena.
– Decreto 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
– 309/2005 Dekretua, urriaren 18koa, Datuak Babesteko Euskal Bulegoaren Estatutua onartzen duena.
– Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.
Lege hau Euskal Herriko Agintaritzaren Aldizkarian argitaratu eta hurrengo egunean jarriko da indarrean.
La presente ley entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del País Vasco.
Beraz, Lege honi men egiteko eta men eginarazteko agintzen diet, norbanako zein agintari direla, Euskadiko herritar guztiei.
Por consiguiente, ordeno a todos los ciudadanos y ciudadanas de Euskadi, particulares y autoridades, que la guarden y hagan guardarla.
Vitoria-Gasteiz, a 28 de diciembre de 2023.
El Lehendakari,
IÑIGO URKULLU RENTERIA.
RSS