| Informe | 2024-0006 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre la Ley Vasca 16/2023
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la constitucionalidad de la Ley Vasca 16/2023 en materia de protección de datos, centrando su evaluación en aspectos competenciales y de coherencia con la normativa estatal.
Competencia y bloque de constitucionalidad
La AEPD recuerda que, según el artículo 28 de la LOTC, al evaluar la constitucionalidad de una ley autonómica, no solo debe considerarse la Carta Magna, sino también el «bloque de constitucionalidad» (leyes orgánicas de delimitación competencial). En este caso, destacan:
Ley Orgánica 3/2018 (LOPDGDD), que regula aspectos básicos de protección de datos con competencia estatal, especialmente en derechos fundamentales.
Ley Orgánica 7/2021, que regula tratamientos de datos para fines penales, con naturaleza de legislación básica.
La AEPD advierte que las competencias en protección de datos son compartidas: el Estado tiene competencia exclusiva en legislación básica (art. 149.1.1 CE), mientras que las CCAA pueden desarrollar normativas complementarias, pero no pueden invadir el ámbito estatal.
Principales objeciones a la Ley Vasca 16/2023
El informe identifica varios puntos que podrían ser inconstitucionales o contrarios a la normativa estatal:
A) Ampliación indebida de competencias autonómicas
Artículo 2.1.m): La ley vasca extiende la aplicación de su normativa a «entidades privadas que prestan servicios públicos», lo que podría invadir la competencia estatal si dichas entidades no están bajo supervisión autonómica clara.
Recomendación: Acordar en la Comisión Bilateral Estado-CAA una interpretación restrictiva que delimite exactamente el ámbito de actuación de la Autoridad Vasca de Protección de Datos (AVPD).
Artículo 3.3: Establece que los procedimientos de la AVPD se regirán por la ley vasca, pero no distingue entre tratamientos bajo RGPD/LOPDGDD y LO 7/2021, lo que podría vulnerar la competencia estatal en esta última materia.
B) Modificación de garantías procesales
Artículo 8.7: Elimina el recurso de reposición potestativo contra resoluciones de la AVPD, lo que podría contravenir la Ley 39/2015 (procedimiento administrativo común), que tiene carácter básico.
Artículo 17.6: Designa al Tribunal Superior de Justicia del País Vasco como órgano competente para autorizaciones judiciales, lo que podría invadir la competencia estatal en materia procesal (art. 149.1.6 CE).
C) Transferencias internacionales de datos (Artículo 17)
Aunque la ley vasca recoge correctamente lo establecido en el RGPD y la LOPDGDD, el informe sugiere:
Artículo 17.2: Debería aclararse que las normas corporativas vinculantes (BCR) que adopte la AVPD lo sean en el ámbito de sus competencias.
Artículo 17.4: La resolución de la AVPD debe someterse al dictamen del Comité Europeo de Protección de Datos, pero por conducto de la AEPD (según el art. 60 LOPDGDD), lo que no se refleja en la ley vasca.
Otros aspectos problemáticos
Artículo 18.2: La AVPD somete proyectos de códigos de conducta al mecanismo de coherencia de la UE sin pasar por la AEPD, lo que contradice el artículo 60 LOPDGDD.
Artículo 19.2con: Obliga a ENAC (organismo estatal) a comunicar a la AVPD decisiones sobre acreditaciones, sin delimitar el ámbito competencial autonómico.
Artículos 26 y 30: Regulan la prescripción de infracciones y sanciones, pero podrían interpretarse como una legislación básica adicional, lo que invadiría competencia estatal.
Conclusión
La AEPD no declara inconstitucional la Ley Vasca 16/2023, pero sí identifica riesgos de invasión competencial en varios preceptos. Recomienda:
Acuerdos en la Comisión Bilateral Estado-País Vasco para aclarar interpretaciones (especialmente en los artículos 2.1.m, 3.3 y 17).
Modificar o aclarar aquellos artículos que puedan vulnerar normas básicas estatales (como el art. 8.7 sobre recursos administrativos o el 17.6 sobre designación de órganos judiciales).
Garantizar la coherencia con las directrices del RGPD, LOPDGDD y LO 7/2021, especialmente en transferencias internacionales de datos.
En definitiva, el informe subraya que, aunque el País Vasco tiene margen para legislar en protección de datos, debe respetar estrictamente las competencias exclusivas del Estado para evitar conflictos constitucionales.