Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
¿Qué dice esta ley?
**¿Qué es?** La Ley 16/2023, de 21 de diciembre, es una norma del País Vasco que crea y regula la **Autoridad Vasca de Protección de Datos**, organismo público independiente encargado de vigilar que las administraciones y entidades públicas vascas traten correctamente los datos personales de los ciudadanos. Sustituye a la anterior Agencia Vasca de Protección de Datos y actualiza el marco legal autonómico para adaptarlo a la normativa europea y estatal vigente. **¿A quién afecta?** Afecta principalmente al sector público vasco: administraciones públicas, el Parlamento Vasco, las Juntas Generales de los territorios históricos, el Tribunal Vasco de Cuentas, el Ararteko, entidades creadas por ley del Parlamento Vasco, autoridades administrativas independientes y los grupos parlamentarios. En general, a cualquier organismo público que trate datos personales en el ejercicio de sus funciones dentro de la Comunidad Autónoma del País Vasco. **¿Qué cambia o establece?** La ley reorganiza y moderniza la institución supervisora, que pasa a denominarse Autoridad Vasca de Protección de Datos, y define con claridad sus funciones, poderes y garantías de independencia. Además, establece el régimen sancionador aplicable a quienes incumplan las normas de protección de datos, y fija el procedimiento para tramitar reclamaciones de ciudadanos e investigaciones de oficio. Deroga expresamente la Ley 2/2004 y sus decretos de desarrollo, que regulaban la antigua Agencia Vasca.
💬 Contexto ciudadano
La Agencia Vasca de Protección de Datos fue la primera autoridad autonómica de protección de datos en España, creada en 1993 antes incluso de la LOPD estatal, gracias al Estatuto de Gernika. La Ley 16/2023 la transforma en Autoridad Vasca de Protección de Datos, actualizando su marco normativo para adaptarlo al RGPD europeo (2016/679) y a la LOPDGDD estatal (2018). La autoridad vasca supervisa el tratamiento de datos en el sector público autonómico —no el privado, que corresponde a la AEPD—, en un modelo de coexistencia que solo existe en España (País Vasco y Cataluña tienen autoridades propias). La jurisprudencia del TJUE ha confirmado la compatibilidad de este modelo con el RGPD, que permite a los Estados miembros designar autoridades subnacionales para el sector público. La reforma refuerza la independencia de la autoridad y actualiza el régimen sancionador.