Protección de Datos

AVPD: la agencia vasca de protección de datos

AVPD, la agencia vasca de protección de datos: ámbito sobre el sector público vasco (Ley 2/2004), diferencias con la AEPD y APDCAT, y cuándo responde cada una.

En una frase. La AVPD (Agencia Vasca de Protección de Datos / Datuen Babeserako Euskal Bulegoa) es la autoridad de control autonómica que supervisa el tratamiento de datos personales del sector público de la Comunidad Autónoma del País Vasco. No controla empresas privadas: esas siguen bajo la AEPD, esté donde esté su sede.

Puntos clave

  • La AVPD se creó por la Ley 2/2004, de 25 de febrero, del Parlamento Vasco.
  • Su competencia se limita a la Administración vasca, los entes locales del País Vasco, la universidad pública (UPV/EHU) y las entidades vinculadas.
  • Toda reclamación contra una empresa privada vasca se dirige a la AEPD.
  • La AVPD emite dictámenes, gestiona el registro de delegados de protección de datos del sector público vasco y publica criterios propios.
  • Forma trío con la APDCAT catalana y el CTPDA andaluz.

1. Qué es la AVPD y en qué se basa

El art. 51.1 RGPD autoriza a un Estado a tener varias autoridades de control. España conservó las autoridades autonómicas preexistentes, y la del País Vasco es la AVPD, creada por la Ley 2/2004 del Parlamento Vasco como ente de derecho público con personalidad jurídica propia y plena independencia funcional.

Como toda autoridad de control, su razón de ser es estructural: no puede vigilar a la administración quien depende de esa misma administración. Por eso la AVPD actúa con autonomía respecto del Gobierno Vasco cuyos tratamientos supervisa, en línea con la garantía de independencia del art. 52 RGPD.

2. El perímetro: solo sector público vasco

El error recurrente es pensar que la AVPD controla “todo lo que ocurre en Euskadi”. No es así. Su competencia es orgánica, no territorial. Solo alcanza a responsables públicos vascos:

  • La Administración General de la Comunidad Autónoma (Gobierno Vasco) y sus organismos.
  • Las Diputaciones Forales de Álava, Bizkaia y Gipuzkoa.
  • Los ayuntamientos y entes locales del País Vasco.
  • La Universidad del País Vasco (UPV/EHU).
  • Consorcios, fundaciones y sociedades públicas dependientes.

Una empresa privada de Bilbao, un autónomo de San Sebastián o una cooperativa industrial de Álava quedan bajo la AEPD. Y ojo: los organismos de la Administración estatal ubicados en el País Vasco (Seguridad Social, Agencia Tributaria estatal, cuerpos y fuerzas de seguridad del Estado) también responden ante la AEPD, no ante la AVPD.

Tabla de competencia

Responsable Autoridad
Gobierno Vasco, Diputación Foral, ayuntamiento vasco AVPD
UPV/EHU (universidad pública) AVPD
Empresa privada o cooperativa vasca AEPD
Autónomo o profesional en Euskadi AEPD
Administración estatal en el País Vasco AEPD

Este reparto es idéntico en su lógica al de las sanciones de la AEPD a administraciones públicas: la naturaleza pública o privada del responsable y su nivel administrativo determinan la puerta correcta.

3. Qué hace la AVPD

Dentro de su ámbito, la AVPD ejerce las funciones del art. 57 RGPD:

  • Resuelve reclamaciones contra entes públicos vascos.
  • Inspecciona y adopta medidas correctivas del art. 58.2 RGPD.
  • Emite dictámenes sobre proyectos de disposiciones y tratamientos de riesgo del sector público vasco.
  • Mantiene el registro de delegados de protección de datos de los entes públicos vascos.
  • Difunde criterios y recomendaciones adaptados a la realidad institucional del País Vasco.

Al igual que ante la AEPD, frente a las administraciones la AVPD no suele imponer multa dineraria: aplica el régimen específico del sector público, con medidas correctoras y, en su caso, propuesta de responsabilidad disciplinaria del personal. El detalle de ese régimen conecta con el catálogo de infracciones de la LOPDGDD.

4. Qué debe hacer un ente público vasco

Las obligaciones sustantivas son las mismas que para cualquier responsable; cambia el interlocutor y algún matiz procedimental:

  1. Designar DPO, obligatorio para todo organismo público (art. 37.1.a RGPD). Los supuestos se detallan en cuándo es obligatorio el DPO, y su designación se comunica a la AVPD.
  2. Mantener el registro de actividades de tratamiento actualizado.
  3. Notificar brechas a la AVPD dentro de las 72 horas del art. 33 RGPD.
  4. Consultar previamente los tratamientos de alto riesgo.

Para ayuntamientos y entes forales con decenas de tratamientos —padrón, tributos, servicios sociales, videovigilancia—, centralizar el inventario y sus plazos en una herramienta de cumplimiento como Legiscope reduce el riesgo de omisiones en una inspección. La articulación entre el marco estatal y el autonómico descansa, al final, en la relación entre la LOPDGDD y el RGPD y en los derechos digitales de los arts. 79-97 LOPDGDD.

Una particularidad vasca: el régimen foral

El País Vasco tiene una estructura institucional singular. Junto al Gobierno Vasco conviven las tres Diputaciones Forales —Álava, Bizkaia y Gipuzkoa—, con competencias muy amplias en materia tributaria y de servicios. Todas ellas, y los entes que dependen de cada una, quedan bajo la supervisión de la AVPD en lo que respecta al tratamiento de datos personales. Esto multiplica el número de responsables públicos vascos y explica por qué la AVPD, pese a operar en una comunidad autónoma no muy grande en población, gestiona un volumen considerable de dictámenes y consultas.

Para un ciudadano vasco, la consecuencia práctica es clara: si su reclamación es contra la Hacienda foral de Bizkaia o contra su ayuntamiento, la puerta es la AVPD; si es contra la Agencia Tributaria estatal o contra su banco, la puerta es la AEPD. Confundir ambas retrasa la tramitación, aunque las autoridades reencaminan las reclamaciones mal dirigidas.

El papel preventivo de la AVPD

Como el resto de autoridades, la AVPD no vive solo de sancionar. Su función más valiosa para los entes públicos vascos es la preventiva: emite dictámenes previos sobre proyectos normativos y sobre tratamientos de riesgo, resuelve consultas y publica recomendaciones adaptadas a la realidad institucional del País Vasco. Aprovechar esa función antes de desplegar un nuevo tratamiento —una app municipal, un sistema de videovigilancia, una plataforma de servicios sociales— evita corregir después, que siempre sale más caro y expone a la organización a una resolución desfavorable.

Merece la pena insistir en un punto que genera errores recurrentes: la AVPD y la AEPD no compiten ni se solapan; se reparten el terreno con un criterio limpio. Ningún ciudadano vasco pierde protección por la existencia de la AVPD, ni gana una vía adicional para reclamar contra una empresa privada. El sistema es de puerta única según la naturaleza del responsable. Y en caso de duda razonable, presentar la reclamación ante cualquiera de las dos autoridades no acarrea perjuicio: la que reciba un asunto que no le compete lo reencamina a la competente, respetando la fecha de entrada a efectos de plazos.

5. Recursos oficiales

FAQ

¿La AVPD puede sancionar a una empresa privada vasca?

No. La AVPD solo supervisa al sector público vasco. Una empresa privada de Euskadi responde ante la AEPD, con independencia de dónde tenga su sede social.

¿Un ayuntamiento vasco notifica sus brechas a la AVPD o a la AEPD?

A la AVPD, en el plazo de 72 horas del art. 33 RGPD. El procedimiento material es el mismo que para cualquier brecha de seguridad; solo cambia la autoridad destinataria.

¿Qué pasa con la Administración estatal presente en el País Vasco?

Los órganos de la Administración General del Estado (Seguridad Social, AEAT, fuerzas de seguridad del Estado) responden ante la AEPD, aunque operen en territorio vasco. La AVPD se ciñe a la administración autonómica, foral y local vasca.

¿Cuántas autoridades autonómicas de protección de datos existen?

Tres: la AVPD en el País Vasco, la APDCAT en Cataluña y el CTPDA en Andalucía. Las tres se limitan a su respectivo sector público.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →