El BOPV de ayer, 8 de junio de 2026, publica el Decreto 77/2026, de 19 de mayo, por el que se aprueba el Estatuto de la Autoridad Vasca de Protección de Datos (AVPD). Con este decreto se cierra, casi dos años y medio después, el ciclo de desarrollo reglamentario que la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, dejó pendiente.

El cambio de modelo: de la Agencia a la Autoridad

La AVPD no es un organismo nuevo. Es la sucesora de la Agencia Vasca de Protección de Datos, creada en 2004 por la Ley 2/2004, de 25 de febrero, y dotada de su propio estatuto mediante el Decreto 309/2005, de 18 de octubre. La Ley 16/2023 derogó ese régimen íntegramente y diseñó un organismo con mayores competencias y adaptado al Reglamento (UE) 2016/679 y a la Ley Orgánica 7/2021. La nueva denominación —«Autoridad» en lugar de «Agencia»— no es solo cosmética: responde al lenguaje del RGPD, que habla de «autoridades de control» como categoría con estatuto jurídico reforzado en el derecho europeo.

Lo que la Ley 16/2023 dejó pendiente fue, precisamente, la estructura interna: la composición y funciones del Consejo Consultivo, el régimen de las unidades administrativas, las potestades inspectoras en detalle y el régimen económico completo. Todo eso lo cubre ahora el Estatuto.

Qué aporta el Estatuto en la práctica

Una presidencia con competencias ejecutivas completas. La Presidencia concentra la potestad normativa (directrices y circulares), la potestad inspectora, la representación en juicio cuando no hay intereses contrapuestos con el Gobierno Vasco, y la aprobación de la relación de puestos de trabajo. Sus actos agotan la vía administrativa y son susceptibles de recurso contencioso-administrativo, sin perjuicio del recurso potestativo de reposición.

Un Consejo Consultivo con función de contrapeso. Siete miembros —designados por el Parlamento Vasco, el Gobierno Vasco, la Asociación de Municipios Vascos y la representación sindical— con mandatos de cuatro años y cese solo por causas tasadas. El Consejo informa con carácter preceptivo las circulares, la relación de puestos de trabajo y las nuevas unidades administrativas. No tiene potestad ejecutiva, pero su participación en los procedimientos normativos internos es obligatoria y no delegable.

Circulares con procedimiento garantista. La Presidencia puede dictar circulares que fijen criterios de actuación en aplicación del RGPD. Son obligatorias para lo sujetos sometidos a la Ley de la AVPD, conforme al artículo 15 de esta. El procedimiento establecido en el Estatuyo exige informe técnico, informe jurídico de la unidad de asesoría, audiencia e información pública durante al menos quince días hábiles —reducibles a siete por razones motivadas— y dictamen del Consejo Consultivo antes de la aprobación final. La aprobación corresponde a la Presidencia y no es delegable. Las circulares se publican en el BOPV.

Inspección con habilitación explícita sobre IA y sistemas algorítmicos. El capítulo III del Estatuto detalla las facultades inspectoras ya previstas en la Ley 16/2023 y añade una mención que no estaba en el texto legal con esta nitidez: los inspectores podrán auditar «sistemas de inteligencia artificial y sistemas algorítmicos». Esto no es una novedad competencial —el RGPD y la Ley Orgánica 3/2018 ya permitían ese control—, pero sí una habilitación estatutaria explícita que refuerza la posición de la AVPD frente a los organismos supervisados. Las actuaciones previas de investigación por medios digitales pueden durar hasta dieciocho meses (artículo 38.1 de la Ley 16/2023).

Independencia presupuestaria formalizada. La Autoridad elabora y aprueba su propio anteproyecto de presupuesto, que se integra de forma autónoma en los Presupuestos Generales de Euskadi. La relación de puestos de trabajo la aprueba la Presidencia, previo informe del Consejo Consultivo, sin intervención del departamento al que está adscrita. En teoría, esto cierra el espacio para la dependencia material que puede vaciar de contenido la independencia orgánica.

Funcionarios con deber de secreto indefinido: El personal de la Autoridad será funcionario, sujeto a la legislación de empleo público vasco. Y el artículo 25.5 establece explícitamente la obligación de guardar secreto sobre las informaciones conocidas en el ejercicio de sus funciones, incluso después de haber cesado en estas: el deber de sigilo no termina con la relación de servicio.

Qué no cambia para quienes tratan datos

Para las entidades del sector público vasco sujetas a la AVPD —administraciones locales, organismos autónomos, entidades públicas empresariales, universidades públicas, entre otros—, o para los sujetos privados que tratan datos en el marco de contratos celebrados con aquellas, el Estatuto no introduce nuevas obligaciones materiales. Las obligaciones ya estaban en el RGPD, en la Ley Orgánica 3/2018 y en la Ley Orgánica 7/2021. Lo que cambia es el organismo que tiene que hacerlas cumplir: pasa de ser una estructura en construcción a tener una organización consolidada, con unidades definidas, facultades inspectoras explicitadas y procedimientos normativos propios.

En términos prácticos eso significa dos cosas. Primera, que los DPO y responsables de tratamiento del sector público vasco deben esperar una actividad supervisora más intensa: la AVPD tiene ahora las herramientas formales para ejercerla. Segunda, que las circulares que dicte la Presidencia serán de obligado cumplimiento y se publicarán en el BOPV, por lo que habrá que seguirlas con la misma atención que cualquier otra norma.