Artículo 7. LEY 3/2026, de 14 de mayo, País Vasco, Transparencia de Euskadi

1.– En la elaboración de la información pública, y previamente a su entrega o publicación, se aplicarán las siguientes normas o criterios, atendiendo a su naturaleza y finalidad:

a) Se observarán los principios de protección de datos, especialmente los referidos al principio de minimización de datos personales y la limitación del plazo de conservación.

b) Se adoptarán aquellas medidas técnicas y organizativas que garanticen y acrediten que el tratamiento es conforme con la normativa de protección de datos en relación con el cumplimiento de esta ley.

c) Se aplicarán igualmente los principios de protección de datos en la elaboración de la información pública, desde su diseño y por defecto.

d) Cuando se publiquen datos o información en la que se hayan disociado los datos que identifiquen personas, se realizará un análisis para comprobar que no es posible revertir el proceso de disociación, o que requeriría esfuerzos desproporcionados teniendo en cuenta el estado de la técnica.

e) Se realizará una evaluación de impacto en relación con la protección de datos personales, y, en su caso, se solicitará un informe al delegado o delegada de protección de datos de la entidad correspondiente cuando el tratamiento de datos esté referido a categorías especiales de datos, menores de edad, víctimas de violencia de género, personas en situación de exclusión social o de vulnerabilidad y otros supuestos equiparables, y también a aquellos que impliquen riesgos para la seguridad personal.

f) Se aplicarán los criterios contenidos en la normativa de protección de datos personales sobre la forma en que se deben identificar las personas interesadas en las notificaciones de anuncios y publicaciones de actos administrativos.

2.– En el portal de transparencia se debe proporcionar información sobre protección de datos en un apartado visible, que debe contener, al menos, la política de protección de datos del portal, los datos de contacto del delegado o delegada de protección de datos, así como los de la Autoridad Vasca de Protección de Datos, y los procedimientos para el ejercicio de los derechos regulados por la normativa sobre protección de datos, especialmente el derecho a la supresión de datos o derecho al olvido.

3.– Aquellas personas o entidades que recopilen datos e información publicados en el portal de transparencia o facilitados en virtud de solicitudes del derecho de acceso a la información pública son responsables del uso o tratamiento que realicen y responderán de las infracciones de la normativa sobre protección de datos que puedan cometer.

4.– Cuando se pretenda llevar a cabo un tratamiento de datos personales que implique su publicación a través de Internet, la persona responsable del tratamiento deberá realizar con carácter previo un informe razonado en el que se deje constancia de la ponderación realizada de conformidad con los principios establecidos en el artículo 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Dicho informe no será necesario cuando se hubiese aprobado una política de privacidad específica para este tipo de tratamientos en la que se haya realizado dicha ponderación y esta se encontrase accesible en la sede electrónica de la respectiva entidad.

5.– Cuando se solicite información pública que contenga datos de carácter personal, el régimen aplicable es el previsto en la normativa aplicable en materia de transparencia y acceso a la información pública y en la normativa general de protección de datos.

En el supuesto de que el órgano o entidad al cual se haya solicitado la información lo estime conveniente por tener dudas razonables sobre la procedencia de facilitar la información por la posible afectación del derecho de protección de datos, puede solicitar un informe al respecto al delegado o delegada de protección de datos, siempre que la entidad disponga de esta figura en virtud de la normativa aplicable.

6.– Lo dispuesto en este artículo es aplicable a los tratamientos y a las publicaciones que se realicen en cumplimiento de esta ley.