• Imprimeix

Serveis de l'Autoritat

L'Autoritat Catalana de Protecció de Dades ofereix un servei de consultoria personalitzat a les institucions que són dins el seu àmbit de competència i que volen adequar la seva actuació a la normativa de protecció de dades.

Poden sol·licitar aquest servei:

  • Tots els òrgans, els organismes i les entitats vinculats o dependents de les institucions públiques de Catalunya, de l'Administració de la Generalitat, dels ens locals de Catalunya, de les universitats de Catalunya i de les corporacions de dret públic que exerceixen les seves funcions exclusivament a Catalunya, que, d'acord amb l'article 156 de l'Estatut d'autonomia de Catalunya (EAC), formen part de l'àmbit d'actuació de l'APDCAT. 
  • Les persones físiques o jurídiques que, d'acord amb qualsevol conveni, contracte o disposició normativa, gestionin serveis públics o exerceixin funcions públiques, sempre que en aquest darrer cas el tractament es faci a Catalunya i sigui en relació amb matèries de la competència de la Generalitat de Catalunya o dels ens locals de Catalunya. 

El servei de consultoria està adreçat als responsables dels fitxers i tractaments, als encarregats del tractament i a les entitats i consultores que els assessoren.

L'objectiu principal d'aquest servei és donar suport continuat a tots els projectes d'adequació a la normativa de protecció de dades personals. Es pot demanar assessorament en el moment d'iniciar un nou projecte que tingui impacte en l'àmbit de protecció de dades o en qualsevol altre moment del tractament de dades personals.

Aquest servei dóna suport a les institucions al llarg del procés d'adequació mitjançant reunions periòdiques segons les necessitats de cada entitat i resol els dubtes que hi puguin sorgir.

L'objectiu d'aquest servei és ajudar totes les entitats que ho necessitin en els processos d'adequació a la normativa de protecció de dades en un sentit ampli, tot intentant simplificar les actuacions sempre dins del respecte al dret fonamental a la protecció de dades personals.

Per sol·licitar el servei de consultoria, cal que adreceu la vostra petició per correu electrònic a:

serveideconsultoria.apdcat@gencat.cat

 

 

Pla de formació estratègica APDCAT 2018-2020

L’any 2018, hem posat en marxa el Pla de formació de l’APDCAT per al període 2018-2020, amb la finalitat de donar resposta a les necessitats formatives del nostre marc competencial, especialment tenint en compte que a partir del 25 de maig el Reglament general de protecció de dades és de plena aplicació. 

El Pla s’estructura en tres línies d’actuació diferenciades: 

Una primera, integrada per accions formatives en matèria de protecció de dades, adreçades als directius, comandaments, responsables i encarregats de protecció de dades de l’Administració de la Generalitat, d’institucions públiques, dels ens locals, de les universitats públiques i privades que integren el sistema universitari català i de la  resta d’entitats públiques de Catalunya (d’acord amb l’article 3 de la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades). 

Aquesta formació es fruit de la col·laboració entre l’APDCAT i l’Escola d’Administració Pública de Catalunya (EAPC).

 Aquestes accions s’adrecen principalment a: 

  • Directius  i responsables del tractament de l’Administració i de les entitats públiques, per conscienciar-los de les obligacions que  s’han de complir d’acord amb el nou RGPD.
  • Responsables tècnics de protecció de dades d’aquests organismes, que rebran una formació especialitzada d’acord amb les funcions que tenen assignades dins de les seves organitzacions. Són, principalment, el responsable de gestió de la informació, el delegat de protecció de dades i els usuaris amb accés a dades personals.

La segona línia d’actuació del Pla consisteix a desenvolupar accions formatives de protecció de dades, de caràcter sectorial.

Aquesta formació s’adreça específicament al personal de la Generalitat de Catalunya del sector sanitari, educatiu i de serveis socials.

En l’àmbit educatiu, continuarem impulsant el projecte de menors, iniciat l’any 2015, amb l’objectiu de conscienciar els menors i el seu entorn sobre la gestió responsable de les dades personals, quan utilitzen les tecnologies i Internet. Aquest projecte pretén generar debat i implicar els menors i els centres educatius en l’elaboració d’unes pautes comunes per créixer i conviure en l’actual món digital. 

La tercera línia d’actuació del Pla consisteix en la formació interna dels treballadors de l’APDCAT, amb dos àmbits d’actuació diferenciats: 

  • Un àmbit de formació bàsica en matèria de protecció de dades, per a tot personal, i d’actualització i aprofundiment, adaptada a les funcions de cada Àrea. 
  • Un altre àmbit de formació específica per als treballadors de les diferents àrees, inclosa en l’oferta de l’EAPC i del Departament de Governació, sobre les matèries següents:

        Dret

        Gestió econòmica

        Recursos humans

        Llenguatge jurídic

        Administració electrònica 

El catàleg de cursos de totes les línies d’actuació estarà integrat per accions en modalitat presencial, semipresencial, virtual i d’autoaprenentatge.

Elaboració de dictàmens, instruccions i recomanacions

L'Autoritat Catalana de Protecció de Dades emet dictàmens per respondre les consultes trameses pels responsables o els delegats de protecció de dades de les entitats que formen part del seu àmbit de competència. Les consultes poden ser sobre una problemàtica o un tema concret en matèria de protecció de dades i, en el cas dels ens locals, també poden demanar, amb caràcter potestatiu, un informe sobre els projectes de disposició de caràcter general que tinguin impacte en matèria de protecció de dades de caràcter personal. Poden plantejar consultes a l'APDCAT:

  • Les institucions públiques, l’Administració de la Generalitat i els ens locals de Catalunya. 
  • Tots els òrgans, els organismes i les entitats vinculats o dependents de les institucions públiques de Catalunya, de l'Administració de la Generalitat, dels ens locals de Catalunya, de les universitats de Catalunya i de les corporacions de dret públic que exerceixen les seves funcions exclusivament a Catalunya. 
  • Les persones físiques o jurídiques que, d'acord amb qualsevol conveni, contracte o disposició normativa, gestionin serveis públics o exerceixin funcions públiques, sempre que en aquest darrer cas el tractament es faci a Catalunya i sigui en relació amb matèries de la competència de la Generalitat de Catalunya o dels ens locals de Catalunya.

Podeu accedir al tràmit electrònic a través d’aquest enllaç.

L’Autoritat Catalana de Protecció de Dades ofereix assessorament quan se li formuli una consulta prèvia en els supòsits següents, previstos a l’article 36 del RGPD:

  1. a) Amb caràcter previ a l’inici del tractament quan s’hagi elaborat una avaluació d’impacte sobre la protecció de dades de la qual en resulti que hi ha un alt risc si el responsable no pren mesures per mitigar-lo. 
  1. b) En el procés d’elaboració de qualsevol proposta de mesura legislativa que hagi d’adoptar el Parlament de Catalunya o una mesura reglamentària basada en aquesta mesura legislativa, que es refereixi al tractament. 
  1. c) Els altres casos en els quals una norma amb rang de llei obligui el responsable del tractament a consultar l’autoritat de control i obtenir la seva autorització prèvia en relació amb un tractament fet en exercici d’una missió en interès públic. 

Podeu accedir al tràmit electrònic a través d’aquest enllaç.

L’Autoritat Catalana de Protecció de Dades exerceix les competències que preveu l’RGPD en matèria de transferències internacionals. Això comprèn:

Correspon a l’Autoritat Catalana de Protecció de Dades aprovar els codis de conducta que promoguin, per especificar l’aplicació de l’RGPD i altra normativa aplicable, les associacions i altres organismes representatius de categories de responsables o encarregats del tractament, o directament els responsables i encarregats del tractament, del seu àmbit d’actuació.

Si el codi de conducta guarda relació amb activitats de tractament en varis estats membres, l’Autoritat Catalana de Protecció de Dades, amb caràcter previ a la seva aprovació, l’ha de presentar al Comitè Europeu de Protecció de Dades, pel procediment previst a l’article 63 de l’RGPD,  perquè elabori un dictamen sobre la seva conformitat amb l’RGPD i, si escau, sobre si ofereix garanties adequades per transferir dades a tercers països o organitzacions internacionals i, en cas de ser favorable, el presenti a la Comissió Europea per a la seva aprovació.

Podeu demanar l’aprovació d’un codi de conducta a través d’aquest enllaç (properament disponible).

L'Autoritat Catalana de Protecció de Dades, a través de l'Àrea d'Inspecció, verifica que els responsables i els encarregats del tractament compleixin la legislació vigent en matèria de protecció de dades de caràcter personal. També controla les vulneracions d'aquest dret fonamental i adopta les mesures necessàries per garantir-lo. 

L'Àrea d'Inspecció tutela l'exercici dels drets de les persones, en concret l'exercici dels drets d'accés, rectificació, supressió, oposició, limitació i portabilitat (drets habeas data), i vetlla perquè siguin efectius dins l'àmbit d'actuació de l'Autoritat. Així, supervisa l’actuació de: 

  • Tots els òrgans, organismes i entitats vinculats o dependents de les institucions públiques de Catalunya, de l'Administració de la Generalitat, dels ens locals de Catalunya, de les universitats de Catalunya i de les corporacions de dret públic que exerceixen les seves funcions exclusivament a Catalunya, que, d'acord amb l'article 156 de l'Estatut d'autonomia de Catalunya (EAC), formen part de l'àmbit d'actuació de l'APDCAT. 
  • Les persones físiques o jurídiques que, d'acord amb un conveni, contracte o disposició normativa, gestionin serveis públics o exerceixin funcions públiques; en aquest darrer cas, si el tractament es fa a Catalunya i en relació amb matèries de la competència de la Generalitat de Catalunya o dels ens locals de Catalunya. 

Les persones que exerceixen qualsevol dels drets habeas data davant el responsable o l'encarregat i no n’obtenen resposta en el termini previst, o la resposta és totalment o parcialment insatisfactòria, poden presentar una reclamació davant l'Autoritat, que s'assegurarà de si la denegació és procedent o improcedent.

Qualsevol actuació contrària al que disposa la normativa vigent en matèria de protecció de dades es pot denunciar davant l'Autoritat.

Per obtenir més informació i accedir als models d'escrit que posem a la vostra disposició, cal que consulteu l'apartat Reclamar i denunciar.

Les reclamacions i les denúncies adreçades a l'Agència Espanyola de Protecció de Dades es poden presentar també davant l'APDCAT, que s'encarregarà de traslladar-les a aquella institució. 

Les entitats responsables de fitxers, incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades, poden sol·licitar a l’APDCAT una còpia del contingut dels seus fitxers inscrits al Registre de Protecció de Dades de Catalunya. 

La còpia del contingut es pot lliurar, segons la seva preferència, en format EXCEL o XML amb la descripció completa dels fitxers que tenen inscrits al RPDC.

La petició s’ha de formalitzar mitjançant un formulari electrònic.

Per a més informació, consulteu aquest enllaç.

Atès que el Reglament general de protecció de dades estableix la necessitat de nomenar un delegat de protecció de dades, les entitats incloses dins l’àmbit d’actuació de l’APDCAT que el nomenin han de comunicar aquesta designació a l’Autoritat abans del 25 de maig de 2018. Així mateix, cal que mantinguin actualitzades les dades comunicades.

Per a més informació sobre com comunicar la designació a l’APDCAT, consulteu aquest enllaç.

Si es produeix una violació de seguretat de les dades, les entitats responsables de tractaments incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades han de notificar-la sense dilació indeguda i, si és possible, en un termini màxim de 72 hores després que n’hagin tingut constància. Això, tret que sigui improbable que la violació de seguretat constitueixi un risc per als drets i les llibertats de les persones físiques (art. 33 RGPD). 

El responsable ha de documentar totes les violacions de seguretat, tant si és preceptiu notificar-les a l’APDCAT com si no. En concret, ha de fer constar tota la informació relativa als fets, els efectes i les mesures correctores adoptades. Aquesta documentació ha d’estar a disposició de l’APDCAT (art. 33.5 RGPD). 

La notificació de la violació de seguretat s’ha de presentar mitjançant el formulari de notificació. Un cop emplenat i signat electrònicament, el formulari s'ha de trametre (juntament amb la documentació que correspongui, si és el cas) d’acord amb el que s’indica a continuació: 

-    Les entitats que estan donades d'alta a la plataforma EACAT han de presentar el formulari mitjançant el tràmit Notificacions de violacions de seguretat d'aquesta plataforma. 

-    La resta d'entitats l'han de presentar a través d’aquest tràmit de la seu electrònica de l’Autoritat. 

-    Els subjectes que no estan obligats a relacionar-se electrònicament amb les administracions públiques, també ho poden fer mitjançant qualsevol dels altres mitjans a què es refereix l’article 16.4 de la Llei 30/2015, de l’1 d’octubre, de procediment administratiu comú de les administracions públiques.  

Per completar la informació sobre les NVS i la comunicació als afectats (art. 33 i 34 RGPD), consulteu aquest enllaç