L'Autoritat Catalana de Protecció de Dades (APDCAT) és un organisme independent que vetlla per garantir, en l'àmbit de les competències de la Generalitat, els drets a la protecció de dades personals i d'accés a la informació que hi està vinculada. Des d'aquest organisme, s'informa sobre quins són els drets en aquesta matèria, com s'exerceixen i què s'ha de fer si no es respecten. L’APDCAT també informa i assessora sobre les obligacions que preveu la legislació i controla que les entitats les compleixin.
L'àmbit d'actuació de l'Autoritat Catalana de Protecció de Dades comprèn els fitxers i els tractaments que duen a terme:
- Les institucions públiques.
- L'Administració de la Generalitat.
- Els ens locals.
- Les entitats autònomes, els consorcis i les altres entitats de dret públic vinculades a l'Administració de la Generalitat o als ens locals, o que en depenen.
- Les entitats de dret privat que compleixen, com a mínim, un dels tres requisits següents amb relació a la Generalitat, als ens locals o als ens que en depenen:
- El seu capital pertany majoritàriament als ens públics esmentats.
- Els seus ingressos pressupostaris provenen majoritàriament dels ens públics esmentats.
- En els seus òrgans directius, els membres designats per aquests ens públics són majoria.
- Les altres entitats de dret privat que presten serveis públics per mitjà de qualsevol forma de gestió directa o indirecta, si es tracta de fitxers i tractaments vinculats a la prestació d'aquests serveis.
- Les universitats públiques i privades que integren el sistema universitari català, i els ens que en depenen.
- Les persones físiques o jurídiques que compleixen funcions públiques amb relació a matèries que són competència de la Generalitat o dels ens locals, si es tracta de fitxers o tractaments destinats a exercir aquestes funcions i el tractament es duu a terme a Catalunya.
- Les corporacions de dret públic que compleixen les seves funcions exclusivament en l'àmbit territorial de Catalunya, als efectes del que estableix aquesta llei.
Dins d’aquest marc competencial, les funcions de l’Autoritat Catalana de Protecció de Dades són les següents:
a) Controlar i garantir l’aplicació del Reglament general de protecció de dades (RGPD).
b) Promoure la sensibilització i la comprensió del públic respecte dels riscos, les normes, les garanties i els drets relacionats amb el tractament. Les activitats adreçades específicament als nens han de ser objecte d’una atenció especial.
c) Assessorar, de conformitat amb el dret dels estats membres, el parlament nacional, el govern i altres institucions i organismes, sobre les mesures legislatives i administratives relatives a la protecció dels drets i les llibertats de les persones físiques pel que fa al tractament.
d) Promoure la sensibilització dels responsables i els encarregats del tractament sobre les obligacions que els corresponen en virtut d’aquest Reglament.
e) Prèvia sol·licitud, facilitar informació a qualsevol interessat sobre l'exercici dels seus drets, en virtut del que disposa aquest Reglament, i si escau cooperar amb les autoritats de control d'altres estats membres amb aquesta finalitat.
f) Tramitar les reclamacions presentades per un interessat o per un organisme, una organització o una associació, de conformitat amb l'article 80 de l’RGPD; així mateix, investigar el motiu de la reclamació i informar el reclamant sobre el curs i el resultat de la investigació en un termini raonable, en particular si cal una nova investigació o una coordinació més estreta amb una altra autoritat de control.
g) Cooperar amb altres autoritats de control, en particular compartint informació, i prestar assistència mútua amb la finalitat de garantir la coherència en l'aplicació i l’execució de l’RGPD.
h) Dur a terme investigacions sobre l'aplicació de l’RGPD, en particular d’acord amb la informació rebuda d'una altra autoritat de control o d’una altra autoritat pública.
i) Fer un seguiment de canvis rellevants que tenen incidència en la protecció de dades personals, en particular els relatius al desenvolupament de les tecnologies de la informació i la comunicació i a les pràctiques comercials.
j) Adoptar les clàusules contractuals tipus esmentades a l'article 28, apartat 8, i a l'article 46, apartat 2, lletra d), de l’RGPD.
k) Elaborar i mantenir una llista relativa al requisit de l'avaluació d'impacte relativa a la protecció de dades, en virtut de l’article 35, apartat 4, de l’RGPD.
l) Oferir assessorament sobre les operacions de tractament que preveu l'article 36, apartat 2, de l’RGPD.
m) Encoratjar l'elaboració de codis de conducta, de conformitat amb l’article 40, apartat 1, de l’RGPD, i dictaminar i aprovar els codis de conducta que ofereixen garanties suficients, de conformitat amb l’article 40, apartat 5, de l’RGPD.
n) Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades, de conformitat amb l’article 42, apartat 1, de l’RGPD, i aprovar els criteris de certificació, de conformitat amb l'article 42, apartat 5, de l’RGPD.
o) Dur a terme, si escau, una revisió periòdica de les certificacions expedides en virtut del que disposa l’article 42, apartat 7, de l’RGPD.
p) Elaborar i publicar els criteris per acreditar els organismes de supervisió dels codis de conducta, de conformitat amb l’article 41 de l’RGPD, i dels organismes de certificació, de conformitat amb l’article 43 de l’RGPD.
q) Acreditar els organismes de supervisió dels codis de conducta, de conformitat amb l’article 41 de l’RGPD, i els organismes de certificació, de conformitat amb l’article 43 del mateix Reglament.
r) Autoritzar les clàusules contractuals i les disposicions a què es refereix l'article 46, apartat 3, de l’RGPD.
s) Aprovar normes corporatives vinculants, de conformitat amb el que disposa l'article 47 de l’RGPD.
t) Contribuir a les activitats del Comitè europeu de protecció de dades.
o) Portar registres interns de les infraccions de l’RGPD i de les mesures que s’han adoptat, de conformitat amb l'article 58, apartat 2 del Reglament.
v) Dur a terme qualsevol altra funció relacionada amb la protecció de les dades personals.
En aquest sentit, la Llei 32/2010, de l'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades, entre d’altres funcions regula les de:
- Respondre les consultes que formulen les entitats del seu àmbit d'actuació sobre la protecció de dades de caràcter personal en poder de les administracions públiques i col·laborar amb aquestes entitats, en la difusió de les obligacions derivades de la legislació reguladora d'aquestes matèries.
- Emetre l’informe preceptiu sobre les disposicions que afecten la protecció de dades de caràcter personal.
- Elaborar plans d'auditoria.