Serveis de l'Autoritat

L'Autoritat Catalana de Protecció de Dades ofereix un servei de consultoria personalitzat a les institucions que són dins el seu àmbit de competència i que volen adequar la seva actuació a la normativa de protecció de dades.

Poden sol·licitar aquest servei tots els òrgans, els organismes i les entitats que formen part de l'àmbit d'actuació de l'APDCAT. Des del 25 de maig de 2018 amb la plena aplicabilitat del RGPD, el Delegat de Protecció de Dades dels responsables i encarregats del tractament actúa com a punt de contacte de l’APDCAT.

L'objectiu principal d'aquest servei és donar suport puntual o continuat als projectes d'adequació a la normativa de protecció de dades personals. Es pot demanar assessorament en el moment d'iniciar un nou projecte que tingui impacte en l'àmbit de protecció de dades o en qualsevol altre moment del tractament de dades personals.

Per sol·licitar el servei de consultoria, podeu adreçar-nos la vostra petició per correu electrònic a: serveideconsultoria.apdcat@gencat.cat

Informació sobre el tractament de dades: Les dades de contacte i les relatives a la vostra consulta seran tractades per Autoritat Catalana de Protecció de Dades amb la finalitat de tramitar la vostra petició. Podeu accedir a les vostres dades, sol·licitar-ne la rectificació o supressió, oposar-vos al tractament i sol·licitar-ne la limitació, enviant la vostra sol·licitud a l’adreça de l’APDCAT o mitjançant la seva seu electrònica. Per obtenir més informació podeu clicar aquí.

Pla de formació APDCAT 2022-2024

L’Autoritat Catalana de Protecció de Dades té entre les seves línies estratègiques la formació i conscienciació en matèria de protecció de dades, amb la finalitat que s’assoleixi un compliment efectiu de les obligacions i garanties establertes a la normativa de protecció de dades.

El Pla s’estructura en tres línies d’actuació diferenciades:

Una primera, integrada per accions formatives en matèria de protecció de dades, adreçades a les persones que ocupen càrrecs directius, als comandaments i a les persones responsables i encarregades de la protecció de dades de l’Administració de la Generalitat, d’institucions públiques, dels ens locals, de les universitats públiques i privades que integren el sistema universitari català i de la resta d’entitats públiques de Catalunya (d’acord amb l’article 3 de la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades).

Aquesta formació és fruit de la col·laboració entre l’APDCAT i l’Escola d’Administració Pública de Catalunya (EAPC) i s’adreça especialment a:

• Delegats i delegades de protecció de dades del sector públic, amb l’objectiu de consolidar un coneixement profund i dinàmic de la normativa de protecció de dades.
• Persones que ocupen càrrecs directius i responsables del tractament de l’Administració i de les entitats públiques, per conscienciar-les de les obligacions que cal complir d’acord amb el Reglament general de protecció de dades.
• Persones responsables tècniques de protecció de dades d’aquests organismes, que rebran una formació especialitzada d’acord amb les funcions que tenen assignades dins de les seves organitzacions. Són, principalment, les persones responsables de la gestió de la informació i les persones usuàries que tenen accés a dades personals.

Així mateix, es desenvolupa una segona línia d’actuació amb accions formatives de protecció de dades de caràcter sectorial, en entorns especialment sensibles i que tracten informació de col·lectius vulnerables. Aquesta formació s’adreça específicament al personal de la Generalitat de Catalunya del sector sanitari, educatiu i de serveis socials.

En l’àmbit educatiu, continuarem impulsant el projecte de menors iniciat l’any 2015, amb l’objectiu de conscienciar aquest col·lectiu i el seu entorn sobre la gestió responsable de les dades personals, quan utilitzen les tecnologies i internet.

La tercera línia d’actuació del Pla és la formació interna del personal de l’APDCAT, elaborada a partir de la detecció de les necessitats formatives en les matèries següents:

• Protecció de dades i seguretat de la informació
• Transparència i accés a la informació
• Procediment administratiu
• Administració electrònica
• Gestió econòmica
• Recursos humans
• Idiomes

Les activitats formatives incloses als catàlegs dels plans de formació es desenvolupen en les modalitats presencial, semipresencial, virtual i d’autoaprenentatge.

Elaboració de dictàmens, instruccions i recomanacions

L'Autoritat Catalana de Protecció de Dades emet dictàmens per respondre les consultes trameses pels responsables o els delegats de protecció de dades de les entitats que formen part del seu àmbit de competència. Les consultes poden ser sobre una problemàtica o un tema concret en matèria de protecció de dades i també es pot demanar, amb caràcter potestatiu, un informe sobre els projectes de disposició de caràcter general que tinguin impacte en matèria de protecció de dades de caràcter personal. Poden plantejar consultes a l'APDCAT:

• Les institucions públiques, l’Administració de la Generalitat i els ens locals de Catalunya. 

• Tots els òrgans, els organismes i les entitats vinculats o dependents de les institucions públiques de Catalunya, de l'Administració de la Generalitat, dels ens locals de Catalunya, de les universitats de Catalunya i de les corporacions de dret públic que exerceixen les seves funcions exclusivament a Catalunya. 

• Les persones físiques o jurídiques que, d'acord amb qualsevol conveni, contracte o disposició normativa, gestionin serveis públics o exerceixin funcions públiques, sempre que en aquest darrer cas el tractament es faci a Catalunya i sigui en relació amb matèries de la competència de la Generalitat de Catalunya o dels ens locals de Catalunya.

Podeu accedir al tràmit electrònic a través d’aquest enllaç.

L’Autoritat Catalana de Protecció de Dades ofereix assessorament quan se li formuli una consulta prèvia en els supòsits següents, previstos a l’article 36 del RGPD:

a) Amb caràcter previ a l’inici del tractament quan s’hagi elaborat una avaluació d’impacte sobre la protecció de dades de la qual en resulti que hi ha un alt risc si el responsable no pren mesures per mitigar-lo. 

b) En el procés d’elaboració de qualsevol proposta de mesura legislativa que hagi d’adoptar el Parlament de Catalunya o una mesura reglamentària basada en aquesta mesura legislativa, que es refereixi al tractament. 

c) Els altres casos en els quals una norma amb rang de llei obligui el responsable del tractament a consultar l’autoritat de control i obtenir la seva autorització prèvia en relació amb un tractament fet en exercici d’una missió en interès públic. 

Podeu accedir al tràmit electrònic a través d’aquest enllaç.

L’Autoritat Catalana de Protecció de Dades exerceix les competències que preveu l’RGPD en matèria de transferències internacionals. Això comprèn:

• Aprovació de normes corporatives vinculants
• Autorització de transferències internacionals de dades
• Comunicació de transferències internacionals de dades

Correspon a l’Autoritat Catalana de Protecció de Dades aprovar els codis de conducta que promoguin, per especificar l’aplicació de l’RGPD i altra normativa aplicable, les associacions i altres organismes representatius de categories de responsables o encarregats del tractament, o directament els responsables i encarregats del tractament, del seu àmbit d’actuació.

Si el codi de conducta guarda relació amb activitats de tractament en varis estats membres, l’Autoritat Catalana de Protecció de Dades, amb caràcter previ a la seva aprovació, l’ha de presentar al Comitè Europeu de Protecció de Dades, pel procediment previst a l’article 63 de l’RGPD,  perquè elabori un dictamen sobre la seva conformitat amb l’RGPD i, si escau, sobre si ofereix garanties adequades per transferir dades a tercers països o organitzacions internacionals i, en cas de ser favorable, el presenti a la Comissió Europea per a la seva aprovació.

Podeu demanar l’aprovació d’un codi de conducta a través d’aquest enllaç.

L'Autoritat Catalana de Protecció de Dades, a través de l'Àrea d'Inspecció, verifica que els responsables i els encarregats del tractament compleixin la legislació vigent en matèria de protecció de dades de caràcter personal. També controla les vulneracions d'aquest dret fonamental i adopta les mesures necessàries per garantir-lo. 

L'Àrea d'Inspecció tutela l'exercici dels drets de les persones, en concret l'exercici dels drets d'accés, rectificació, supressió, oposició, limitació i portabilitat (drets habeas data), i vetlla perquè siguin efectius dins l'àmbit d'actuació de l'Autoritat. Així, supervisa l’actuació de: 

• Tots els òrgans, organismes i entitats vinculats o dependents de les institucions públiques de Catalunya, de l'Administració de la Generalitat, dels ens locals de Catalunya, de les universitats de Catalunya i de les corporacions de dret públic que exerceixen les seves funcions exclusivament a Catalunya, que, d'acord amb l'article 156 de l'Estatut d'autonomia de Catalunya (EAC), formen part de l'àmbit d'actuació de l'APDCAT. 

• Les persones físiques o jurídiques que, d'acord amb un conveni, contracte o disposició normativa, gestionin serveis públics o exerceixin funcions públiques; en aquest darrer cas, si el tractament es fa a Catalunya i en relació amb matèries de la competència de la Generalitat de Catalunya o dels ens locals de Catalunya. 

Les persones que exerceixen qualsevol dels drets habeas data davant el responsable o l'encarregat i no n’obtenen resposta en el termini previst, o la resposta és totalment o parcialment insatisfactòria, poden presentar una reclamació davant l'Autoritat, que s'assegurarà de si la denegació és procedent o improcedent.

Qualsevol actuació contrària al que disposa la normativa vigent en matèria de protecció de dades es pot denunciar davant l'Autoritat.

Per obtenir més informació i accedir als models d'escrit que posem a la vostra disposició, cal que consulteu l'apartat Reclamar i denunciar.

Les reclamacions i les denúncies adreçades a l'Agència Espanyola de Protecció de Dades es poden presentar també davant l'APDCAT, que s'encarregarà de traslladar-les a aquella institució. 

Atès que el Reglament general de protecció de dades estableix la necessitat de nomenar un delegat de protecció de dades, les entitats incloses dins l’àmbit d’actuació de l’APDCAT que el nomenin han de comunicar aquesta designació a l’Autoritat, mitjançant el tràmit “Comunicació designació DPD” de la seu electrònica.

Els responsables i encarregats del tractament han de comunicar en el termini de deu dies les designacions, els nomenaments i els cessaments dels delegats de protecció de dades tant en els supòsits en què estiguin obligades a la seva designació com en el cas en què sigui voluntària.

Si es produeix una violació de seguretat de les dades, les entitats responsables de tractaments incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades han de notificar-la sense dilació indeguda i, si és possible, en un termini màxim de 72 hores després que n’hagin tingut constància. Això, tret que sigui improbable que la violació de seguretat constitueixi un risc per als drets i les llibertats de les persones físiques (art. 33 RGPD). 

El responsable ha de documentar totes les violacions de seguretat, tant si és preceptiu notificar-les a l’APDCAT com si no. En concret, ha de fer constar tota la informació relativa als fets, els efectes i les mesures correctores adoptades. Aquesta documentació ha d’estar a disposició de l’APDCAT (art. 33.5 RGPD). 

La notificació de la violació de seguretat s’ha de presentar mitjançant el formulari de notificació. Un cop emplenat i signat electrònicament, el formulari s'ha de trametre (juntament amb la documentació que correspongui, si és el cas) d’acord amb el que s’indica a continuació: 

- Les entitats que estan donades d'alta a la plataforma EACAT han de presentar el formulari mitjançant el tràmit Notificacions de violacions de seguretat d'aquesta plataforma. 

- La resta d'entitats l'han de presentar a través d’aquest tràmit de la seu electrònica de l’Autoritat. 

- Els subjectes que no estan obligats a relacionar-se electrònicament amb les administracions públiques, també ho poden fer mitjançant qualsevol dels altres mitjans a què es refereix l’article 16.4 de la Llei 30/2015, de l’1 d’octubre, de procediment administratiu comú de les administracions públiques.  

Per completar la informació sobre les NVS i la comunicació als afectats (art. 33 i 34 RGPD), consulteu aquest enllaç.