La Autoridad Catalana de Protección de Datos (APDCAT) es un organismo independiente que vela para garantizar, en el ámbito de las competencias de la Generalitat, los derechos a la protección de datos personales y de acceso a la información que está vinculada. Desde este organismo, se informa sobre cuáles son los derechos en esta materia, cómo se ejercen y qué se debe hacer si no se respetan. La APDCAT también informa y asesora sobre las obligaciones que prevé la legislación y controla que las entidades las cumplan.
El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:
- Las instituciones públicas.
- La Administración de la Generalitat.
- Los entes locales.
- Las entidades autónomas, los consorcios y las otras entidades de derecho público vinculadas a la Administración de la Generalitat o a los entes locales, o que dependen.
- Las entidades de derecho privado que cumplen, como mínimo, uno de los tres requisitos siguientes con relación a la Generalitat, a los entes locales o a los entes que dependen:
- Su capital pertenece mayoritariamente a los entes públicos mencionados.
- Sus ingresos presupuestarios provienen mayoritariamente de los entes públicos mencionados.
- En sus órganos directivos, los miembros designados por estos entes públicos son mayoría.
- Las otras entidades de derecho privado que prestan servicios públicos por medio de cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de estos servicios.
- Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que dependen.
- Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalitat o de los entes locales, si se trata de ficheros o tratamientos destinados a ejercer estas funciones y el tratamiento se lleva a cabo en Cataluña.
- Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña, a los efectos de lo que establece esta ley.
Dentro de este marco competencial, las funciones de la Autoridad Catalana de Protección de Datos son las siguientes:
a) Controlar y garantizar la aplicación del Reglamento General de Protección de Datos (RGPD).
b) Promover la sensibilización y la comprensión del público respecto de los riesgos, las normas, las garantías y los derechos relacionados con el tratamiento. Las actividades dirigidas específicamente a los niños debe ser objeto de una atención especial.
c) Asesorar, de conformidad con el derecho de los estados miembros, el parlamento nacional, el gobierno y otras instituciones y organismos, sobre las medidas legislativas y administrativas relativas a la protección de los derechos y las libertades de las personas físicas con respecto al tratamiento.
d) Promover la sensibilización de los responsables y los encargados del tratamiento sobre las obligaciones que les corresponden en virtud de este Reglamento.
e) Previa solicitud, facilitar información a cualquier interesado sobre el ejercicio de sus derechos, en virtud de lo que dispone este Reglamento, y si procede cooperar con las autoridades de control de otros estados miembros con esta finalidad.
f) Tramitar las reclamaciones presentadas por un interesado o por un organismo, una organización o una asociación, de conformidad con el artículo 80 del RGPD; asimismo, investigar el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si es necesaria una nueva investigación o una coordinación más estrecha con otra autoridad de control.
g) Cooperar con otras autoridades de control, en particular compartiendo información, y prestar asistencia mutua con la finalidad de garantizar la coherencia en la aplicación y la ejecución del RGPD.
h) Llevar a cabo investigaciones sobre la aplicación del RGPD, en particular de acuerdo con la información recibida de otra autoridad de control o de otra autoridad pública.
i) Hacer un seguimiento de cambios relevantes que tienen incidencia en la protección de datos personales, en particular los relativos al desarrollo de las tecnologías de la información y la comunicación y a las prácticas comerciales.
j) Adoptar las cláusulas contractuales tipo mencionadas en el artículo 28, apartado 8, y en el artículo 46, apartado 2, letra d), del RGPD.
k) Elaborar y mantener una lista sobre el requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4, del RGPD.
l) Ofrecer asesoramiento sobre las operaciones de tratamiento que prevé el artículo 36, apartado 2, del RGPD.
m) Animar la elaboración de códigos de conducta, de conformidad con el artículo 40, apartado 1, del RGPD, y dictaminar y aprobar los códigos de conducta que ofrecen garantías suficientes, de conformidad con el artículo 40, apartado 5, del RGPD.
n) Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos, de conformidad con el artículo 42, apartado 1, del RGPD, y aprobar los criterios de certificación, de conformidad con el artículo 42, apartado 5, del RGPD.
o) Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud de lo que dispone el artículo 42, apartado 7, del RGPD.
p) Elaborar y publicar los criterios para acreditar los organismos de supervisión de los códigos de conducta, de conformidad con el artículo 41 del RGPD, y de los organismos de certificación, de conformidad con el artículo 43 del RGPD.
q) Acreditar los organismos de supervisión de los códigos de conducta, de conformidad con el artículo 41 del RGPD, y los organismos de certificación, de conformidad con el artículo 43 del mismo Reglamento.
r) Autorizar las cláusulas contractuales y las disposiciones a que se refiere el artículo 46, apartado 3, del RGPD.
s) Aprobar normas corporativas vinculantes, de conformidad con lo que dispone el artículo 47 del RGPD.
t) Contribuir a las actividades del Comité Europeo de Protección de Datos.
o) Llevar registros internos de las infracciones del RGPD y de las medidas que se han adoptado, de conformidad con el artículo 58, apartado 2 del Reglamento.
v) Llevar a cabo cualquier otra función relacionada con la protección de los datos personales.
En este sentido, la Ley 32/2010, del 1 de octubre, de la Autoridad Catalana de Protección de Datos, entre otras funciones regula las de:
- Responder las consultas que formulan las entidades de su ámbito de actuación sobre la protección de datos de carácter personal en poder de las administraciones públicas y colaborar con estas entidades, en la difusión de las obligaciones derivadas de la legislación reguladora de estas materias.
- Emitir el informe preceptivo sobre las disposiciones que afectan a la protección de datos de carácter personal.
- Elaborar planes de auditoría.