Servicios de la Autoridad

La Autoridad Catalana de Protección de Datos ofrece un servicio de consultoría personalizado a las instituciones que están dentro de su ámbito de competencia y que quieren adecuar su actuación a la normativa de protección de datos.

Pueden solicitar este servicio todos los órganos, organismos y entidades que forman parte del ámbito de actuación de la APDCAT. Desde el 25 de mayo de 2018 con la plena aplicabilidad del RGPD, el Delegado de Protección de Datos de los responsables y encargados del tratamiento actua como punto de contacto de la APDCAT.

El objetivo principal de este servicio es dar apoyo puntual o continuado los proyectos de adecuación a la normativa de protección de datos personales. Se puede solicitar asesoramiento en el momento de iniciar un nuevo proyecto que tenga impacto en el ámbito de protección de datos o en cualquier otro momento del tratamiento de datos personales.

Para solicitar el servicio de consultoría, pueden dirigirnos su petición por correo electrónico a: serveideconsultoria.apdcat@gencat.cat

Información sobre el tratamiento de datos: Los datos de contacto y los relativos a su consulta serán tratados por Autoridad Catalana de Protección de Datos con el fin de tramitar su petición. Puede acceder a sus datos, solicitar su rectificación o supresión, oponerse al tratamiento y solicitar su limitación, enviando su solicitud a la dirección de la APDCAT o mediante su sede electrónica. Para obtener más información puede pulsar aquí. 

Plan de formación APDCAT 2022-2024

La Autoridad Catalana de Protección de Datos tiene entre sus líneas estratégicas la formación y concienciación en materia de protección de datos, con el fin de que se alcance un efectivo cumplimiento de las obligaciones y garantías establecidas en la normativa de protección de datos.

El Plan se estructura en tres líneas de actuación diferenciadas:

Una primera, integrada por acciones formativas en materia de protección de datos, dirigidas a las personas que ocupan cargos directivos, a los mandos ya las personas responsables y encargadas de la protección de datos de la Administración de la Generalitat, de instituciones públicas, de los entes locales, de las universidades públicas y privadas que integran el sistema universitario catalán y del resto de entidades públicas de Cataluña (de acuerdo con el artículo 3 de la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos).

Esta formación es fruto de la colaboración entre la APDCAT y la Escuela de Administración Pública de Cataluña (EAPC) y se dirige especialmente a:

• Delegados y delegadas de protección de datos del sector público, con el objetivo de consolidar un conocimiento profundo y dinámico de la normativa de protección de datos.
• Personas que ocupan cargos directivos y responsables del tratamiento de la Administración y de las entidades públicas, para concienciarlas de las obligaciones que debe cumplirse de acuerdo con el Reglamento general de protección de datos.
• Personas responsables técnicas de protección de datos de estos organismos, que recibirán una formación especializada acorde con las funciones que tienen asignadas dentro de sus organizaciones. Son, principalmente, las personas responsables de la gestión de la información y las personas usuarias que tienen acceso a datos personales.

Asimismo, se desarrolla una segunda línea de actuación con acciones formativas de protección de datos de carácter sectorial, en entornos especialmente sensibles y tratando información de colectivos vulnerables. Esta formación se dirige específicamente al personal de la Generalitat de Cataluña del sector sanitario, educativo y de servicios sociales.

En el ámbito educativo, continuaremos impulsando el proyecto de menores iniciado en 2015, con el objetivo de concienciar a este colectivo y su entorno sobre la gestión responsable de los datos personales, cuando utilizan las tecnologías e internet.

La tercera línea de actuación del Plan es la formación interna del personal de la APDCAT, elaborada a partir de la detección de las necesidades formativas en las siguientes materias:

• Protección de datos y seguridad de la información
• Transparencia y acceso a la información
• Procedimiento administrativo
• Administración electrónica
• Gestión económica
• Recursos humanos
• Idiomas

Las actividades formativas incluidas en los catálogos de los planes de formación se desarrollan en las modalidades presencial, semipresencial, virtual y de autoaprendizaje.

Elaboración de dictámenes, instrucciones y recomendaciones

La Autoridad Catalana de Protección de Datos emite dictámenes para responder a las consultas enviadas por los responsables o los delegados de protección de datos de las entidades que forman parte de su ámbito competencial.

Las consultas pueden ser sobre una problemática o un tema concreto en materia de protección de datos y también se puede solicitar, con carácter potestativo, un informe sobre los proyectos de disposición de carácter general que tengan impacto en materia de protección de datos de carácter personal. Pueden plantear consultas a la APDCAT:

• Las instituciones públicas, la Administración de la Generalitat y los entes locales de Cataluña. 

• Todos los órganos, los organismos y las entidades vinculados o dependientes de las instituciones públicas de Cataluña, de la Administración de la Generalitat, de los entes locales de Cataluña, de las universidades de Cataluña y de las corporaciones de derecho público que ejercen sus funciones exclusivamente en Cataluña. 

• Las personas físicas o jurídicas que, de acuerdo con cualquier convenio, contrato o disposición normativa, gestionen servicios públicos o ejerzan funciones públicas, siempre que en este último caso el tratamiento se haga en Cataluña y esté relacionado con materias de la competencia de la Generalitat de Catalunya o de los entes locales de Cataluña.

Pueden acceder al trámite electrónico a través de este enlace.

La Autoridad Catalana de Protección de Datos ofrece asesoramiento cuando se le formule una consulta previa en los supuestos siguientes, previstos en el artículo 36 del RGPD:

a) Con carácter previo al inicio del tratamiento cuando se haya elaborado una evaluación de impacto sobre la protección de datos de la cual resulte que hay un alto riesgo si el responsable no toma medidas para mitigarlo. 

b) En el proceso de elaboración de cualquier propuesta de medida legislativa que tenga que adoptar el Parlament de Catalunya o una medida reglamentaria basada en esta medida legislativa, que se refiera al tratamiento. 

c) Los otros casos en los cuales una norma con rango de ley obligue al responsable del tratamiento a consultar la autoridad de control y obtener su autorización previa en relación con un tratamiento hecho en ejercicio de una misión en interés público. 

Pueden acceder al trámite electrónico a través de este enlace. 

La Autoridad Catalana de Protección de Datos ejerce las competencias que prevé el RGPD en materia de transferencias internacionales, lo cual comprende: 

• Aprobación de normas corporativas vinculantes
• Autorización de transferencias internacionales de datos
• Comunicación de transferencias internacionales de datos

Corresponde a la Autoridad Catalana de Protección de Datos aprobar los códigos de conducta que promuevan, para especificar la aplicación del RGPD y otra normativa aplicable, las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento, o directamente los responsables y encargados del tratamiento, de su ámbito de actuación.

Si el código de conducta guarda relación con actividades de tratamiento vares estados miembros, la Autoridad Catalana de Protección de Datos, con carácter previo a su aprobación, lo tiene que presentar al Comité Europeo de Protección de Datos, por el procedimiento previsto en el artículo 63 del RGPD, para que elabore un dictamen sobre su conformidad con el RGPD y, si pega, sobre si ofrece garantizabas adecuadas para transferir datos a terceros países u organizaciones internacionales y, en caso de ser favorable, lo presente a la Comisión Europea para su aprobación.

Podéis pedir la aprobación de un código de conducta a través de este enlace.

La Autoridad Catalana de Protección de Datos, a través del Área de Inspección, verifica que los responsables y los encargados del tratamiento cumplan la legislación vigente en materia de protección de datos de carácter personal. También controla las vulneraciones de este derecho fundamental y adopta las medidas necesarias para garantizarlo. 

El Área de Inspección tutela el ejercicio de los derechos de las personas, en concreto el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad (derechos Habeas Data), y vela para que sean efectivos dentro del ámbito de actuación de la Autoridad. Así, supervisa la actuación de: 

• Todos los órganos, organismos y entidades vinculados o dependientes de las instituciones públicas de Cataluña, de la Administración de la Generalitat, de los entes locales de Cataluña, de las universidades de Cataluña y de las corporaciones de derecho público que ejercen sus funciones exclusivamente en Cataluña, que, de acuerdo con el artículo 156 del Estatuto de autonomía de Cataluña (EAC), forman parte del ámbito de actuación de la APDCAT. 

• Las personas físicas o jurídicas que, de acuerdo con un convenio, contrato o disposición normativa, gestionen servicios públicos o ejerzan funciones públicas; en este último caso, si el tratamiento se hace a Cataluña y en relación con materias de la competencia de la Generalitat de Catalunya o de los entes locales de Cataluña. 

Las personas que ejercen cualquiera de los derechos Habeas Data ante el responsable o el encargado y no obtienen respuesta en el plazo previsto, o la respuesta es totalmente o parcialmente insatisfactoria, pueden presentar una reclamación ante la Autoridad, que se asegurará de si la denegación es procedente o improcedente.

Cualquier actuación contraria a lo que dispone la normativa vigente en materia de protección de datos se puede denunciar ante la Autoridad.

Para obtener más información y acceder a los modelos de escrito que ponemos a su disposición, es preciso consultar el apartado Reclamar y denunciar.

Las reclamaciones y las denuncias dirigidas a la Agencia Española de Protección de Datos se pueden presentar también ante la APDCAT, que se encargará de trasladarlas a dicha institución.  

Dado que el Reglamento general de protección de datos establece la necesidad de nombrar a un delegado de protección de datos, las entidades incluidas dentro del ámbito de actuación de la APDCAT que lo nombran deben comunicar esta designación a la Autoridad, mediante el trámite “Comunicación designación DPD” de la sede electrónica.

Los responsables y encargados del tratamiento comunicarán en el plazo de diez días las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que estén obligadas a su designación como en el caso en que sea voluntaria.

Si se produce una violación de seguridad de los datos, las entidades responsables de tratamientos incluidos en el ámbito de actuación de la Autoridad Catalana de Protección de Datos notificarán sin dilación indebida y, si es posible, en un plazo máximo de 72 horas después de que hayan tenido constancia del incidente, a menos que sea improbable que la violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas (art. 33 RGPD).

El responsable debe documentar todas las violaciones de seguridad, tanto si es preceptivo notificarlas a la APDCAT como si no lo es. En concreto, debe hacer constar toda la información relativa a los hechos, los efectos y las medidas correctoras adoptadas. Esta documentación debe estar a disposición de la APDCAT (art. 33.5 RGPD).

La notificación de la violación de seguridad se presentará mediante el formulario de notificación (disponible versión en catalán). Una vez cumplimentado y firmado electrónicamente, el formulario debe enviarse (junto a la documentación que corresponda, en su caso) de acuerdo con lo que se indica a continuación:

- Las entidades que están dadas de alta en la plataforma EACAT deben presentar el formulario mediante el trámite Notificaciones de violaciones de seguridad de esta plataforma. 

- El resto de entidades deben presentar el formulario a través de este trámite de la sede electrónica de la Autoridad.

- Los sujetos que no están obligados a relacionarse electrónicamente con las administraciones públicas, también pueden presentar el formulario mediante cualquiera de los otros medios a los que se refiere el artículo 16.4 de la Ley 30/2015, del 1 de octubre, de procedimiento administrativo común de las administraciones públicas.

Para completar la información sobre las NVS y la comunicación a los afectados (art. 33 y 34 RGPD), consulten este enlace.