Ámbito competencial. Autoridad Catalana de Protección de Datos

La APDCAT puede actuar sobre los tratamientos de datos que llevan a cabo la Generalitat, los entes locales de Cataluña, las instituciones y corporaciones públicas catalanas, las universidades públicas y privadas del sistema universitario catalán y sus entes, y las entidades privadas cuando prestan servicios públicos o realizan funciones públicas, entre otros.

Concretamente, el ámbito de actuación de la Autoridad comprende los tratamientos que llevan a cabo:

Las instituciones públicas.
La Administración de la Generalitat.
Los entes locales.
Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalitat o a los entes locales, o que dependen de ella.
Las entidades de derecho privado que cumplen, como mínimo, uno de los tres requisitos siguientes con relación a la Generalitat, a los entes locales o a los entes que dependen de ella:
- Que su capital pertenezca mayoritariamente a dichos entes públicos.
- Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.
- Que los miembros designados por dichos entes públicos sean mayoría en sus órganos directivos.
Las demás entidades de derecho privado que presten servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de estos servicios.
Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que dependen de él.
Las personas físicas o jurídicas que cumplen funciones públicas en relación con materias que son competencia de la Generalitat o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de estas funciones y el tratamiento se lleva a cabo en Cataluña.
Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a efectos de lo establecido en esta ley.

Esto incluye también los tratamientos de datos personales que realizan terceros mediante un encargo del tratamiento realizado para alguna de estas entidades. Dentro de este ámbito de actuación corresponde a la Autoridad desempeñar la totalidad de las funciones que la normativa de protección de datos atribuye a las autoridades de control, incluidas las transferencias internacionales de datos.