Persones delegades de protecció de dades de l’Administració
Decret 148/2023, d’1 d’agost, sobre les persones delegades de protecció de dades de l’Administració de la Generalitat i el seu sector públic (DOGC de 3 d’agost de 2023). Text complet.
DECRET 148/2023, D’1 D’AGOST, SOBRE LES PERSONES DELEGADES DE PROTECCIÓ DE DADES DE L’ADMINISTRACIÓ DE LA GENERALITAT I EL SEU SECTOR PÚBLIC.
D’acord amb els articles 150 i 136 de l’Estatut d’autonomia de Catalunya, correspon a la Generalitat, en matèria d’organització de la seua Administració, la competència exclusiva sobre l’estructura, la regulació dels òrgans i directius públics, el funcionament i l’articulació territorial, i les diverses modalitats organitzatives i instrumentals per a l’actuació administrativa, així com la competència exclusiva sobre el règim estatutari del personal al servei de les administracions públiques catalanes i sobre l’ordenació i l’organització de la funció pública. D’altra banda, d’acord amb l’article 156, correspon a l’Administració de la Generalitat la competència executiva en matèria de protecció de dades respectant les garanties dels drets fonamentals en aquesta matèria.
El Reglament UE 2016/679 , del Parlament Europeu i del Consell, de 27 d’abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades), unifica i modernitza la normativa europea sobre protecció de dades, amb especial èmfasi en l’anàlisi d’impacte de la privacitat, el deure d’informació, el consentiment, la transparència, la seguretat i el fet que s’han de garantir els drets de la ciutadania en relació amb la protecció de la seua privacitat.
El Reglament estableix que, quan el responsable o l’encarregat del tractament de les dades de caràcter personal és una administració pública, s’ha de designar una persona delegada de protecció de dades amb coneixements especialitzats del dret i la pràctica en matèria de protecció de dades. En els articles 36 a 39, es regula la figura de la persona delegada de protecció de dades, això és, la designació, la posició i les funcions.
També cal tindre en compte el que estableixen els articles 34 a 37 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals, així com els articles 40 a 42 de la Llei orgànica 7/2021, de 26 de maig, de protecció de dades personals tractats per a finalitats de prevenció, detecció, investigació i enjudiciament d’infraccions penals i d’execució de sancions penals.
El particular estatut personal que la normativa esmentada atorga al delegat o delegada de protecció de dades, caracteritzat per les notes d’independència respecte al responsable o l’encarregat del tractament, i la inamovilitat en l’exercici de les funcions específiques que se li assignen, entre altres, fan necessària una regulació específica del règim i l’estatut jurídic de les persones delegades de protecció de dades de l’Administració de la Generalitat i el seu sector públic, d’acord amb el que estableixen el Reial decret legislatiu 5/2015, de 30 d’octubre , pel qual s’aprova el text refós de la Llei de l’Estatut bàsic de l’empleat públic, i el Decret legislatiu 1/1997, de 31 d’octubre , pel qual s’aprova la refundició en un text únic dels preceptes de determinats textos legals vigents a Catalunya en matèria de funció pública.
El Decret té per objecte establir el règim i l’estatut jurídic del delegat de protecció de dades de l’Administració de la Generalitat i el seu sector públic i s’estructura en huit articles, que regulen el règim d’adscripció i l’àmbit d’actuació de les persones delegades de protecció de dades, l’exercici de les funcions i el règim jurídic, que incideix en el seu nomenament i eventual cessament, i la Comissió de Coordinació de Protecció de Dades, per la garantia de l’aplicació homogènia dels criteris d’actuació en aquesta matèria; quatre disposicions addicionals; una disposició transitòria, i dues disposicions finals.
Aquest Decret s’ha elaborat de conformitat amb els principis de bona regulació que disposen l’article 129 de la Llei 39/2015, d’1 d’octubre, del procediment administratiu comú de les administracions públiques, i l’article 62 de la Llei 19/2014, del 29 de desembre, de transparència, accés a la informació i bon govern. D’acord amb els principis de necessitat i eficàcia, aquest Decret es justifica per raons d’interés general, que consisteixen a establir en l’àmbit organitzatiu de l’Administració de la Generalitat la configuració definitiva del marc en què s’han de desenvolupar aquestes funcions, els seus àmbits d’actuació, així com la provisió dels respectius llocs de treball que han de tindre assignades aquestes funcions específiques, i l’eficàcia queda garantida a través de l’establiment d’un model organitzatiu que requereix el menor cost possible.
D’acord amb el principi de proporcionalitat, la regulació que aquesta norma conté és la imprescindible per a atendre les exigències que l’interés general requereix. No suposa la restricció de cap dret i les obligacions que imposa són les indispensables per a garantir un correcte exercici de les funcions assignades normativament a la figura del delegat o delegada de protecció de dades.
Atés el principi de seguretat jurídica, la potestat reglamentària s’exerceix de manera coherent amb la resta de l’ordenament jurídic: el Decret s’integra en un marc normatiu estable i coherent, i el seu contingut està d’acord amb la normativa de protecció de dades i de la funció pública, citada anteriorment.
En aplicació del principi de transparència, l’Administració de la Generalitat de Catalunya possibilita l’accés senzill, universal i actualitzat a la normativa en vigor i els documents propis del seu procés d’elaboració. En aplicació del principi de participació, durant el procediment d’elaboració la norma s’ha sotmés al tràmit de consulta pública prèvia i d’informació pública.
I, en aplicació del principi d’eficiència, aquest Decret no crea càrregues administratives per a la ciutadania i permet disposar d’un marc normatiu coherent i adequat per a exercir les funcions assignades a les persones delegades de protecció de dades del personal al servei de l’Administració de la Generalitat i del seu sector públic.
Vist el que estableixen els articles 39.1 i 40.1 de la Llei 13/2008, de 5 de novembre, de la presidència de la Generalitat i del Govern,
En virtut d’això, a proposta de la consellera de la Presidència, d’acord amb el dictamen de la Comissió Jurídica Assessora i amb la deliberació prèvia del Govern,
Decret:
Article 1
Objecte
Aquest Decret té per objecte establir el règim jurídic de les persones delegades de protecció de dades de l’Administració de la Generalitat i el seu sector públic institucional, així com la regulació de la Comissió de Coordinació de Protecció de Dades.
Article 2
Adscripció
1. Els departaments de l’Administració de la Generalitat han de designar a una persona delegada de protecció de dades.
2. Amb l’autorització prèvia de la secretaria general del departament d’adscripció, les entitats del seu sector públic institucional vinculades o dependents poden designar, en funció de la complexitat, el volum, o la categoria o categories especials de les dades que gestionen, una persona delegada de protecció de dades. Les funcions de la persona delegada de protecció de dades també poden atribuir-se a una entitat del sector públic o encarregar-se mitjançant un contracte de serveis.
Així mateix, en atenció a criteris d’eficàcia i eficiència en l’exercici de les funcions assignades, així com en funció de la dimensió de les estructures organitzatives respectives, es pot designar una única persona delegada de protecció de dades per a diversos departaments, per grups d’empreses o entitats del sector públic.
3. Les persones delegades de protecció de dades en els departaments de l’Administració de la Generalitat s’adscriuen orgànicament a la secretaria general. Aquesta adscripció en cap cas afecta al règim d’independència funcional de la figura de la persona delegada de protecció de dades.
4. La persona delegada de protecció de dades actua, en l’exercici de les seues funcions, amb plena independència funcional i no està subjecte a instruccions, ordres de servei i recomanacions del responsable del tractament ni de cap altre òrgan de l’organització.
Article 3
Àmbit d’actuació
L’àmbit d’actuació de les persones delegades de protecció de dades comprén el departament d’adscripció i les entitats que conformen el seu sector públic institucional, sense perjudici del que estableixen l’article anterior, les disposicions addicionals i final primera d’aquest Decret.
Article 4
Funcions
1. La persona delegada de protecció de dades té les funcions següents:
a) Informar, assessorar i col·laborar amb les persones responsables o encarregades del tractament de dades.
b) Inspeccionar procediments, comunicar l’existència de vulneracions en matèria de protecció de dades i emetre recomanacions.
c) Supervisar el correcte compliment del Reglament UE 2016/679 , així com d’altres disposicions normatives sobre protecció de dades.
d) Assessorar en les avaluacions d’impacte sobre la protecció de dades i supervisar la seua aplicació.
e) Cooperar amb l’Autoritat Catalana de Protecció de Dades i les altres autoritats de control.
f) Actuar com a punt de contacte de les autoritats de control per a qüestions relatives al tractament, inclosa la consulta prèvia a l’autoritat de control.
g) Atendre les reclamacions de les persones interessades o les que li derive l’Autoritat Catalana de Protecció de Dades.
h) Entregar al responsable del tractament una memòria anual en què es recullen les activitats desenvolupades amb un esment exprés de les incidències que s’hagen pogut observar en l’exercici de les funcions assignades.
i) Rendir comptes de la seua activitat i resultats, quan se li requerisca, davant la persona titular de la secretaria general del departament, o de la direcció de l’entitat del sector públic corresponent.
j) Qualsevol altra funció que li assigne la normativa vigent.
2. La persona delegada de protecció de dades ha d’exercir les funcions observant la deguda atenció als riscos associats a les operacions de tractament i considerant, així mateix, la naturalesa, l’abast, el context i les finalitats del tractament.
3. Els òrgans i unitats departamentals, així com les entitats del sector públic, han de prestar el suport i la col·laboració necessaris a la persona delegada de protecció de dades per a garantir el correcte desenvolupament de les funcions assignades, incloent-hi els recursos formatius, la disposició de mitjans tècnics i la disponibilitat d’espais.
Article 5
Estatut personal de la persona delegada de protecció de dades
1. La persona delegada de protecció de dades té dret a accedir a les dades personals i als processos de tractament de dades, amb la comunicació prèvia a les persones responsables o encarregades, que no poden oposar-se invocant el deure de confidencialitat o secret.
S’ha de garantir la independència de la persona delegada de protecció de dades dins de l’organització i s’ha d’evitar qualsevol conflicte d’interessos.
2. La persona delegada de protecció de dades té el deure de mantindre el secret i la confidencialitat en l’exercici de les seues funcions.
Article 6
Designació i cessament de la persona delegada de protecció de dades
1. La persona delegada de protecció de dades es designa mitjançant el sistema de lliure designació entre funcionaris de carrera dels cossos i escales del subgrup A1 de classificació professional de l’Administració de la Generalitat de Catalunya, sempre que disposen d’una experiència acreditada de dos anys en l’exercici de funcions o responsabilitats relacionades en l’àmbit de la protecció de dades o de mecanismes voluntaris de certificació, i s’ha de tindre particularment en compte l’obtenció d’una titulació universitària que acredite coneixements especialitzats en el dret i la pràctica en matèria de protecció de dades.
En les entitats del sector públic, la vinculació de la persona delegada de protecció de dades es correspon amb el règim aplicable al personal de l’entitat d’acord amb la seua norma de creació.
2. Prèviament a la designació per l’òrgan competent es realitzarà un procediment de provisió en què cal valorar els coneixements especialitzats en dret i en la pràctica de la protecció de dades, així com les competències professionals que s’exigisquen per a desenvolupar les funcions assignades.
3. La persona delegada de protecció de dades no pot remoure’s ni sancionar-se per l’exercici de les seues funcions, llevat que incórrega en dol o negligència greu en aquest exercici.
La persona delegada de protecció de dades ha de cessar en l’exercici de les seues funcions quan incórrega en dol o negligència greu en el seu exercici, així com per raons organitzatives, derivades de la modificació d’estructures departamentals i orgàniques i de la modificació de la relació de llocs de treball.
4. La designació i el cessament de la persona delegada de protecció de dades ha de comunicar-lo l’òrgan competent, en un termini de deu dies, a l’Autoritat Catalana de Protecció de Dades.
Article 7
Exercici de les funcions assignades a la persona delegada de protecció de dades
1. En l’àmbit de l’Administració de la Generalitat de Catalunya, el lloc de treball de delegat o delegada de protecció de dades s’inclou en la relació de llocs de treball de personal funcionari amb un nivell retributiu assimilat al de servei.
2. No obstant això el que estableix el primer apartat d’aquest article, les funcions de delegat o delegada de protecció de dades poden exercir-se a temps parcial, mitjançant una atribució temporal de funcions per a un període de dos anys a personal funcionari amb assimilació retributiva, com a mínim, a servei. Les atribucions temporals de funcions, que no requereixen autorització de compatibilitat, no poden excedir el 50% de la jornada del lloc de treball principal i les retribucions a percebre són les pròpies del lloc principal, sense perjudici de l’adequació funcional a les càrregues de treball.
3. S’ha de garantir que l’atribució de funcions de delegat o delegada de protecció de dades amb caràcter parcial no dona lloc a situacions de conflicte d’interés. En particular, no poden acumular-se les funcions de delegat o delegada de protecció de dades a altres llocs de treball amb funcions que impliquen la participació en la presa de decisions sobre l’existència de tractaments de dades o sobre la manera en què aquestes dades han de tractar-se.
4. Amb caràcter previ a l’atribució de funcions de caràcter parcial cal disposar d’un informe conjunt favorable de la unitat directiva competent en matèria de coordinació interdepartamental i suport en matèria de protecció de dades i de la unitat directiva competent en matèria de bon govern, en relació amb la falta d’existència de les situacions de conflicte d’interés que esmenta l’apartat anterior.
Article 8
Comissió de Coordinació de Protecció de Dades
1. Es crea la Comissió de Coordinació de Protecció de Dades, que s’adscriu a la secretaria competent en la coordinació interdepartamental en matèria de protecció de dades, que li dona suport tècnic i administratiu.
2. Les funcions de la Comissió de Coordinació de Protecció de Dades són les següents:
a) Vetlar per la coordinació i l’homogeneïtat en aplicació de criteris d’actuació en l’exercici de les funcions assignades a les persones delegades de protecció de dades en l’àmbit d’aquest Decret, respectant la independència dels delegats en l’exercici de les funcions.
b) Debatre sobre aspectes concrets de l’aplicació de la normativa en matèria de protecció de dades, per a acordar possibles solucions.
c) Fer les propostes que estime adequades amb la finalitat de millorar l’exercici de les funcions assignades a les persones delegades de protecció de dades.
d) Compartir criteris d’actuació i possibles solucions en l’àmbit de les funcions assignades a les persones delegades de protecció de dades i difondre’ls al conjunt de l’Administració de la Generalitat i del seu sector públic.
3. La Comissió exerceix les funcions sense perjudici de les competències que corresponen al departament competent en matèria de coordinació i suport en matèria de protecció de dades.
4. Formen part de la Comissió:
a) La presidència, que correspon a una persona designada per la secretaria competent en la coordinació interdepartamental en matèria de protecció de dades, amb rang orgànic mínim de subdirector o subdirectora general o assimilat retributivament.
b) Les persones delegades de protecció de dades departamentals a què fa referència aquest Decret.
c) Una persona designada per la direcció general competent en la coordinació interdepartamental en matèria de protecció de dades, que exerceix també les funcions de secretaria.
La presidència de la Comissió pot designar membre de la Comissió, a proposta de cada departament, a una persona delegada de protecció de dades d’una de les entitats del sector públic institucional del departament, en funció de la complexitat i l’especificitat de les dades que gestiona.
5. Correspon a la secretaria i a la direcció general competents en coordinació interdepartamental en matèria de protecció de dades designar a les persones suplents que substituïsquen als membres de la Comissió que han designat, per als casos d’absència, de vacant, de malaltia o per qualsevol altra causa justificada, entre persones funcionàries de les unitats directives esmentades amb rang orgànic mínim de cap o cap de servei o assimilat retributivament.
La presidència de la Comissió ha de designar a les persones suplents de les persones delegades de protecció de dades de les entitats del sector públic institucional dels departaments.
La resta de membres de la Comissió poden designar persones suplents en els casos esmentats anteriorment, entre altres vocals.
6. Quan així ho considere oportú en funció dels temes a tractar, la presidència de la Comissió pot convocar a assessors especialistes en matèria de protecció de dades, que assisteixen amb veu però sense vot.
7. La Comissió de Coordinació de Protecció de Dades aprova el reglament de funcionament intern i, en tot el que no establisquen aquest reglament i aquest Decret, s’aplica la normativa sobre òrgans col·legiats de l’Administració de la Generalitat.
8. La Comissió de Coordinació de Protecció de Dades s’ha de reunir com a mínim dues vegades l’any. Les persones membres de la Comissió no perceben drets d’assistència per la concurrència en les seues reunions.
Disposicions addicionals
Primera. El departament competent en matèria d’educació ha de designar a una persona delegada de protecció de dades que ha d’exercir les funcions en relació amb el departament i els centres docents de la seua titularitat.
La persona delegada de protecció de dades designada representa a les delegacions dels centres docents de titularitat del departament competent en matèria d’educació en la Comissió de Coordinació de Protecció de Dades.
Segona. En atenció a l’especificitat i especial complexitat d’un determinat sector de l’activitat administrativa, el Govern de la Generalitat, a proposta del departament competent en matèria de coordinació interdepartamental i suport en matèria de protecció de dades, pot acordar designar una persona delegada de protecció de dades sectorial amb les funcions, l’estatut personal i el règim de designació i cessament que disposa aquest Decret. Aquesta persona forma part de la Comissió de Coordinació de Protecció de Dades.
Tercera. Les dades de contacte de les persones delegades de protecció de dades han de publicar-se en les webs corporatives dels departaments i de les entitats del sector públic institucional, amb la indicació del seu nom complet, adreça electrònica i telèfon de contacte, així com l’adreça i les dades postals.
Quarta. Les funcions desenvolupades en virtut de la Instrucció 1/2018, de 16 de maig, sobre l’atribució temporal de funcions pròpies de la persona delegada de protecció de dades en l’àmbit de l’Administració de la Generalitat i el seu sector públic, han de ser objecte de valoració específica en els processos de designació i provisió dels llocs de treball de delegat o delegada de protecció de dades.
Disposició transitòria
Fins a la provisió dels llocs de treball de delegat o delegada de protecció de dades que han de ser convocar-se en el termini de sis mesos a partir de l’entrada en vigor d’aquest Decret, continuen vigents la Instrucció 1/2018, de 16 de maig, i les atribucions temporals de funcions dictades a l’empara d’aquesta.
Disposicions finals
Primera. Mitjançant l’ordre del conseller competent en matèria de salut s’ha d’organitzar un sistema propi de delegacions de protecció de dades que abaste el departament i el seu sector públic.
Segona. Aquest Decret entra en vigor als vint dies de la seua publicació en el Diari Oficial de la Generalitat de Catalunya.