Secció I. Disposicions generals
CONSELL DE GOVERN
Núm. 645299
Decret 44/2024, de 4 d’octubre, pel qual es crea i es regula l’estructura organitzativa de la protecció de dades de l’Administració de la Comunitat Autònoma de les Illes Balears
Preàmbul
I
La protecció de les persones físiques pel que fa al tractament de dades personals és un dret fonamental protegit per l'article 18.4 de la Constitució espanyola, que disposa que «la llei limitarà l'ús de la informàtica per tal de garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets».
El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (d'ara endavant, RGPD), i la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (d'ara endavant, LOPDGDD), assenyalen que la protecció dels drets i les llibertats de les persones físiques quant al tractament de dades personals exigeix que el responsable del tractament adopti les mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb l'RGPD («responsabilitat proactiva»), entre les quals s'inclou la regulació de les polítiques de protecció de dades.
L'article 13 h) de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, sobre els drets de les persones en les seves relacions amb les administracions públiques, recull el dret a la protecció de dades de caràcter personal i, en particular, a la seguretat i confidencialitat de les dades que figurin en els fitxers, sistemes i aplicacions de les administracions públiques.
La Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, estableix que les administracions públiques s'han de relacionar entre si i amb els seus òrgans, organismes públics i entitats vinculades o dependents a través de mitjans electrònics. Aquests mitjans han d'assegurar la interoperabilitat i la seguretat dels sistemes i les solucions adoptades, han de garantir la protecció de les dades de caràcter personal i han de facilitar preferentment la prestació conjunta de serveis als interessats. En aquest sentit, l'article 156.2 de la Llei 40/2015, d'1 d'octubre, recull l'Esquema Nacional de Seguretat, regulat pel Reial decret 311/2022, de 3 de maig.
II
D'acord amb els articles 2.1 d) i 3.6 del Decret 12/2023, de 10 de juliol, de la presidenta de les Illes Balears, pel qual s'estableixen les competències i l'estructura orgànica bàsica de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears, les secretaries generals i les direccions generals, així com els òrgans directius assimilats, exerceixen les funcions de responsables del tractament de les dades personals dels procediments o processos en relació amb les seves competències, i la Direcció General d'Estratègia Digital i Simplificació Administrativa té les funcions d'encarregat del tractament de les dades personals en relació amb els sistemes d'informació, recursos tecnològics i serveis informàtics i telemàtics de l'Administració de la Comunitat Autònoma.
D'altra banda, d'acord amb el principi de «responsabilitat proactiva» (article 5.2 de l'RGPD), que exigeix una actitud conscient, diligent i proactiva per part dels responsables davant tots els tractaments de dades personals que es duguin a terme a l'Administració de la Comunitat Autònoma de les Illes Balears, la implantació i l'aplicació coordinada de la política de protecció de dades (d'ara endavant, PPD) —marc de govern que permetrà la gestió de la protecció de dades en el context de les activitats de tractament de dades personals i els sistemes d'informació de l'Administració de la Comunitat Autònoma de les Illes Balears— requereix la creació d'òrgans de coordinació per a l'aplicació i la gestió de les estratègies, les mesures i les actuacions de la PPD, i que alhora permetin la col·laboració de tots els nivells de l'Administració —nivell estratègic, tàctic i operatiu—, per gestionar les dades personals que es deriven de les activitats de tractament de l'Administració de la Comunitat Autònoma de les Illes Balears i per proporcionar, d'aquesta manera, la capacitat d'alinear la protecció de les persones físiques quant al tractament de les seves dades de caràcter personal amb els objectius corporatius.
III
Per tot això, es considera necessari dotar l'Administració de la Comunitat Autònoma de les Illes Balears d'una estructura organitzativa que li permeti implementar la política de protecció de dades, amb la finalitat de dur a terme una gestió de les activitats de tractament d'acord amb la normativa vigent en matèria de protecció de dades personals i drets digitals.
Amb aquesta finalitat, s'estima necessari crear una comissió de protecció de dades, integrada pels secretaris generals de totes les conselleries i per la persona titular de la Direcció General d'Estratègia Digital i Simplificació Administrativa, a fi de coordinar l'aplicació i la gestió de la PPD i donar-hi l'impuls estratègic necessari.
Alhora, i per donar suport tècnic a la Comissió, es considera necessària la creació d'un comitè tècnic de coordinadors, integrat per tots els coordinadors de protecció de dades de les conselleries, i d'un comitè de responsables del tractament a cadascuna de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears.
Aquest Decret conté set articles, una disposició addicional única i dues disposicions finals.
La regulació d'aquest Decret, de caire organitzatiu, compleix els principis de bona regulació que exigeixen l'article 49 de la Llei 1/2019, de 31 de gener, i l'article 129 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.
S'han respectat els principis de necessitat, eficàcia, proporcionalitat i seguretat jurídica, atès que el Decret recull la regulació imprescindible per atendre la necessitat que s'ha de cobrir, en relació amb la regulació de les funcions respectives, i és coherent amb la resta de l'ordenament, especialment en relació amb la regulació dels òrgans col·legiats de la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, i la Llei 3/2003, de 26 de març, de règim jurídic de l'Administració de la Comunitat Autònoma de les Illes Balears, i s'ha seguit el procediment establert per a l'elaboració normativa de disposicions reglamentàries de caràcter organitzatiu previstes en la Llei 1/2019, de 31 de gener.
Quant al principi de transparència, la norma resta exempta dels tràmits de consulta pública i d'audiència i informació pública, atesa la naturalesa purament organitzativa.
Finalment, s'han respectat els principis d'eficiència, qualitat i simplificació, atès que no regula procediments que suposin càrregues administratives noves a la ciutadania, estableix de manera destacada la comunicació telemàtica com a instrument de simplificació i d'agilitat, i la creació i el funcionament d'aquests òrgans no suposa assignar recursos públics nous per atendre'ls.
Per tot això, a proposta de la consellera de Presidència i Administracions Públiques, i havent-ho considerat el Consell de Govern en la sessió del dia 4 d'octubre de 2024,
DECRET
Capítol I Disposicions generals
Article 1
Objecte
L'objecte d'aquest Decret es dotar l'Administració de la Comunitat Autònoma de les Illes Balears d'una estructura organitzativa en l'àmbit competencial de la protecció de dades personals que li permeti implementar la política de protecció de dades, amb la finalitat de dur a terme una gestió de les activitats de tractament d'acord amb la normativa vigent en matèria de protecció de dades personals i drets digitals.
Capítol II Comissió de Protecció de Dades
Article 2
Comissió de Protecció de Dades
1. Es crea la Comissió de Protecció de Dades (d'ara endavant, CPD), com a òrgan col·legiat per a la gestió i coordinació de la PPD que dugui a terme l'Administració de la Comunitat Autònoma de les Illes Balears en el marc de la normativa europea i estatal de protecció de dades personals i drets digitals, amb el règim jurídic, les funcions i la composició que preveu aquest Decret.
2. La CPD s'adscriu a la Secretaria General de la Conselleria de Presidència i Administracions Públiques.
Article 3
Funcions
Corresponen a la Comissió de Protecció de Dades les funcions següents:
a) Aprovar, impulsar i coordinar les estratègies, mesures i actuacions en la implantació i l'aplicació de la PPD de l'Administració de la Comunitat Autònoma de les Illes Balears.
b) Acordar plans d'acció, calendaris d'actuació i eines comunes per a l'aplicació de la PPD.
c) Fer el seguiment del compliment de la PPD i dur a terme les propostes oportunes de modificacions, actualitzacions i revisions de la PPD, així com de l'estructura organitzativa.
d) Proposar l'aprovació d'instruccions i circulars per a l'aplicació de la PPD.
e) Donar suport al Delegat de Protecció de Dades en l'exercici de les seves funcions, i facilitar-li els mitjans i recursos necessaris per a l'exercici d'aquestes funcions i per al manteniment dels seus coneixements especialitzats.
f) Acordar les mesures necessàries per col·laborar amb la Delegació de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears, impulsar-la i donar-hi suport.
g) Escoltar el Delegat de Protecció de Dades en les qüestions relatives a la protecció de dades personals.
h) Establir, si escau, en relació amb les actuacions comunes dels responsables del tractament, pautes d'actuació, especialment en relació amb els procediments d'anàlisi de riscs, avaluacions d'impacte (AIPD) i bretxes de seguretat, d'acord amb l'RGPD, la LOPDGDD i els criteris i les recomanacions de l'Agència Espanyola de Protecció de Dades (AEPD).
i) Promoure els recursos i mitjans comuns per a totes les conselleries i els seus responsables del tractament, en relació amb les eines necessàries per a la gestió del tractament de les dades personals, d'acord amb l'RGPD i la LOPDGDD.
j) Promoure recursos i mitjans per a la conscienciació i la formació dels responsables i encarregats del tractament, i del personal de l'Administració de la Comunitat Autònoma de les Illes Balears en matèria de protecció de dades de caràcter personal i drets digitals.
k) Conèixer els esborranys de les instruccions i directrius que estableixin criteris per als responsables del tractament per raons de la matèria específica o quan aquests estiguin inclosos en projectes reglamentaris per a l'aplicació, la coordinació, la gestió i l'eficàcia de la PPD.
l) Formular consultes i fer propostes de treball al Comitè Tècnic de Coordinadors.
m) Col·laborar amb l'òrgan directiu competent en matèria de seguretat de la informació per a la coordinació de la PPD i de les polítiques de seguretat de la informació, d'acord amb l'Esquema Nacional de Seguretat.
n) Proposar l'aprovació de les instruccions i circulars relatives a l'execució de la política de protecció de dades.
Article 4
Composició
1. La Comissió de Protecció de Dades està integrada pels membres següents:
a) La presidència, que ocupa la persona titular de la Conselleria de Presidència i Administracions Públiques.
b) La vicepresidència, que ocupa la persona titular de la Secretaria General de la Conselleria de Presidència i Administracions Públiques.
c) Vocals:
La persona titular de la vicepresidència substitueix la presidència en cas de vacant, absència, malaltia o qualsevol altra causa justificada.
2. La secretaria d'aquesta Comissió l'ha d'ocupar, amb veu sense vot, un funcionari o funcionària del cos superior de la Comunitat Autònoma de les Illes Balears designat per la presidència de la Comissió.
En cas d'absència o qualsevol altre impediment degudament justificat de la persona que ocupa la secretaria, l'ha de suplir la persona que determini la presidència de la CPD.
3. La CPD pot convocar reunions i ser assistida, entre d'altres, per les persones següents:
a) Una persona en representació del Servei Jurídic de la Conselleria de Presidència i Administracions Públiques.
b) El Cap de Departament de Ciberseguretat i Telecomunicacions, el cap del Servei de Seguretat de la Informació, el cap del Servei de Sistemes d'Informació, el cap del Servei de Processament de Dades i Xarxa Corporativa i el cap de departament de l'Oficina d'Administració Electrònica de la Direcció General d'Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació.
c) Els coordinadors de protecció de dades personals de les conselleries.
El Delegat de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears hi pot assistir amb veu però sense vot quan es tractin qüestions relatives a la protecció de dades de caràcter personal, si escau.
4. En casos d'absència, malaltia i, en general, quan hi hagi alguna causa degudament justificada, la vicepresidència i els vocals poden ser substituïts pel director general de la seva conselleria que designin.
Capítol III Òrgans i unitats de suport tècnic
Article 5
Comitè Tècnic de Coordinadors de Protecció de Dades
1. Es crea el Comitè Tècnic de Coordinadors de Protecció de Dades com a òrgan col·legiat integrat pels coordinadors de protecció de dades de cada conselleria.
2. El Comitè Tècnic de Coordinadors pot convocar reunions i ser assistit, si escau, en relació amb els assumptes de l'ordre del dia de la reunió, per les persones següents:
a) Una persona en representació dels serveis jurídics de cada conselleria designat per la secretaria general respectiva.
b) El cap del Servei de Seguretat de la Informació de la Direcció General de Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació.
El Delegat de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears hi pot assistir amb veu però sense vot quan es tractin qüestions relatives a la protecció de dades de caràcter personal, si escau.
3. La presidència d'aquest Comitè Tècnic de Coordinadors l'ocupa el coordinador de protecció de dades de la Conselleria de Presidència i Administracions Públiques.
4. La secretaria d'aquest Comitè l'ocupa, amb veu però sense vot, un funcionari o funcionària del cos superior, que ha de designar la Secretaria General de la Conselleria de Presidència i Administracions Públiques.
5. S'atribueixen al Comitè Tècnic de Coordinadors les funcions següents:
a) Avaluar el compliment de la PPD i la normativa vigent en matèria de protecció de dades personals i drets digitals, i fer-ne el seguiment.
b) Fer propostes a la CPD de millora de la PPD.
c) Intercanviar informació sobre mesures i actuacions dels responsables del tractament de les conselleries.
d) Proposar mesures de suport als responsables del tractament de les conselleries i, si escau, proposar criteris comuns de gestió en matèria de protecció de dades personals.
e) Col·laborar amb la Direcció General d'Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació, i fer el seguiment de la implantació de les mesures de seguretat de la informació que es posin en funcionament a l'Administració de la Comunitat Autònoma de les Illes Balears per complir la normativa de protecció de dades personals i la PPD.
f) Debatre i coordinar la tramitació i resolució de les sol·licituds d'exercici dels drets en matèria de protecció de dades i de les reclamacions presentades pels afectats davant l'Agència Espanyola de Protecció de Dades, quan afectin diferents conselleries.
g) Prestar assessorament i suport tècnic a la CPD en matèria de protecció de dades personals, en relació amb les consultes i propostes que la CPD li sol·liciti.
h) Assistir a les reunions convocades pel Delegat de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears.
6. El Comitè Tècnic de Coordinadors s'ha de reunir, com a mínim, una vegada cada quatre mesos a l'any per posar en comú les incidències, les necessitats, les consultes, els dubtes i/o altres qüestions en matèria de protecció de dades que s'hagin plantejat en cada conselleria, i, de manera extraordinària, a petició motivada de qualsevol membre, havent-ne informat prèviament al Delegat de Protecció de Dades, perquè, si ho considera, pugui introduir altres qüestions d'interès en l'ordre del dia.
Article 6
Comitè de responsables del tractament
1. Tots els òrgans directius i òrgans directius assimilats de l'Administració de la Comunitat Autònoma de les Illes Balears, com a responsables del tractament de les dades de caràcter personal, han d'estar integrats en el comitè corresponent de responsables del tractament de la conselleria respectiva.
El comitè de responsables del tractament de cada conselleria ha d'estar integrat pels vocals següents:
a) La persona titular de la Secretaria General, que el presideix.
b) La persona titular de cada direcció general.
c) La persona titular de cada òrgan directiu assimilat.
d) El Coordinador de protecció de dades personals de la conselleria respectiva, amb veu però sense vot.
El Delegat de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears hi pot assistir amb veu però sense vot quan es tractin qüestions relatives a la protecció de dades de caràcter personal, si escau.
2. En els casos d'absència, malaltia o qualsevol altre impediment temporal degudament justificat, els òrgans directius poden ser substituïts pel cap de departament o pel cap de servei que designin.
3. Les funcions del comitè de responsables del tractament són, entre d'altres, les següents:
a) Vetlar pel compliment i l'aplicació de la PPD i la normativa vigent en matèria de protecció de dades personals i drets digitals.
b) Atendre les recomanacions, els suggeriments i les observacions de la Delegació de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears.
c) Proposar la resolució de les qüestions plantejades pels responsables del tractament, específicament pel que fa a les bretxes de seguretat i les avaluacions d'impacte (AIPD).
d) Analitzar i implantar les eines, guies, instruccions i altres materials de l'AEPD i de la CPD en matèria de protecció de dades de caràcter personal.
e) Examinar i conèixer els darrers avenços i interpretacions efectuats per l'AEPD i altres organismes en relació amb la protecció de dades personals i drets digitals.
f) Proposar la resolució de les qüestions que es plantegin sobre l'exercici dels drets dels interessats i la gestió del Registre d'activitats de tractament (RAT), d'acord amb l'RGPD i la LOPDGDD.
g) Rebre informació de les accions i propostes de la CPD.
h) Proposar a la CPD les propostes de millora i actualització de la PPD.
i) Exercir qualssevol altres funcions relacionades amb el seu àmbit d'actuació en matèria de protecció de dades personals i drets digitals.
Article 7
Coordinadors de protecció de dades personals
1. Cada conselleria ha de tenir un Coordinador de protecció de dades personals, que ha de ser personal funcionari de carrera del cos superior de l'Administració de la Comunitat Autònoma de les Illes Balears, per tal de donar suport als responsables del tractament i al personal de cadascuna de les conselleries en matèria de protecció de dades personals, els quals s'han de coordinar, si escau, amb la Delegació de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears.
2. S'atribueixen als Coordinadors de protecció de dades personals les funcions següents:
a) Conèixer la PPD de l'Administració de la Comunitat Autònoma de les Illes Balears per tal que es compleixi, impulsar-la i, si escau, proposar millores al Comitè Tècnic de Coordinadors.
b) Col·laborar amb els responsables del tractament de la seva conselleria en el compliment de la normativa vigent en matèria de protecció de dades personals i drets digitals.
c) Coordinar-se amb les diferents unitats administratives de la conselleria, col·laborar-hi i donar-los suport en matèria de protecció de dades personals i drets digitals.
d) Col·laborar amb els responsables del tractament en l'atenció i la tramitació de les sol·licituds d'exercici de drets dels interessats, d'acord amb els articles 12 a 22 de l'RGPD, així com en la tramitació i la resolució de les reclamacions presentades pels afectats davant l'Agència Espanyola de Protecció de Dades, sense perjudici de l'assessorament si escau del Delegat de Protecció de Dades de l'Administració de la CAIB.
e) Col·laborar amb els responsables del tractament en la realització i el seguiment de les avaluacions d'impacte de les operacions de tractament (AIPD), sense perjudici de l'assessorament del Delegat de Protecció de Dades de l'Administració de la CAIB, com a òrgan independent.
f) Coordinar-se amb els responsables del tractament, col·laborar-hi i donar-los suport en la gestió i el manteniment del Registre d'activitats de tractament (RAT) i de l'Inventari d'acord amb la normativa vigent, sense perjudici de la supervisió i l'assessorament de la Delegació de Protecció de Dades de l'Administració de la CAIB.
g) Dur a terme el seguiment de la tramitació i resolució de les bretxes de seguretat, en col·laboració amb el responsable del tractament, d'acord amb els articles 33 i 34 de l'RGPD, sense perjudici de l'assessorament del Delegat de Protecció de Dades de l'Administració de la CAIB, com a òrgan independent, i del responsable de Seguretat de la Informació de la Direcció General d'Estratègia Digital i Simplificació Administrativa.
h) Revisar i analitzar les mesures de protecció de dades davant qualsevol canvi en la naturalesa, l'àmbit, el context, les finalitats del tractament o una variació dels riscs per als drets i les llibertats de les persones físiques.
i) Exercir com a interlocutor de la conselleria en matèria de protecció de dades personals i drets digitals.
j) Col·laborar en la conscienciació i formació del personal que participa en les operacions de tractament de la conselleria en matèria de protecció de dades.
k) Assistir a les reunions convocades pel Delegat de Protecció de Dades de l'Administració de la CAIB i coordinar-se amb ell.
l) Assistir a les reunions convocades pel Comitè Tècnic de Coordinadors i pel comitè de responsables del tractament de la conselleria respectiva.
Disposició addicional única
Recursos tècnics i humans
1. La creació i el funcionament de la CPD i dels comitès no suposen cap increment de la despesa pública, per la qual cosa no requereixen cap dotació pressupostària.
2. El funcionament de la CPD s'ha d'atendre amb els recursos humans i materials de la conselleria a la qual està adscrita i, si escau, de les altres conselleries els membres de les quals integrin la Comissió.
3. El funcionament dels comitès s'ha d'atendre amb els recursos humans i materials dels òrgans directius als quals s'adscrigui la presidència.
Disposició final primera
Ordres de funcions
Pel que fa a les funcions dels Coordinadors de protecció de dades personals, les ordres de funcions de cada conselleria s'han d'adaptar i han de recollir el que disposa l'article 7.2 d'aquest Decret.
Disposició final segona
Entrada en vigor
Aquest Decret entra en vigor l'endemà de la publicació en el Butlletí Oficial de les Illes Balears.
Palma, 4 d'octubre de 2024
|
La presidenta |
La conselleria de Presidència i Administracions Públiques |
Margarita Prohens Rigo |
Antònia Maria Estarellas Torrens |
|