Torna

BUTLLETÍ OFICIAL DE LES ILLES BALEARS

Sección I. Disposiciones generales

CONSEJO DE GOBIERNO

Núm. 645299
Decreto 44/2024, de 4 de octubre, por el que se crea y regula la estructura organizativa de la protección de datos de la Administración de la Comunidad Autónoma de las Illes Balears

  • Contenido, oficial y auténtico, de la disposición: Documento pdf  Versión PDF

Texto

Preámbulo

I

La protección de las personas físicas con respecto al tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española, que dispone que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), señalan que la protección de los derechos y libertades de las personas físicas en cuanto al tratamiento de datos personales exige que el responsable del tratamiento adopte las medidas técnicas y organizativas apropiadas con el objeto de garantizar y poder demostrar que el tratamiento es conforme con el RGPD («responsabilidad proactiva»), entre las que se incluye la regulación de las políticas de protección de datos.

El artículo 13 h) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, sobre los derechos de las personas en sus relaciones con las administraciones públicas, recoge el derecho a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las administraciones públicas.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las administraciones públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculadas o dependientes a través de medios electrónicos. Dichos medios deberán asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarán la protección de datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados. En este sentido, el artículo 156.2 de la Ley 40/2015, de 1 de octubre, recoge el Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, de 3 de mayo.

II

De conformidad con los artículos 2.1 d) y 3.6 del Decreto 12/2023, de 10 de julio, de la presidenta de las Illes Balears, por el que se establecen las competencias y la estructura orgánica básica de las consejerías de la Administración de la Comunidad Autónoma de las Illes Balears, las secretarías generales y direcciones generales, así como los órganos directivos asimilados, ejercen las funciones de responsables del tratamiento de los datos personales de los procedimientos o procesos en relación con sus competencias, y la Dirección General de Estrategia Digital y Simplificación Administrativa tiene las funciones de encargado del tratamiento de los datos personales en relación con los sistemas de información, recursos tecnológicos y servicios informáticos y telemáticos de la Administración de la Comunidad Autónoma.

Por otro lado, según el principio de «responsabilidad proactiva» (artículo 5.2 del RGPD), que exige una actitud consciente, diligente y proactiva por parte de los responsables ante todos los tratamientos de datos personales que se realicen en la Administración de la Comunidad Autónoma de las Illes Balears, la implantación y aplicación coordinada de la Política de Protección de Datos (en adelante, PPD) —marco de gobierno que permitirá la gestión de la protección de datos en el contexto de las actividades de tratamiento de datos personales y los sistemas de información de la Administración de la Comunidad Autónoma de las Illes Balears— requiere la creación de órganos de coordinación para la aplicación y gestión de las estrategias, medidas y actuaciones de la PPD, y que a su vez permitan la colaboración de todos los niveles de la Administración —nivel estratégico, táctico y operativo—, para gestionar los datos personales que se deriven de las actividades de tratamiento de la Administración de la Comunidad Autónoma de las Illes Balears y para proporcionar, de este modo, la capacidad de alinear la protección de las personas físicas en cuanto al tratamiento de sus datos de carácter personal con los objetivos corporativos.

III

Por todo ello, se considera preciso dotar a la Administración de la Comunidad Autónoma de las Illes Balears de una estructura organizativa que le permita implementar la Política de Protección de Datos, con el objeto de llevar a cabo una gestión de las actividades de tratamiento de conformidad con la normativa vigente en materia de protección de datos personales y derechos digitales.

Con ese objeto, se estima necesario crear una comisión de protección de datos, integrada por los Secretarios Generales de todas las consejerías y por la persona titular de la Dirección General de Estrategia Digital y Simplificación Administrativa, para coordinar la aplicación y gestión de la PPD y darle el impulso estratégico necesario.

A su vez, y para prestar apoyo técnico a la Comisión, se considera necesaria la creación de un comité técnico de coordinadores, integrado por todos los coordinadores de protección de datos de las consejerías, y de un comité de responsables del tratamiento en cada una de las consejerías de la Administración de la Comunidad Autónoma de las Illes Balears.

El presente decreto contiene siete artículos, una disposición adicional única y dos disposiciones finales.

La regulación de este decreto, de carácter organizativo, cumple con los principios de buena regulación exigidos por el artículo 49 de la Ley 1/2019, de 31 de enero, y el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Se han respetado los principios de necesidad, eficacia, proporcionalidad y seguridad jurídica, dado que el decreto recoge la regulación imprescindible para atender la necesidad que debe cubrirse, en relación con la regulación de las respectivas funciones, y es coherente con el resto del ordenamiento, especialmente en cuanto a la regulación de los órganos colegiados de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y la Ley 3/2003, de 26 de marzo, de Régimen Jurídico de la Administración de la Comunidad Autónoma de las Illes Balears, y se ha seguido el procedimiento establecido para la elaboración normativa de disposiciones reglamentarias de carácter organizativo previstas en la Ley 1/2019, de 31 de enero.

En cuanto al principio de transparencia, la norma queda exenta de los trámites de consulta pública y de audiencia e información pública, dada su naturaleza puramente organizativa.

Finalmente, se han respetado los principios de eficiencia, calidad y simplificación, dado que no regula procedimientos que supongan nuevas cargas administrativas a la ciudadanía, y establece de forma destacada la comunicación telemática como instrumento de simplificación y agilidad, sin que la creación y funcionamiento de dichos órganos suponga asignar nuevos recursos públicos para atenderlos.

En consecuencia, a propuesta de la consejera de Presidencia y Administraciones Públicas, previa consideración del Consejo de Gobierno en la sesión del día 4 de octubre de 2024,

DECRETO

Capítulo I Disposiciones generales

Artículo 1

Objeto

El objeto del presente decreto es dotar a la Administración de la Comunidad Autónoma de las Illes Balears de una estructura organizativa en el ámbito competencial de la protección de datos personales que le permita implementar la Política de Protección de Datos, con el objeto de llevar a cabo una gestión de las actividades de tratamiento conforme a la normativa vigente en materia de protección de datos personales y derechos digitales.

 

Capítulo II Comisión de Protección de Datos

Artículo 2

Comisión de Protección de Datos

1. Se crea la Comisión de Protección de Datos (en adelante, CPD), como órgano colegiado para la gestión y coordinación de la PPD que realice la Administración de la Comunidad Autónoma de las Illes Balears en el marco de la normativa europea y estatal de protección de datos personales y derechos digitales, con el régimen jurídico, funciones y composición previstos en este decreto.

2. La CPD se adscribe a la Secretaría General de la Consejería de Presidencia y Administraciones Públicas.

 

Artículo 3

Funciones

Corresponderán a la Comisión de Protección de Datos las siguientes funciones:

a) Aprobar, impulsar y coordinar las estrategias, medidas y actuaciones en la implantación y aplicación de la PPD de la Administración de la Comunidad Autónoma de las Illes Balears.

b) Acordar planes de acción, calendarios de actuación y herramientas comunes para la aplicación de la PPD.

c) Realizar el seguimiento del cumplimiento de la PPD y realizar las oportunas propuestas de modificaciones, actualizaciones y revisiones de la PPD, así como de su estructura organizativa.

d) Proponer la aprobación de instrucciones y circulares para la aplicación de la PPD.

e) Prestar apoyo al Delegado de Protección de Datos en el ejercicio de sus funciones, facilitándole los medios y recursos necesarios para el ejercicio de dichas funciones y para el mantenimiento de sus conocimientos especializados.

f) Acordar, impulsar y apoyar las medidas necesarias para colaborar con la Delegación de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears.

g) Escuchar al Delegado de Protección de Datos en las cuestiones relativas a la protección de datos personales.

h) Establecer, en su caso, en relación con las actuaciones comunes de los responsables del tratamiento, pautas de actuación, especialmente en relación con los procedimientos de análisis de riesgos, evaluaciones de impacto (EIPD) y brechas de seguridad, de conformidad con el RGPD, la LOPDGDD y los criterios y recomendaciones de la Agencia Española de Protección de Datos (AEPD).

i) Promover los recursos y medios comunes para todas las consejerías y sus responsables del tratamiento, con respecto a las herramientas necesarias para la gestión del tratamiento de los datos personales, de conformidad con el RGPD y la LOPDGDD.

j) Promover recursos y medios para la concienciación y formación de los responsables y encargados del tratamiento, y del personal de la Administración de la Comunidad Autónoma de las Illes Balears en materia de protección de datos de carácter personal y derechos digitales.

k) Conocer los borradores de instrucciones y directrices que establezcan criterios para los responsables del tratamiento por razones de la materia específica o cuando estos estén incluidos en proyectos reglamentarios para la aplicación, coordinación, gestión y eficacia de la PPD.

l) Formular consultas y realizar propuestas de trabajo al Comité Técnico de Coordinadores.

m) Colaborar con el órgano directivo competente en materia de seguridad de la información para la coordinación de la PPD y de las políticas de seguridad de la información conforme al Esquema Nacional de Seguridad.

n) Proponer la aprobación de las instrucciones y circulares relativas a la ejecución de la Política de Protección de Datos.

 

Artículo 4

Composición

1. La Comisión de Protección de Datos estará integrada por los siguientes miembros:

a) La presidencia, que ostentará la persona titular de la Consejería de Presidencia y Administraciones Públicas.

b) La vicepresidencia, que ostentará la persona titular de la Secretaría General de la Consejería de Presidencia y Administraciones Públicas.

c) Vocales:

  • Las personas titulares de las secretarías generales de cada consejería.
  • La persona titular de la Dirección General de Estrategia Digital y Simplificación Administrativa de la Consejería de Economía, Hacienda e Innovación.

La persona titular de la vicepresidencia sustituirá a la presidencia en caso de vacante, ausencia, enfermedad o cualquier otra causa justificada.

2. La secretaría de esta Comisión la ostentará, con voz sin voto, un funcionario o funcionaria del cuerpo superior de la Comunidad Autónoma de las Illes Balears designado por la presidencia de la Comisión.

En caso de ausencia o cualquier otro impedimento debidamente justificado de la persona que ostente la secretaría, será suplida por la persona que determine la presidencia de la CPD.

3. La CPD podrá convocar reuniones y ser asistida, entre otras, por las siguientes personas:

a) Una persona en representación del Servicio Jurídico de la Consejería de Presidencia y Administraciones Públicas.

b) El jefe del Departamento de Ciberseguridad y Telecomunicaciones, el jefe del Servicio de Seguridad de la Información, el jefe del Servicio de Sistemas de Información, el jefe del Servicio de Proceso de Datos y Red Corporativa y el jefe de departamento de la Oficina de Administración Digital de la Dirección General de Estrategia Digital y Simplificación Administrativa de la Consejería de Economía, Hacienda e Innovación.

c) Los Coordinadores de protección de datos personales de las consejerías.

El Delegado de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears podrá asistir, con voz y sin voto, cuando se traten cuestiones relativas a la protección de datos de carácter personal, en su caso.

4. En casos de ausencia, enfermedad y, en general, cuando exista alguna causa debidamente justificada, la vicepresidencia y los vocales podrán ser sustituidos por el director general de su consejería que designen.

 

Capítulo III Órganos y unidades de apoyo técnico

Artículo 5

Comité Técnico de Coordinadores de Protección de Datos

1. Se crea el Comité Técnico de Coordinadores de Protección de Datos como órgano colegiado integrado por los Coordinadores de protección de datos de cada consejería.

2. El Comité Técnico de Coordinadores podrá convocar reuniones y ser asistido, en su caso, en relación con los asuntos del orden del día de la reunión, por las siguientes personas:

a) Una persona en representación de los servicios jurídicos de cada consejería designado por la Secretaría General respectiva.

b) El jefe del Servicio de Seguridad de la Información de la Dirección General de Estrategia Digital y Simplificación Administrativa de la Consejería de Economía, Hacienda e Innovación.

El Delegado de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears podrá asistir con voz y sin voto cuando se traten cuestiones relativas a la protección de datos de carácter personal, en su caso.

3. La presidencia de este Comité Técnico de Coordinadores será ostentada por el Coordinador de protección de datos de la Consejería de Presidencia y Administraciones Públicas.

4. La secretaría de este Comité será ostentada, con voz y sin voto, por un funcionario o funcionaria del cuerpo superior, que será designado por la Secretaría General de la Consejería de Presidencia y Administraciones Públicas.

5. Se atribuyen al Comité Técnico de Coordinadores las siguientes funciones:

a) Evaluar el cumplimiento de la PPD y la normativa vigente en materia de protección de datos personales y derechos digitales, y realizar su seguimiento.

b) Realizar propuestas a la CPD de mejora de la PPD.

c) Intercambiar información sobre medidas y actuaciones de los responsables del tratamiento de las consejerías.

d) Proponer medidas de apoyo a los responsables del tratamiento de las consejerías y, en su caso, proponer criterios comunes de gestión en materia de protección de datos personales.

e) Colaborar con la Dirección General de Estrategia Digital y Simplificación Administrativa de la Consejería de Economía, Hacienda e Innovación, y realizar el seguimiento de la implantación de las medidas de seguridad de la información que se pongan en funcionamiento en la Administración de la Comunidad Autónoma de las Illes Balears para dar cumplimiento a la normativa de protección de datos personales y a la PPD.

f) Debatir y coordinar la tramitación y resolución de las solicitudes de ejercicio de los derechos en materia de protección de datos, y de las reclamaciones presentadas por los afectados ante la Agencia Española de Protección de Datos, cuando afecten a diferentes consejerías.

g) Prestar asesoramiento y apoyo técnico a la CPD en materia de protección de datos personales, en relación con las consultas y propuestas que la CPD le solicite.

h) Asistir a las reuniones convocadas por el Delegado de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears.

6. El Comité Técnico de Coordinadores se reunirá, como mínimo, una vez cada cuatro meses al año para poner en común las incidencias, necesidades, consultas, dudas y/u otras cuestiones en materia de protección de datos que se hayan planteado en cada consejería, y, de forma extraordinaria, a petición motivada de cualquier miembro, informando previamente al Delegado de Protección de Datos para que, si lo considera, pueda introducir otras cuestiones de interés en el orden del día.

Artículo 6

Comité de responsables del tratamiento

1. Todos los órganos directivos y órganos directivos asimilados de la Administración de la Comunidad Autónoma de las Illes Balears, como responsables del tratamiento de los datos de carácter personal, estarán integrados en el correspondiente Comité de responsables del tratamiento de la consejería respectiva.

El Comité de responsables del tratamiento de cada consejería estará integrado por los siguientes vocales:

a) La persona titular de la Secretaría General, que lo presidirá.

b) La persona titular de cada dirección general.

c) La persona titular de cada órgano directivo asimilado.

d) El Coordinador de protección de datos personales de la consejería respectiva, con voz sin voto.

El Delegado de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears podrá asistir con voz y sin voto cuando se traten cuestiones relativas a la protección de datos de carácter personal, en su caso.

2. En los casos de ausencia, enfermedad o cualquier otro impedimento temporal debidamente justificado, los órganos directivos podrán ser sustituidos por el jefe de departamento o jefe de servicio que designen.

3. Las funciones del Comité de responsables del tratamiento serán, entre otras, las siguientes:

a) Velar por el cumplimiento y la aplicación de la PPD y la normativa vigente en materia de protección de datos personales y derechos digitales.

b) Atender las recomendaciones, sugerencias y observaciones de la Delegación de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears.

c) Proponer la resolución de las cuestiones planteadas por los responsables del tratamiento, específicamente con respecto a las brechas de seguridad y las evaluaciones de impacto (EIPD).

d) Analizar e implantar las herramientas, guías, instrucciones y otros materiales de la AEPD y de la CPD en materia de protección de datos de carácter personal.

e) Examinar y conocer los últimos avances e interpretaciones efectuados por la AEPD y otros organismos respecto a la protección de datos personales y derechos digitales.

f) Proponer la resolución de las cuestiones que se planteen sobre el ejercicio de los derechos de los interesados y la gestión del Registro de actividades de tratamiento (RAT), de conformidad con el RGPD y la LOPDGDD.

g) Recibir información de las acciones y propuestas de la CPD.

h) Proponer a la CPD las propuestas de mejora y actualización de la PPD.

i) Ejercer cualesquiera otras funciones relacionadas con su ámbito de actuación en materia de protección de datos personales y derechos digitales.

 

Artículo 7

Coordinadores de protección de datos personales

1. Cada consejería contará con un Coordinador de protección de datos personales, que deberá ser personal funcionario de carrera del cuerpo superior de la Administración de la Comunidad Autónoma de las Illes Balears, para apoyar a los responsables del tratamiento y al personal de cada una de las consejerías en materia de protección de datos personales, quienes se coordinarán, en su caso, con la Delegación de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears.

2. Se atribuyen a los Coordinadores de protección de datos personales las siguientes funciones:

a) Conocer la PPD de la Administración de la Comunidad Autónoma de las Illes Balears a efectos de su cumplimiento, impulsarla y, en su caso, proponer mejoras al Comité Técnico de Coordinadores.

b) Colaborar con los responsables del tratamiento de su consejería en el cumplimiento de la normativa vigente en materia de protección de datos personales y derechos digitales.

c) Coordinarse, colaborar y prestar apoyo a las diferentes unidades administrativas de la consejería en materia de protección de datos personales y derechos digitales.

d) Colaborar con los responsables del tratamiento en la atención y tramitación de las solicitudes de ejercicio de derechos de los interesados, de conformidad con los artículos 12 a 22 del RGPD, así como en la tramitación y resolución de las reclamaciones presentadas por los afectados ante la Agencia Española de Protección de Datos, sin perjuicio del asesoramiento en su caso del Delegado de Protección de Datos de la Administración de la CAIB.

e) Colaborar con los responsables del tratamiento en la realización y seguimiento de las evaluaciones de impacto de las operaciones de tratamiento (EIPD), sin perjuicio del asesoramiento del Delegado de Protección de Datos de la Administración de la CAIB, como órgano independiente.

f) Coordinarse, colaborar y prestar apoyo a los responsables del tratamiento en la gestión y mantenimiento del Registro de actividades de tratamiento (RAT) y del Inventario de conformidad con la normativa vigente, sin perjuicio de la supervisión y el asesoramiento de la Delegación de Protección de Datos de la Administración de la CAIB.

g) Realizar el seguimiento de la tramitación y resolución de las brechas de seguridad, en colaboración con el responsable del tratamiento, de conformidad con los artículos 33 y 34 del RGPD, sin perjuicio del asesoramiento del Delegado de Protección de Datos de la Administración de la CAIB, como órgano independiente, y del responsable de Seguridad de la Información de la Dirección General de Estrategia Digital y Simplificación Administrativa.

h) Revisar y analizar las medidas de protección de datos ante cualquier cambio en la naturaleza, ámbito, contexto, finalidades del tratamiento o variación de los riesgos para los derechos y libertades de las personas físicas.

i) Ejercer como interlocutor de la consejería en materia de protección de datos personales y derechos digitales.

j) Colaborar en la concienciación y formación del personal que participe en las operaciones de tratamiento de la consejería en materia de protección de datos.

k) Asistir a las reuniones convocadas por el Delegado de Protección de Datos y coordinarse con él.

l) Asistir a las reuniones convocadas por el Comité Técnico de Coordinadores y por el Comité de responsables del tratamiento de la consejería respectiva.

 

Disposición adicional única

Recursos técnicos y humanos

1. La creación y el funcionamiento de la CPD y de los comités no suponen ningún incremento del gasto público, por lo que no requieren ninguna dotación presupuestaria.

2. El funcionamiento de la CPD se atenderá con los recursos humanos y materiales de la consejería a la que está adscrita y, en su caso, de las otras consejerías cuyos miembros integren la Comisión.

3. El funcionamiento de los comités se atenderá con los recursos humanos y materiales de los órganos directivos a los que se adscriba la presidencia.

Disposición final primera

Órdenes de funciones

Por lo que respecta a las funciones de los Coordinadores de protección de datos personales, las órdenes de funciones de cada consejería deberán adaptarse y recoger lo dispuesto en el artículo 7.2 del presente Decreto.

Disposición final segunda

Entrada en vigor

Este decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de las Illes Balears.

 

Palma, 4 de octubre de 2024

 

La presidenta

La consejera de Presidencia y Administraciones Públicas

Margarita Prohens Rigo

Antònia Maria Estarellas Torrens