- Inici
- > BOIB, Butlletí Oficial
- > BOIB Núm 153 - 23 / novembre / 2024
- > Pàg. 54581 a 54595
Secció I. Disposicions generals
CONSELL DE GOVERN
Núm. 775651
Decret 48/2024, de 22 de novembre, pel qual s’aprova la política de protecció de dades personals de l’Administració de la Comunitat Autònoma de les Illes Balears
-
Contingut, oficial i autèntic, de la disposició:
Versió PDF
Text
Preàmbul
I
La protecció de les persones físiques pel que fa al tractament de dades personals és un dret fonamental protegit per l'article 18.4 de la Constitució espanyola, que disposa que «la llei limitarà l'ús de la informàtica per garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets».
L'article 8, apartat 1, de la Carta dels Drets Fonamentals de la Unió Europea («la Carta») i l'article 16, apartat 1, del Tractat de Funcionament de la Unió Europea (TFUE) estableixen que tota persona té dret a la protecció de les dades de caràcter personal que la concerneixin.
En aquest sentit, el dret a la protecció de les dades personals no és un dret absolut, sinó que s'ha de considerar en relació amb la seva funció en la societat i, per tant, ha de mantenir l'equilibri amb altres drets fonamentals, d'acord amb el principi de proporcionalitat.
L'article 12.3 de l'Estatut d'autonomia de les Illes Balears, aprovat per la Llei orgànica 1/2007, de 28 de febrer, estableix que les institucions pròpies de la comunitat autònoma de les Illes Balears, per complir les finalitats que els són pròpies i en el marc de les competències que els atribueix aquest Estatut, han de promoure, com a principis rectors de la política econòmica i social, el desenvolupament sostenible encaminat a la plena ocupació, la cohesió social i el progrés científic i tècnic, de manera que s'asseguri a tota la ciutadania l'accés als serveis públics i el dret a la salut, l'educació, l'habitatge, la protecció social, el lleure i la cultura.
D'acord amb els articles 30.1 i 31.14 de l'Estatut d'autonomia de les Illes Balears, corresponen a la Comunitat Autònoma de les Illes Balears, respectivament, la competència exclusiva pel que fa a l'organització, règim i funcionament de les institucions pròpies en el marc de l'Estatut, i el desenvolupament legislatiu i l'execució de la protecció de dades de caràcter personal respecte dels fitxers de titularitat de les administracions públiques de la comunitat autònoma i dels ens o organismes de qualsevol classe que hi estan vinculats o que en depenen.
El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (d'ara endavant, RGPD), assenyala que la protecció dels drets i les llibertats de les persones físiques respecte al tractament de dades personals exigeix l'adopció pel responsable del tractament de mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme amb l'RGPD, entre les quals s'inclou la regulació de les polítiques de protecció de dades (article 24.2 de l'RGPD).
En aquest sentit, l'article 28 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (d'ara endavant, LOPDGDD), disposa que els responsables determinaran les mesures tècniques i organitzatives apropiades que han d'aplicar per tal de garantir i acreditar que el tractament és conforme amb l'RGPD, la LOPDGDD, les seves normes de desplegament i la legislació sectorial aplicable.
Per la seva banda, la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, recull en l'article 13, lletra h), sobre drets de les persones en les seves relacions amb les administracions públiques, el dret a la protecció de dades de caràcter personal i, en particular, a la seguretat i confidencialitat de les dades que figurin en els fitxers, sistemes i aplicacions de les administracions públiques.
La Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, estableix que les administracions públiques s'han de relacionar entre si i amb els seus òrgans, organismes públics i entitats vinculades o dependents a través de mitjans electrònics. Aquests mitjans han d'assegurar la interoperabilitat i la seguretat dels sistemes i les solucions adoptades, han de garantir la protecció de les dades de caràcter personal i han de facilitar preferentment la prestació conjunta de serveis als interessats.
En aquest sentit, el Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat, recollit en l'article 156 de la Llei 40/2015, d'1 d'octubre, estableix els principis bàsics i els requisits mínims necessaris per a una protecció adequada de la informació tractada i dels serveis prestats per les entitats del seu àmbit d'aplicació, a fi d'assegurar l'accés, la confidencialitat, la integritat, la traçabilitat, l'autenticitat, la disponibilitat i la conservació de les dades.
II
L'organització de l'Administració de la Comunitat Autònoma de les Illes Balears es fonamenta en una estructura jeràrquicament ordenada. Així, sota la direcció superior de la Presidència del Govern, la Llei 3/2003, de 26 de març, de règim jurídic de l'Administració de la Comunitat Autònoma de les Illes Balears, estableix com a òrgans superiors els consellers, i com òrgans directius els directors generals, els secretaris generals i aquells altres que s'assimilin a aquests en rang. Les conselleries es configuren com els sectors materials d'activitat administrativa funcionalment homogenis, la creació i l'estructura orgànica bàsica dels quals correspon establir a la Presidència del Govern.
D'acord amb l'article 17.a) de la Llei 1/2019, de 31 de gener, del Govern de les Illes Balears, correspon al Consell de Govern establir la política general de la comunitat autònoma, dins la qual hi ha la política de protecció de dades personals.
En conseqüència, en compliment de l'article 24.2 de l'RGPD, és necessari que el Govern de les Illes Balears aprovi la seva pròpia política de protecció de dades personals que reguli els principis rectors, les obligacions, l'estructura, l'organització i les responsabilitats que haurà de preveure l'Administració de la Comunitat Autònoma de les Illes Balears (en endavant, CAIB) en matèria de protecció de dades personals i drets digitals.
Així, la política de protecció de dades personals que s'aprova per decret és aplicable a l'Administració de la CAIB, i d'aplicació supletòria al sector públic instrumental d'aquesta Administració, regulat per la Llei 7/2010, de 21 de juliol, del sector públic instrumental de la Comunitat Autònoma de les Illes Balears, sempre que l'ens en concret no tengui aprovada la seva pròpia política de protecció de dades, i sens perjudici de l'adaptació corresponent a les particularitats pròpies de cada ens.
III
El principi de «responsabilitat proactiva» (article 5.2 de l'RGPD) requereix que els responsables del tractament, és a dir, els titulars dels òrgans directius de les conselleries (directors generals i secretaris generals) i els òrgans directius assimilats analitzin quines dades es tracten, amb quines finalitats ho fan i quins tipus d'operacions de tractament duen a terme. A partir d'aquests coneixements han de determinar de forma explícita la manera com s'aplicaran les mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar que el tractament és conforme amb l'RGPD. Per tant, aquest principi exigeix una actitud conscient, diligent i proactiva per part dels responsables davant tots els tractaments de dades personals que es duguin a terme a l'Administració de la CAIB.
El document «mestre» de tot el compliance són les polítiques de protecció de dades personals, atès que per poder demostrar la conformitat amb l'RGPD el responsable del tractament ha d'adoptar polítiques internes i aplicar mesures que compleixin en particular els principis de protecció de dades des del disseny i per defecte.
En aquest sentit, la política de protecció de dades personals és el document base i el marc de govern mitjançant el qual es defineix el marc d'actuació que permet recollir i delimitar amb claredat les responsabilitats i funcions en matèria de protecció de dades personals en el context de les activitats de tractament de les dades personals i els sistemes d'informació de l'Administració de la CAIB.
A més, l'adopció d'un marc de govern de protecció de dades personals permet la col·laboració de tots els nivells de l'Administració —estratègic, tàctic i operatiu—, per gestionar les dades personals que es deriven de les activitats de tractament de l'Administració de la CAIB, i fomentar una cultura de protecció de dades en tots els nivells de l'Administració autonòmica.
IV
El Decret 12/2023, de 10 de juliol, de la presidenta de les Illes Balears, pel qual s'estableixen les competències i l'estructura orgànica bàsica de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears, disposa en l'article 3.2.b) que s'adscriu a la Secretaria General de la Conselleria de Presidència i Administracions Públiques, a efectes administratius, la Delegació de Protecció de Dades Personals.
D'acord amb l'article 3.6 del Decret esmentat, les secretaries generals i les direccions generals, així com els òrgans directius assimilats, són els responsables del tractament de les dades personals en relació amb les seves competències.
Així mateix, l'article 2.1, lletra e) del Decret 12/2023, modificat entre d'altres pel Decret 4/2024, de 17 de maig, de la presidenta de les Illes Balears, estableix que la Direcció General d'Estratègia Digital i Simplificació Administrativa té les funcions d'encarregat del tractament de les dades personals en relació amb els sistemes d'informació, recursos tecnològics i serveis informàtics i telemàtics de l'Administració de la Comunitat Autònoma.
V
En conseqüència, s'ha considerat necessari dotar l'Administració de la Comunitat Autònoma de les Illes Balears d'una estructura organitzativa que li permeti implementar la política de protecció de dades personals, amb la finalitat de dur a terme una gestió de les activitats de tractament d'acord amb la normativa vigent en matèria de protecció de dades personals i drets digitals amb l'aprovació del Decret 44/2024, de 4 d'octubre, pel qual es crea i es regula l'estructura organitzativa de la protecció de dades de l'Administració de la Comunitat Autònoma de les Illes Balears.
VI
Per tant, l'objecte d'aquest Decret és l'aprovació de la política de protecció de dades personals de l'Administració de la CAIB per definir-la, implantar-la i gestionar-la. Així, aquest Decret compleix els principis de bona regulació exigits per l'article 49 de la Llei 1/2019, de 31 de gener, i per l'article 129 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.
Aquest Decret conté vint-i-dos articles i una disposició final.
S'han respectat els principis de necessitat, eficàcia, proporcionalitat i seguretat jurídica, atès que el Decret recull la regulació imprescindible per atendre la necessitat que s'ha de cobrir, i és coherent amb la resta de l'ordenament, especialment en relació amb la regulació en matèria de protecció de dades continguda en l'RGPD i en la LOPDGDD, i s'ha seguit el procediment establert per a l'elaboració normativa de disposicions reglamentàries previst en la Llei 1/2019, de 31 de gener.
Igualment, s'ha respectat el principi de transparència, atès que el Projecte de decret s'ha publicat en el Portal de Transparència i s'ha sotmès a informació pública, de manera que s'ha facilitat la presentació d'al·legacions i suggeriments.
Finalment, s'han respectat els principis d'eficiència, qualitat i simplificació, atès que l'esmentat Decret no regula procediments que suposin noves càrregues administratives a la ciutadania.
Per tot això, a proposta de la consellera de Presidència i Administracions Públiques, amb l'informe preceptiu favorable de l'Agència Espanyola de Protecció de Dades, d'acord amb el Consell Consultiu de les Illes Balears, i havent-ho considerat el Consell de Govern en la sessió del dia 22 de novembre de 2024,
DECRET
Capítol I Disposicions generals
Article 1 Objecte
Aquest Decret té per objecte regular la política de protecció de dades personals (d'ara endavant, PPDP) de l'Administració de la Comunitat Autònoma de les Illes Balears, per tal de definir, implantar i aplicar coordinadament un marc de govern i actuació que permeti la gestió proactiva de la protecció de les dades de caràcter personal tractades per mitjans electrònics i en suport paper (automatitzats i no automatitzats) en el context de les activitats de tractament de dades personals i els sistemes d'informació de l'Administració de la CAIB, d'acord amb l'RGPD, la LOPDGDD i la resta de normativa vigent en matèria de protecció de dades personals i drets digitals.
Article 2 Àmbit d'aplicació
1. Aquest Decret s'aplica a tots els sistemes d'informació i a totes les activitats de tractament de dades personals de què sigui responsable o encarregada del tractament l'Administració de la CAIB.
Per tant, la política de protecció de dades personals de l'Administració de la CAIB és de compliment obligatori per a totes les unitats que conformen l'estructura de l'Administració de la CAIB (direccions generals, secretaries generals i òrgans directius assimilats), i per a tot el personal amb accés a la informació de la qual és responsable o encarregada aquesta Administració, amb independència de la seva destinació, condició laboral o relació per la qual s'accedeix a la informació.
2. El Decret pel qual s'aprova la política de protecció de dades personals de l'Administració de la CAIB és d'aplicació supletòria al sector públic instrumental de la CAIB, regulat per la Llei 7/2010, de 21 de juliol, del sector públic instrumental de la Comunitat Autònoma de les Illes Balears, sens perjudici de les degudes adaptacions a les particularitats organitzatives pròpies de cada ens, i sempre que aquests ens no tenguin aprovada la seva pròpia política de protecció de dades.
Article 3 Marc normatiu
El marc normatiu d'aplicació del Decret pel qual s'aprova la política de protecció de dades personals de l'Administració de la CAIB està integrat pel Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE; la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals; el Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat, i la resta de normativa vigent d'aplicació en matèria de protecció de dades personals i drets digitals.
Capítol II Principis de protecció de dades
Article 4 Principis relatius al tractament de les dades personals
1. L'Administració de la Comunitat Autònoma de les Illes Balears ha de tractar la informació i les dades de caràcter personal, sota la seva responsabilitat, d'acord amb els principis de protecció de dades regulats en l'article 5 del Reglament (UE) 2016/679.
2. Els titulars dels òrgans directius de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears (directors generals, secretaris generals i òrgans directius assimilats) com a responsables del tractament, han d'adoptar les mesures tècniques i organitzatives apropiades per tal de garantir i poder demostrar davant els interessats i l'autoritat de control (Agència Espanyola de Protecció de Dades) que el tractament és conforme amb el Reglament (UE) 2016/679, d'acord amb el principi de «responsabilitat proactiva».
3. D'acord amb el «principi de licitud», en l'àmbit de l'Administració de la Comunitat Autònoma de les Illes Balears les bases jurídiques per al tractament de les dades personals són, amb caràcter general, el compliment d'una obligació legal aplicable al responsable del tractament (article 6.1.c de l'RGPD), o el compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament (article 6.1.e de l'RGPD).
Ara bé, la base jurídica de cada tractament concret s'haurà d'especificar a la norma o acte jurídic que, en cada cas, estableixi el tractament en si mateix considerat, i s'haurà de reflectir al Registre d'Activitats de Tractament (RAT) i publicar a l'Inventari de les activitats de tractament.
4. L'RGPD ha desplaçat el «principi de consentiment» com a eix central del dret a la protecció de dades a l'àmbit de les administracions públiques, per la qual cosa el consentiment com a base jurídica del tractament de dades personals per les administracions públiques té caràcter excepcional.
Així, el consentiment no pot constituir un fonament jurídic vàlid per al tractament de dades de caràcter personal quan hi hagi un desequilibri clar entre la persona interessada i el responsable del tractament, en particular quan aquest responsable és una autoritat pública i sigui, per tant, improbable que el consentiment s'hagi donat lliurement en totes les circumstàncies de la situació particular esmentada.
5. Els responsables del tractament han de prendre les mesures oportunes per facilitar a la persona interessada, a títol gratuït, tota la informació recollida en els articles 13 i 14 de l'RGPD, així com qualsevol comunicació d'acord amb els articles 15 a 22 i 34 de l'RGPD relativa al tractament de forma concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill, d'acord amb el «principi de transparència».
6. Les dades de caràcter personal s'han de tractar per al compliment de finalitats determinades, explícites i legítimes en el moment de la recollida, i no poden ser tractades posteriorment de manera incompatible amb aquestes finalitats, d'acord amb el «principi de limitació de la finalitat». La finalitat del tractament haurà de quedar determinada en la base jurídica que legitimi el tractament.
7. Per aplicar el «principi de minimització de dades» el responsable del tractament ha d'aplicar les mesures tècniques i organitzatives apropiades que garanteixin que, per defecte, únicament siguin objecte de tractament les dades personals necessàries per a cadascuna de les finalitats específiques del tractament i que hagin estat definides en l'etapa de disseny inicial.
No es poden sol·licitar i tractar dades personals simplement per si poden resultar útils o «per tenir-les».
8. D'acord amb el «principi d'exactitud», en un tractament que incorpora un sistema d'intel·ligència artificial (IA) cal avaluar l'exactitud de les dades d'entrada, les dades de sortida i fins i tot les dades intermèdies, ja que no fer-ho podria introduir biaixos i comprometre el rendiment no només de l'algorisme sinó de tot el tractament.
Els tractaments que incorporin o utilitzin un sistema d'IA han de complir, amb caràcter específic, a part dels requisits per a la protecció de dades personals que resultin de l'RGPD i de la LOPDGDD, els específics que resultin (tant pel que fa al tractament de dades personals com de la pròpia licitud en si mateixa del sistema d'IA utilitzat), respecte de cada sistema d'IA utilitzat, amb els requisits previstos, en cada cas, al Reglament (UE) 2024/1689 del Parlament Europeu i del Consell, de 13 de juny de 2024, pel qual s'estableixen normes harmonitzades en matèria d'intel·ligència artificial i pel qual es modifiquen els Reglaments (CE) núm. 300/2008, (UE) núm. 167/2013, (UE) núm. 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 i les Directives 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Reglament d'Intel·ligència Artificial).
Els responsables del tractament han d'adoptar totes les mesures raonables perquè se suprimeixin o es rectifiquin sense dilació les dades personals que siguin inexactes pel que fa a les finalitats per a les quals es tracten, per tal que aquestes siguin exactes i, si fos necessari, actualitzades.
9. El «principi de limitació del termini de conservació» constitueix una de les materialitzacions del «principi de minimització». La conservació d'aquestes dades s'ha de limitar en el temps a aconseguir les finalitats que persegueix el tractament. Un cop aquestes finalitats s'han assolit, segons correspongui d'acord amb els articles 22, 32 o concordants de la LOPDGDD, les dades han de ser eliminades, bloquejades o, si no, anonimitzades, és a dir, desproveïdes de tot element que permeti identificar els interessats.
10. Les dades personals s'han de tractar d'una manera que es garanteixi una seguretat i confidencialitat adequades de les dades personals, fins i tot per impedir l'accés o l'ús no autoritzats de les dades esmentades i de l'equip utilitzat en el tractament.
Els responsables del tractament han d'aplicar les mesures tècniques o organitzatives apropiades i necessàries per garantir la confidencialitat, la integritat i la disponibilitat de la informació, i una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, a fi de protegir els drets i les llibertats de les persones, d'acord amb el «principi d'integritat i confidencialitat».
S'han d'evitar els tractaments de dades que puguin provocar danys i perjudicis físics, materials o immaterials, en particular en els casos en què el tractament pugui donar lloc a problemes de discriminació, usurpació d'identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la pseudonimització o qualsevol altre perjudici econòmic o social significatiu.
Article 5 Consentiment dels menors d'edat
1. El tractament de les dades personals d'un menor d'edat només es pot fundar en el consentiment quan sigui major de catorze anys.
Se n'exceptuen els supòsits en què la llei exigeixi l'assistència dels titulars de la pàtria potestat o tutela per formalitzar l'acte o el negoci jurídic en el context del qual es demana el consentiment per al tractament.
2. El tractament de les dades personals dels menors de catorze anys, fonamentat en el consentiment, només és lícit si consta el del titular de la pàtria potestat o tutela, amb l'abast que determinin els titulars de la pàtria potestat o tutela.
Article 6 Exclusions
1. El Reglament (UE) 2016/679 no s'aplica al tractament de la informació anònima, fins i tot amb finalitats estadístiques o de recerca, sense perjudici que sí serà d'aplicació al mateix tractament de dades personals conduent a la seva anonimització.
Els principis de protecció de dades no s'apliquen a la informació anònima, és a dir, informació que no té relació amb una persona física identificada o identificable, ni a les dades convertides en anònimes de manera que la persona interessada no sigui identificable, o deixi de ser-ho.
2. L'RGPD no s'aplica a la protecció de dades personals de persones difuntes.
Ara bé, les persones vinculades a la persona difunta per raons familiars o de fet, així com els seus hereus, podran adreçar-se al responsable o encarregat del tractament a fi de sol·licitar l'accés a les dades personals d'aquella i, si escau, la seva rectificació o supressió, excepte quan la persona difunta ho hagi prohibit expressament o així ho estableixi una llei. Aquesta prohibició no afectarà el dret dels hereus a accedir a les dades de caràcter patrimonial del causant.
3. L'RGPD no s'aplica al tractament de dades de caràcter personal per una persona física en l'exercici d'activitats exclusivament personals o domèstiques.
4. L'RGPD no regula el tractament de dades personals relatives a persones jurídiques i en particular a empreses constituïdes com a persones jurídiques, incloent-hi el nom i la forma de la persona jurídica i les seves dades de contacte.
Capítol III Drets dels interessats
Article 7 Exercici dels drets dels afectats
1. Els interessats poden exercir davant els responsables de cada tractament (segons el cas, els titulars dels òrgans directius o dels òrgans directius assimilats de les conselleries de la CAIB), els drets d'informació, d'accés, de rectificació, de supressió, de limitació del tractament, de portabilitat, d'oposició i de no ser objecte de decisions individuals automatitzades, drets reconeguts en els articles 15 a 22 del Reglament (UE) 2016/679.
2. Els responsables del tractament han d'adoptar les mesures adients en cadascun dels òrgans directius de l'Administració de la CAIB per tal de garantir als afectats l'exercici dels seus drets.
Sense perjudici del dret dels interessats de relacionar-se, quan correspongui, amb les administracions públiques a través de mitjans no electrònics (art. 14 Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques), a la seu electrònica de l'Administració de la CAIB (https://www.caib.es/seucaib/ca/200/persones/tramites/tramite/3960058) estan habilitats els procediments per a l'exercici dels drets en matèria de protecció de dades personals pels interessats en l'àmbit de l'Administració de la CAIB.
3. Els responsables del tractament han d'atendre les sol·licituds d'exercici dels drets d'acord amb els articles 15 a 22 de l'RGPD, sense dilació indeguda i, en qualsevol cas, en el termini d'un mes a partir de la recepció de la sol·licitud.
Aquest termini es pot prorrogar dos mesos més en cas necessari, tenint en compte la complexitat i el nombre de sol·licituds. El responsable informarà l'interessat de qualsevol pròrroga en el termini d'un mes a partir de la recepció de la sol·licitud, indicant els motius de la dilació.
Si el responsable del tractament no tramita la sol·licitud de l'interessat, sense dilació i com a màxim al cap d'un mes l'ha d'informar de la recepció de la sol·licitud, de les raons de la seva no actuació i de la possibilitat de presentar una reclamació davant l'Agència Espanyola de Protecció de Dades i d'exercir accions judicials.
La prova del compliment del deure de respondre a les sol·licituds d'exercici dels drets formulats pels afectats recau sobre el responsable del tractament.
4. Els coordinadors de protecció de dades personals col·laboraran amb els responsables del tractament en l'atenció i la tramitació de les sol·licituds d'exercici de drets dels interessats, així com en la tramitació i la resolució de les reclamacions presentades pels afectats davant l'Agència Espanyola de Protecció de Dades, sense perjudici de l'assessorament si escau del Delegat de Protecció de Dades de l'Administració de la CAIB.
5. La informació facilitada en virtut dels articles 13 i 14 de l'RGPD, així com qualsevol comunicació i actuació realitzada en virtut dels articles 15 a 22 i 34 de l'RGPD, ha de ser gratuïta.
Si les sol·licituds són manifestament infundades o excessives, especialment a causa del seu caràcter repetitiu, el responsable del tractament pot cobrar una taxa, d'acord amb els costs administratius satisfets per facilitar la informació o la comunicació, o per dur a terme l'actuació sol·licitada, o negar-se a actuar respecte de la sol·licitud.
Als efectes establerts en l'article 12.5 del Reglament (UE) 2016/679 es pot considerar repetitiu l'exercici del dret d'accés més d'una vegada durant el termini de sis mesos, llevat que hi hagi causa legítima.
6. El dret d'accés de l'article 15 de l'RGPD és independent del dret d'accés a la informació pública que regula la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern.
També és independent del dret d'accés a la documentació en un procediment administratiu, regulat per la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.
7. D'acord amb l'article 12.5 de la LOPDGDD, quan les lleis aplicables a determinats tractaments estableixin un règim especial per a l'exercici dels drets del Reglament (UE) 2016/679 s'aplicaran les lleis especials.
8. El dret de supressió s'ha d'exercir d'acord amb el que estableix l'article 17 del Reglament (UE) 2016/679.
Capítol IV Responsable i encarregat del tractament
Article 8 Responsable del tractament
1. Els titulars dels òrgans directius de les conselleries de la CAIB i els òrgans directius assimilats, atès que determinen les finalitats i els mitjans dels tractaments, són els responsables dels tractaments de les dades personals de l'Administració de la CAIB.
2. L'article 3.6 del Decret 12/2023, de 10 de juliol, de la presidenta de les Illes Balears, pel qual s'estableixen les competències i l'estructura orgànica bàsica de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears, disposa que les secretaries generals i les direccions generals, així com els òrgans directius assimilats, exerceixen les funcions de responsables del tractament de les dades personals dels procediments o processos en relació amb les seves competències.
Actualment, d'acord amb la normativa vigent, els òrgans directius de les conselleries de l'Administració de la CAIB són els directors generals, els secretaris generals i els secretaris autonòmics, i els òrgans directius assimilats.
Aquests últims són actualment la directora de l'Oficina Balear de la Infància i l'Adolescència (OBIA), l'interventor general de la Comunitat Autònoma de les Illes Balears i els directors territorials d'Educació de Menorca i d'Eivissa i Formentera.
3. Els secretaris generals, directors generals i secretaris autonòmics de les conselleries de la CAIB, la directora de l'Oficina Balear de la Infància i l'Adolescència (OBIA), l'interventor general de la Comunitat Autònoma de les Illes Balears i els directors territorials d'Educació de Menorca i d'Eivissa i Formentera han de disposar d'una bústia electrònica corporativa per atendre, com a responsables del tractament, totes les qüestions relatives al tractament de les dades personals i, específicament, les sol·licituds d'exercici dels drets dels interessats.
Aquesta adreça electrònica ha de tenir el format següent responsabledades@, tot seguit del domini corresponent a l'òrgan directiu, per exemple responsabledades@sgcpres.caib.es en el supòsit de la Secretaria General de la Conselleria de Presidència i Administracions Públiques, i ha d'estar visible a la Seu Electrònica de la CAIB i en el portal del Govern de les Illes Balears.
A aquesta adreça electrònica han de tenir accés els coordinadors de protecció de dades respectius de cadascuna de les conselleries per tal de donar suport als responsables del tractament.
4. D'altra banda, quan dos o més responsables determinin conjuntament les finalitats i els mitjans del tractament seran considerats corresponsables del tractament.
Els corresponsables han de determinar de manera transparent i de mutu acord les seves responsabilitats respectives en el compliment de les obligacions imposades, en particular pel que fa a l'exercici dels drets de la persona interessada i les obligacions de subministrament d'informació respectives dels articles 13 i 14 de l'RGPD.
Independentment dels termes de l'acord, els interessats poden exercir els seus drets davant, i en contra de, cadascun dels responsables.
5. Els responsables del tractament, en l'àmbit de les seves competències, exerceixen les funcions específiques següents:
a) Implantar la política de protecció de dades personals de l'Administració de la CAIB.
b) Vetlar pel compliment efectiu de l'RGPD, la LOPDGDD, la PPD i la normativa vigent en matèria de protecció de dades personals i drets digitals.
c) Mantenir, actualitzar i dur la gestió del Registre de les activitats de tractament de dades personals (RAT) en l'àmbit de les seves competències.
d) Acordar, aplicar, revisar i actualitzar, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, que inclogui, entre d'altres, la pseudonimització, el xifratge de dades personals, la capacitat de garantir la confidencialitat, la integritat, la disponibilitat i la resiliència permanents dels sistemes i serveis de tractament, la capacitat de restaurar la disponibilitat i l'accés a les dades personals de manera ràpida en cas d'incident físic o tècnic, i un procés de verificació, avaluació i valoració regulars de l'eficàcia de les mesures tècniques i organitzatives per garantir la seguretat del tractament.
e) Garantir que, per defecte, únicament es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament i, en particular, que les dades personals no siguin accessibles, sense la intervenció de la persona, a un nombre indeterminat de persones físiques. Aquesta obligació s'aplica a la quantitat de dades personals recollides, a l'abast del tractament, al termini de conservació i a l'accessibilitat de les dades.
f) Garantir el compliment de les obligacions de secret i confidencialitat derivades de la normativa en matèria de protecció de dades personals pel que fa als tractaments que gestionen.
g) Garantir el compliment de l'obligació d'informar adequadament als interessats i aplicar el principi de transparència en la recollida de les dades personals.
h) Garantir l'exercici dels drets dels interessats, d'acord amb els articles 15 a 22 de l'RGPD.
i) Elegir, quan es faci un tractament per compte d'un responsable, únicament un encarregat que ofereixi garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits de l'RGPD i garanteixi la protecció dels drets dels interessats.
j) Avaluar l'impacte de les operacions de tractament en la protecció de dades personals (AIPD) abans del tractament, quan sigui probable que un tipus de tractament pugui comportar un alt risc per als drets i les llibertats de les persones físiques.
k) Notificar, en temps i forma, les violacions de la seguretat de les dades personals a l'Agència Espanyola de Protecció de Dades (autoritat de control competent) d'acord amb l'article 33 de l'RGPD, i dur-ne a terme la gestió en coordinació amb la Direcció General d'Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació.
l) Comunicar la violació de la seguretat de les dades personals als interessats, sense dilació indeguda, quan sigui probable que aquesta violació comporti un alt risc per als drets i les llibertats de les persones físiques, d'acord amb l'article 34 de l'RGPD.
m) Assistir a les sessions i participar activament en el corresponent comitè de responsables de la conselleria respectiva.
n) Impulsar, fomentar i promoure recursos i mitjans per a la conscienciació i formació del personal de l'Administració de la CAIB en matèria de protecció de dades de caràcter personal.
o) Garantir que el delegat de protecció de dades participi de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals, i facilitar-ne l'accés a les dades personals i a les operacions de tractament.
p) Atendre les recomanacions, els suggeriments i les observacions de la Delegació de Protecció de Dades de l'Administració de la CAIB.
q) Donar suport al delegat de protecció de dades en l'exercici de les seves funcions, i facilitar-li els recursos necessaris per a l'exercici d'aquestes funcions i per al manteniment dels seus coneixements especialitzats.
r) La resta de funcions i competències que els atribueix la legislació aplicable en matèria de protecció de dades personals i drets digitals.
6. Els responsables del tractament estan subjectes al deure de confidencialitat de l'article 5.1.f) de l'RGPD.
Aquesta obligació és complementària dels deures de secret professional de conformitat amb la seva normativa aplicable.
Ambdues obligacions es mantenen encara que hagi finalitzat la relació de l'obligat amb el responsable del tractament.
Article 9 Encarregat del tractament
1. L'encarregat del tractament és la persona física o jurídica, autoritat pública, servei o un altre organisme que tracta les dades personals per compte del responsable del tractament, d'acord amb el punt 8) de l'article 4 de l'RGPD.
Quan es faci un tractament per compte d'un responsable del tractament, aquest ha d'elegir únicament un encarregat que ofereixi garanties suficients per aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits de l'RGPD i garanteixi la protecció dels drets de la persona interessada.
2. El tractament de les dades personals per l'encarregat de tractament s'ha de regir per un contracte o per un altre acte jurídic, d'acord amb l'article 28 de l'RGPD, que vinculi l'encarregat respecte del responsable del tractament, i estableixi l'objecte, la durada, la naturalesa i la finalitat del tractament, el tipus de dades personals i categories d'interessats, i les obligacions i els drets del responsable.
Aquest contracte o acte jurídic recollirà les circumstàncies de l'art. 28.3 de l'RGPD, i en particular, s'han d'adoptar i documentar en aquest contracte o acte jurídic les mesures que garanteixin que l'encarregat del tractament ofereix garanties suficients per al compliment de la normativa de protecció de dades.
3. Quan l'òrgan de contractació no coincideix amb el responsable del tractament s'ha de subscriure un contracte independent al contracte principal (vinculat a aquest) entre el responsable del tractament i l'encarregat (adjudicatari del contracte), que reculli totes les condicions de l'article 28.3 de l'RGPD.
Així mateix, en aquells contractes l'execució dels quals requereixi el tractament pel contractista de dades personals per compte del responsable del tractament, addicionalment al plec es faran constar les circumstàncies de l'article 122.2 lletres a) a e) de la LCSP recollides en aquest precepte (que a més tenen la consideració d'essencials als efectes de l'article 211.1.f) de la LCSP).
4. L'encarregat del tractament ha d'exercir les funcions i competències que es determinin en aquest contracte que, com a mínim, han de ser les previstes en l'article 28 de l'RGPD i la normativa en vigor en matèria de protecció de dades de caràcter personal.
5. Per al cas que la contractació pública impliqui l'accés del contractista a dades de caràcter personal de les quals sigui responsable l'Administració de la CAIB, aquell tindrà la consideració d'encarregat del tractament, d'acord amb l'article 28 de l'RGPD en relació amb la disposició addicional vint-i-cinquena de la Llei 9/2017, de 8 de novembre, de contractes del sector públic.
6. Quan hi hagi sol·licituds d'exercici de drets, l'encarregat ha d'assistir el responsable, tenint en compte la naturalesa del tractament, a través de mesures tècniques i organitzatives apropiades, sempre que sigui possible, perquè aquest pugui complir amb la seva obligació de respondre a les sol·licituds que tenguin per objecte l'exercici dels drets dels interessats.
7. L'encarregat del tractament ha de notificar al responsable del tractament, sense dilació indeguda, les violacions de la seguretat de les dades personals de les quals tengui coneixement.
8. Els encarregats del tractament estan subjectes al deure de confidencialitat de l'article 5.1.f) de l'RGPD.
Aquesta obligació és complementària dels deures de secret professional de conformitat amb la seva normativa aplicable.
Ambdues obligacions es mantenen encara que hagi finalitzat la relació de l'obligat amb l'encarregat del tractament.
9. Si un encarregat del tractament infringeix l'RGPD en determinar les finalitats i els mitjans del tractament, se l'ha de considerar responsable del tractament pel que fa a dit tractament, d'acord amb l'article 28.10 de l'RGPD.
Capítol V Mesures de responsabilitat proactiva
Article 10 Protecció de dades des del disseny i per defecte
1. Protecció de dades des del disseny
Els responsables dels tractaments han d'aplicar, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, mesures tècniques i organitzatives adequades, com la pseudonimització, concebudes per aplicar de manera efectiva els principis de protecció de dades, com la minimització de dades, i integrar les garanties necessàries en el tractament, a fi de complir els requisits de l'RGPD i de protegir els drets dels interessats.
2. Protecció de dades per defecte
Els responsables dels tractaments han d'aplicar les mesures tècniques i organitzatives adequades per a garantir que, per defecte, únicament es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament.
Aquesta obligació s'aplica a la quantitat de dades personals recollides, a l'abast del tractament, al termini de conservació i a l'accessibilitat de les dades. Aquestes mesures han de garantir en particular que, per defecte, les dades personals no siguin accessibles, sense la intervenció de la persona, a un nombre indeterminat de persones físiques.
3. Els principis de la protecció de dades des del disseny i per defecte també s'han de tenir en compte en el context dels contractes públics.
4. La pseudonimització implica que el tractament de dades personals ja no pugui atribuir-se a una persona interessada sense utilitzar-ne informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixin a una persona física identificada o identificable.
Article 11 Registre d'activitats de tractament (RAT)
1. Els titulars dels òrgans directius de les conselleries de la CAIB i els òrgans directius assimilats, com a responsables del tractament, han de dur i mantenir un registre de les activitats de tractament (d'ara endavant, RAT) efectuades sota la seva responsabilitat que ha de contenir tota la informació de l'article 30 de l'RGPD.
2. L'Administració de la CAIB ha de publicar en el Portal de Transparència del Govern de les Illes Balears l'Inventari de les activitats de tractament dels responsables del tractament, accessible per mitjans electrònics, en el qual ha de constar la informació de l'article 30 de l'RGPD i la seva base legal (article 31.2 de la LOPDGDD).
3. Els responsables del tractament de l'Administració de la CAIB han d'emprar la darrera versió de l'eina GESTIONA_RGPD de l'Agència Espanyola de Protecció de Dades (AEPD) per a la gestió del RAT i la generació de l'Inventari de tractaments.
Aquesta eina d'ajuda i suport a la decisió dels responsables permet també la generació de les bases mínimes per iniciar les activitats d'anàlisi i gestió de riscs en l'àmbit de l'RGPD, la generació d'informes en format DOC, HTML i CSV per facilitar-ne l'exportació i l'ús en altres eines, i la gestió i l'emmagatzematge local de les dades.
La gestió del tractament es fa en el mateix navegador de l'usuari, sense cap transmissió de dades a l'AEPD i amb total confidencialitat.
4. Els coordinadors de protecció de dades personals han de donar suport als responsables del tractament i col·laborar amb aquests en la gestió i el manteniment del RAT i de l'Inventari de tractaments, sense perjudici de la supervisió i l'assessorament de la Delegació de Protecció de Dades de l'Administració de la CAIB.
5. El RAT i la publicació de l'Inventari de tractaments han d'estar permanentment actualitzats, i les seves modificacions s'han de comunicar a la Delegació de Protecció de Dades de l'Administració de la CAIB abans que el canvi s'hagi reflectit tant en el RAT com en la publicació de l'Inventari.
6. Cada encarregat del tractament de l'Administració de la CAIB ha de dur un registre de totes les categories d'activitats de tractament efectuades per compte d'un responsable que contengui tota la informació de l'article 30.2 de l'RGPD.
7. Els responsables i encarregats del tractament estan obligats a cooperar amb l'Agència Espanyola de Protecció de Dades, i a posar a la seva disposició, prèvia sol·licitud, el RAT, de manera que pugui servir per supervisar les operacions de tractament.
Article 12 Anàlisi de riscs
1. Els responsables del tractament han d'avaluar els riscs inherents als tractaments i aplicar les mesures per mitigar-los, com ara el xifratge, de manera que puguin garantir, tant com estar en condicions de demostrar, que el tractament s'ajusta a les previsions de l'RGPD i la LOPDGDD.
La gestió del risc requereix una gestió proactiva per part dels responsables del tractament. El risc sorgeix tant pel tractament automatitzat de dades com pel processament manual, pels elements humans i pels recursos implicats.
2. Tots els tractaments de dades personals requereixen una anàlisi de riscs que es durà a terme de manera periòdica i, en qualsevol cas, sempre que hi hagi un canvi significatiu en els sistemes d'informació o en els tractaments de dades personals, amb la finalitat d'identificar i gestionar els riscs minimitzant-los fins als nivells que es puguin considerar acceptables.
L'actualització de l'anàlisi de riscs no només pertocarà quan hi hagi una modificació del tractament, sinó també quan hi hagi un canvi de context, per exemple, quan hi hagi algun tipus d'amenaça per l'aparició d'un nou virus o atac informàtic, o quan hi hagi un nou context, polític, social o econòmic que suposi un augment del risc.
En compliment del principi de responsabilitat proactiva o accountability, la gestió del risc ha d'estar documentada.
3. Les mesures de seguretat garantiran la preservació de la confidencialitat, la integritat i la disponibilitat de la informació, l'autenticitat, la responsabilitat i la fiabilitat, tenint en compte l'estat de la tècnica i el cost de la seva aplicació pel que fa als riscs i la naturalesa de les dades personals que s'hagin de protegir.
4. En cas d'encàrrecs de tractament, l'encarregat del tractament té l'obligació d'assistir el responsable del tractament a l'hora de fer la gestió del risc, dins els límits de l'objecte de l'encàrrec.
Article 13 Avaluació d'impacte de protecció de dades (AIPD)
1. Els directors generals, secretaris generals i òrgans directius assimilats de l'Administració de la CAIB duran a terme, abans del tractament, una avaluació de l'impacte de les operacions de tractament (AIPD) en la protecció de dades personals, quan sigui probable que un tipus de tractament, en particular si utilitza noves tecnologies, per la seva naturalesa, abast, context o finalitats, comporti un alt risc per als drets i les llibertats de les persones físiques, d'acord amb l'article 35 de l'RGPD.
2. Els coordinadors de protecció de dades personals col·laboraran amb els responsables del tractament en la realització i el seguiment de les avaluacions d'impacte de les operacions de tractament (AIPD), sense perjudici de l'assessorament del Delegat de Protecció de Dades de l'Administració de la CAIB, com a òrgan independent.
3. Els responsables han d'examinar si el tractament és conforme amb l'avaluació d'impacte relativa a la protecció de dades, almenys quan hi hagi un canvi del risc en les operacions de tractament.
Una única avaluació pot abordar una sèrie d'operacions de tractament similars que comportin alts riscs similars.
4. Seran objecte de consulta prèvia a l'AEPD les avaluacions d'impacte relatives a la protecció de dades (AIPD) dels tractaments que, complint amb els principis i drets establerts a l'RGPD, siguin d'alt risc per als drets i llibertats dels interessats, i quan el responsable del tractament no hagi pogut mitigar o evitar aquest risc.
Per fer una sol·licitud de consulta prèvia de l'AIPD a l'AEPD, entre el contingut mínim exigit per l'article 36.3 de l'RGPD, cal tenir en compte que el desenvolupament de la documentació de l'AIPD ha de preveure allò que assenyala l'AEPD en les seves guies i recomanacions i, en particular, allò que assenyala la guia «Gestió del risc i avaluació d'impacte en tractaments de dades personals», disponible al web de l'AEPD, d'acord amb la Instrucció 1/2021, de 2 de novembre, de l'Agència Espanyola de Protecció de Dades.
5. El tractament de dades personals sense haver dut a terme abans del tractament l'AIPD, en els supòsits en què aquesta sigui exigible:
a) S'ha de suspendre, fer-ne l'AIPD i la seva valoració abans de reprendre el tractament.
b) És una infracció greu de l'article 73, lletra t), de la LOPDGDD.
Article 14 Violacions o bretxes de seguretat de les dades de caràcter personal
1. La violació o bretxa de seguretat de les dades de caràcter personal és un incident de seguretat que ocasiona la destrucció, la pèrdua o l'alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l'accés no autoritzats a aquestes dades.
Si no es prenen a temps mesures adequades, les violacions de la seguretat de les dades personals poden comportar danys i perjudicis físics, materials o immaterials per a les persones físiques, com ara pèrdua de control sobre les dades personals o restricció dels seus drets, discriminació, usurpació d'identitat, pèrdues financeres, reversió no autoritzada de la pseudonimització, dany per a la reputació, pèrdua de la confidencialitat de les dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física en qüestió.
2. Els directors generals, secretaris generals i òrgans directius assimilats de l'Administració de la CAIB, en cas de produir-se una bretxa de seguretat, han de notificar-ho a l'Agència Espanyola de Protecció de Dades (AEPD) a través del procediment de notificació de bretxes de seguretat de la Seu Electrònica de l'AEPD, sense dilació indeguda i, si és possible, en un termini màxim de 72 hores després que n'hagin tingut constància, tret que sigui improbable que la dita violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques, de conformitat amb l'article 33 de l'RGPD.
Si la notificació a l'AEPD no es produeix en el termini de 72 hores, s'ha d'acompanyar amb la indicació dels motius de la dilació.
3. Els coordinadors de protecció de dades personals de les conselleries de l'Administració de la CAIB col·laboraran amb els responsables del tractament en la tramitació i resolució de les bretxes de seguretat, sense perjudici de l'assessorament del Delegat de Protecció de Dades de l'Administració de la CAIB, com a òrgan independent, i del responsable de seguretat de la Informació de la Direcció General d'Estratègia Digital i Simplificació Administrativa.
4. La Direcció General d'Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació ha de notificar les bretxes de seguretat de les dades personals al Centre Criptològic Nacional (CCN-CERT) a través de l'eina LUCIA, eina desenvolupada pel CCN-CERT per a la gestió i notificació de ciberincidents de les entitats dins l'àmbit d'aplicació de l'Esquema Nacional de Seguretat.
5. Quan sigui probable que la violació de la seguretat de les dades personals pot comportar un alt risc per als drets i les llibertats de les persones físiques, el responsable del tractament la comunicarà a l'interessat sense dilació indeguda, en un llenguatge clar i senzill, d'acord amb l'article 34 de l'RGPD.
La comunicació a l'interessat no és necessària si es compleix alguna de les condicions assenyalades a les lletres a) a c) de l'article 34.3 de l'RGPD.
Capítol VI Estructura organitzativa de la protecció de dades
Article 15 Estructura organitzativa a l'Administració de la CAIB
El Decret 44/2024, de 4 d'octubre, pel qual es crea i es regula l'estructura organitzativa de la protecció de dades de l'Administració de la Comunitat Autònoma de les Illes Balears, per tal d'implementar la Política de Protecció de Dades Personals, estableix la següent estructura organitzativa:
1. Comissió de Protecció de Dades (d'ara endavant, CPD)
2. Comitè Tècnic de Coordinadors de Protecció de Dades Personals
3. Comitè de responsables del tractament per a cadascuna de les conselleries
4. Coordinadors de protecció de dades personals de les conselleries
Article 16 Delegació de Protecció de Dades de l'Administració de la CAIB
1. La Delegació de Protecció de Dades de l'Administració de la CAIB s'adscriu administrativament a la Secretaria General de la Conselleria de Presidència i Administracions Públiques, d'acord amb l'article 3.2.b) del Decret 12/2023, de 10 de juliol, de la presidenta de les Illes Balears, pel qual s'estableixen les competències i l'estructura orgànica bàsica de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears.
La Delegació de Protecció de Dades de l'Administració de la CAIB atén les competències en matèria de protecció de dades personals de l'Administració de la CAIB, integrada per les diferents conselleries, en aplicació del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016 i de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.
2. La Delegació de Protecció de Dades de l'Administració de la CAIB no inclou els ens del sector públic instrumental de la CAIB i, en conseqüència, no té competències sobre aquests ens, regulats per la Llei 7/2010, de 21 de juliol, del sector públic instrumental de la Comunitat Autònoma de les Illes Balears, els quals han de tenir el seu propi delegat de protecció de dades.
Tampoc no estan inclosos en l'àmbit de les competències de la Delegació de Protecció de Dades de l'Administració de la CAIB els centres docents públics no universitaris de les Illes Balears, els quals disposen del seu propi delegat de protecció de dades, d'acord amb l'article 34.1.b) de la LOPDGDD.
3. La Delegació de Protecció de Dades de l'Administració de la CAIB té la seu a la Conselleria de Presidència i Administracions Públiques (passeig de Sagrera, 2, 07012 Palma), i disposa de la bústia de correu electrònic corporatiu protecciodades@dpd.caib.es per atendre les qüestions relatives al tractament de les dades personals i a l'exercici dels drets dels interessats, d'acord amb l'article 38.4 de l'RGPD.
4. L'organigrama de la Delegació de Protecció de Dades de l'Administració de la CAIB es desenvoluparà mitjançant un decret que regularà l'estructura organitzativa de la Delegació de Protecció de Dades, d'acord amb els articles 37 a 39 de l'RGPD i 34 a 37 de la LOPDGDD.
Aquesta podrà comptar, per al millor desenvolupament de les seves funcions, amb el suport de subdelegacions especialitzades en els diferents àmbits orgànics de l'Administració de la CAIB.
5. La conselleria que tengui adscrita la Delegació de Protecció de Dades de l'Administració de la CAIB ha de garantir que aquesta disposi dels recursos humans i materials necessaris per a l'exercici de les seves funcions.
6. La persona titular de la Delegació de Protecció de Dades de l'Administració de la CAIB, el delegat de protecció de dades (d'ara endavant, DPD), exerceix les funcions de l'article 39 de l'RGPD amb plena autonomia i independència funcional en els termes establerts en el Reglament (UE) 2016/679. El DPD retrà comptes directament al més alt nivell jeràrquic del responsable del tractament.
El delegat de protecció de dades no pot ser destituït ni sancionat pel responsable o l'encarregat del tractament per exercir les seves funcions. L'Administració de la CAIB ha de garantir la independència del DPD i evitar qualsevol conflicte d'interessos.
7. Pel que fa a la qualificació del delegat de protecció de dades de l'Administració de la CAIB, el compliment dels requisits de l'article 37.5 del Reglament (UE) 2016/679 per a la designació del delegat de protecció de dades s'ha d'acreditar a través de mecanismes de certificació d'acord amb les exigències de l'Esquema de Certificació de Delegats de Protecció de Dades de l'Agència Espanyola de Protecció de Dades (Esquema AEPD-DPD).
8. L'Administració de la CAIB i els responsables del tractament:
a) Han de garantir que el delegat de protecció de dades participa de manera adequada i en el moment oportú en totes les qüestions relatives a la protecció de dades personals.
b) Han de donar suport al delegat de protecció de dades en l'acompliment de les funcions de l'article 39 de l'RGPD.
c) Han de facilitar els recursos necessaris per complir les seves tasques i per accedir a les dades personals i a les operacions de tractament, així com per mantenir el seu coneixement especialitzat.
d) Han de garantir que el delegat de protecció de dades no rep cap instrucció pel que fa a l'exercici de les seves funcions.
9. El delegat de protecció de dades, en l'exercici de les seves funcions d'assessorament i supervisió dirigides a garantir el compliment de la normativa de protecció de dades personals:
a) Pot inspeccionar els procediments relacionats amb l'objecte de la LOPDGDD i emetre recomanacions en l'àmbit de les seves competències.
b) Ha de tenir accés a les dades personals i processos de tractament, i els responsables o els encarregats del tractament no poden oposar a aquest accés l'existència de qualsevol deure de confidencialitat o secret, incloent-hi el que preveu l'article 5 de la LOPDGDD.
c) Quan apreciï l'existència d'una vulneració rellevant en matèria de protecció de dades, ho ha de documentar i comunicar immediatament al responsable o a l'encarregat del tractament.
Article 17 Centres docents públics no universitaris de les Illes Balears
1. Delegat de protecció de dades
Els centres docents públics no universitaris de les Illes Balears de règim ordinari i de règim especial, d'acord amb l'article 34.1.b) de la LOPDGDD, tenen designat actualment un únic delegat de protecció de dades.
Atesa la complexitat estructural dels centres docents públics no universitaris de les Illes Balears de règim ordinari i de règim especial, regulats aquests últims pel capítol VII i l'article 107 de la Llei 1/2022, de 8 de març, d'educació de les Illes Balears, i que inclouen, entre d'altres, les «escoles oficials d'idiomes» (EOI) i els «conservatoris professionals de música i dansa» (CMD), es podran designar altres delegats de protecció de dades per atendre les especialitats pròpies dels centres de règim especial.
Les dades de contacte del DPD dels centres docents públics no universitaris de les Illes Balears és dpdcentreseducatiuspublics@sgtedu.caib.es.
2. Responsables del tractament en la comunitat educativa
2.1. La persona titular de la direcció de cada centre docent públic no universitari de les Illes Balears és la responsable del tractament respecte dels tractaments de dades personals específics del seu centre educatiu, dels quals determina les finalitats i els mitjans del tractament.
2.2. En els tractaments transversals de tots els centres docents públics no universitaris de les Illes Balears els responsables del tractament són, en funció de cadascuna de les seves competències, els directors generals de cada àrea educativa de la Conselleria competent en matèria d'Educació.
3. Coordinador de benestar i protecció
Els centres docents públics no universitaris de les Illes Balears tenen nomenats els seus coordinadors de benestar i protecció de l'alumnat, que actuen sota la supervisió de la persona que exerceix la direcció o titularitat del centre, d'acord amb l'article 35 de la Llei orgànica 8/2021, de 4 de juny, de protecció integral a la infància i l'adolescència davant de la violència.
L'administració educativa competent ha d'establir els requisits i les funcions que han d'exercir els coordinadors de benestar i protecció de l'alumnat, que seran com a mínim els assenyalats en l'article 35.2 de la Llei orgànica 8/2021.
Article 18 Obligacions del personal de la CAIB
1. Tot el personal, els òrgans i les unitats de l'Administració de la CAIB tenen l'obligació de conèixer i complir la PPD, així com les normes i els procediments que la desenvolupin, i han de prestar la seva col·laboració en les actuacions d'implantació de la política de protecció de dades.
2. Tot el personal que presta serveis a l'Administració de la CAIB té el deure de col·laborar en el seguiment i l'actualització de les mesures i actuacions relatives als tractaments de dades personals, per tal d'evitar i minorar els riscs a què es troba exposat el tractament de les dades personals de les quals és titular l'Administració de la CAIB.
A aquest efecte, han de comunicar als coordinadors de protecció de dades de les conselleries, els quals ho comunicaran als responsables del tractament, qualsevol proposta de millora o suggeriment que ajudi a preservar la confidencialitat, la integritat i la disponibilitat de la informació i de les dades personals.
3. Deure de confidencialitat
Totes les persones que intervenguin en qualsevol fase del tractament de dades personals estan subjectes al deure de confidencialitat de l'article 5.1.f) de l'RGPD i l'article 5.1 de la LOPDGDD.
Aquesta obligació és complementària dels deures de secret professional de conformitat amb la seva normativa aplicable.
Ambdues obligacions es mantindran encara que hagi finalitzat la relació de l'obligat amb el responsable o encarregat del tractament.
Capítol VII Obligacions específiques en matèria de protecció de dades
Article 19 Projectes normatius que impliquen tractaments de dades personals
1. Avaluació d'impacte (AIPD) en la MAIN
1.1. Els projectes normatius que impliquen tractaments de dades personals estan subjectes a una avaluació d'impacte (AIPD) prèvia en el marc de l'elaboració de la memòria d'anàlisi d'impacte normatiu (MAIN), d'acord amb l'article 35 de l'RGPD.
L'avaluació d'impacte de la norma ha d'analitzar l'impacte que tindrà sobre els drets i les llibertats fonamentals de les persones, i aportar salvaguardes organitzatives, jurídiques i tècniques. Per ajudar a la identificació dels riscs per als drets i llibertats es recomanen les eines, les guies i els materials de l'AEPD.
1.2. Aquelles iniciatives que impliquen tractaments en què intervenguin intel·ligència artificial, decisions automatitzades, biometria, vigilància massiva, centralització a gran escala, tractament massiu de dades, dades de menors, de persones vulnerables, etc., s'han de tenir especialment en compte en l'avaluació d'impacte per implicar riscs addicionals.
2. Actes administratius, i disposicions generals que regulen procediments administratius, en els quals hi ha tractaments de dades de caràcter personal:
Els actes administratius i disposicions generals que regulen procediments administratius, que impliquen tractament de dades personals han de contemplar tots els requeriments que els sigui d'aplicació en matèria de protecció de dades de caràcter personal que s'estableixen en l'RGPD i la LOPDGDD.
Article 20 Conscienciació i formació
1. L'Administració de la CAIB, juntament amb els responsables del tractament, desenvoluparà plans i programes de formació contínua amb la col·laboració de l'Escola Balear d'Administració Pública (EBAP), així com activitats formatives específiques orientades a la conscienciació i formació del personal que presta els seus serveis a l'Administració de la CAIB en matèria de protecció de dades de caràcter personal i drets digitals, així com a la difusió entre aquests del Decret pel qual s'aprova la política de protecció de dades de l'Administració de la CAIB, i el seu desplegament normatiu.
2. L'Administració de la CAIB ha de disposar dels mitjans necessaris perquè el personal que intervengui en el tractament de dades personals sigui informat i format sobre els deures i obligacions en relació amb l'RGPD i la LOPDGDD, així com dels riscos existents en el tractament de les dades personals.
3. El Delegat de Protecció de Dades de l'Administració de la CAIB podrà col·laborar en les accions de conscienciació i formació del personal que participa en les operacions de tractament de dades personals, d'acord amb l'article 39.1.b) de l'RGPD.
4. L'EBAP ha de facilitar al personal, de conformitat amb els plans i programes anuals, la formació contínua necessària en matèria de protecció de dades personals i drets digitals per tal de desenvolupar les competències que permetin exercir la prestació de serveis en la modalitat de teletreball no presencial.
Article 21 Portal web del Govern de les Illes Balears i Seu Electrònica
1. El Govern de les Illes Balears disposa de dos portals web de protecció de dades personals:
a) El portal web de Intranet s'ha dissenyat com un portal didàctic, informatiu, formatiu i d'ajuda al personal de l'Administració de la CAIB, per tal de posar a la seva disposició els materials, eines, recursos, guies i informació en matèria de protecció de dades personals, necessàries per a l'exercici de les seves funcions en relació amb el compliment de l'RGPD i de la LOPDGDD.
b) Pel que fa a la ciutadania, s'ha habilitat a Internet un portal web de protecció de dades personals per oferir un servei públic d'informació clar, senzill i intuïtiu a fi que el ciutadà pugui conèixer i exercir els seus drets en matèria de protecció de dades personals d'acord amb l'RGPD.
2. Dins de cada portal web (Intranet i Internet) s'ha habilitat un enllaç a la Seu Electrònica del Govern de les Illes Balears d'accés als procediments per a l'exercici dels drets dels interessats en matèria de protecció de dades personals de la Administració de la CAIB.
Aquests portals s'han de mantenir actualitzats en tot moment, així com la Seu Electrònica, amb la col·laboració de la Direcció General d'Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació.
Article 22 Relació amb altres polítiques de l'Administració de la CAIB
Aquesta política de protecció de dades s'ha d'alinear amb els objectius establerts en altres polítiques de l'Administració de la Comunitat Autònoma de les Illes Balears, com ara:
1. Política de gestió documental del Govern de les Illes Balears, derivada de la normativa següent:
- La Llei 6/2022, de 5 d'agost, d'arxius i gestió documental de les Illes Balears.
- El Reial decret 203/2021, de 30 de març, pel qual s'aprova el Reglament d'actuació i funcionament del sector públic per mitjans electrònics.
- La política de gestió documental del Govern de les Illes Balears, aprovada per l'Acord del Consell de Govern de 9 de desembre de 2016 (BOIB núm. 155, de 10 de desembre).
2. Política de transparència, derivada de la normativa següent:
- La Llei 19/2013, del 9 de desembre, de transparència, accés a la informació pública i bon govern.
- La Llei 4/2011, de 31 de març, de la bona administració i del bon govern de les Illes Balears.
- La Llei 37/2007, del 16 de novembre, sobre reutilització de la informació del sector públic.
- El Decret 31/2023, de 22 de maig, pel qual s'estableix l'organització administrativa en matèria de transparència i es desenvolupa l'exercici del dret d'accés a la informació pública en l'Administració de la Comunitat Autònoma de les Illes Balears i en el seu sector públic instrumental.
3. Política de seguretat, derivada de la normativa següent:
- El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat.
- El Reial decret 4/2010, de 8 de gener, pel qual es regula l'Esquema Nacional d'Interoperabilitat en l'àmbit de l'administració electrònica.
- La Resolució de 28 de juny de 2012, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Norma tècnica d'interoperabilitat de protocols d'intermediació de dades.
- La Llei 34/2002, d'11 de juliol, de serveis de la societat de la informació i de comerç electrònic (LSSI), complementa les garanties del Reglament general de protecció de dades (RGPD) en relació amb els serveis de la societat de la informació.
Disposició final única Entrada en vigor
Aquest Decret entra en vigor l'endemà de la publicació en el Butlletí Oficial de les Illes Balears.
Palma, 22 de novembre de 2024
|
La presidenta |
|
|
La consellera de Presidència i Administracions Públiques |
Margarita Prohens Rigo |
|
Antonia María Estarellas Torrens |
- Aquesta versió HTML se mostra només a efectes de consulta i no té validesa legal per una versió oficial i autèntica consulti la versió PDF.