Accés al contingut Accés al menú de la secció
Portal Jurídic  > Cercador de normativa
 
Afegeix-lo a la meva selecció i subscriu-m'hi
Afegeix-lo a la meva selecció
PDF

LLEI 32/2010, de l'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades.

Dades bàsiques
  • Rang del document Llei

  • Organisme emissor Departament de la Presidència

  • Núm. del document 032/2010

  • Data del document 01/10/2010

  • Data de publicació 08/10/2010

  • Diari oficial DOGC

  • Núm. 5731

Afectacions
TEXT CONSOLIDAT

Preàmbul

La recollida i el tractament d'informació per part de les entitats que formen el sector públic, necessaris per al desplegament de les funcions que els encomana l'ordenament jurídic, ha experimentat en els darrers anys un creixement considerable, derivat no solament de l'ampliació de l'activitat del sector públic, sinó, fonamentalment, de l'espectacular creixement de les possibilitats ofertes pels mitjans tecnològics per al tractament de la informació. En aquest context i davant dels riscos que aquest fenomen comporta, adquireix una rellevància creixent el dret a la protecció de dades, no sols per a preservar el dret a la intimitat, sinó també, amb caràcter instrumental, per a preservar els altres drets de la persona reconeguts per la Constitució, l'Estatut d'autonomia i la resta de l'ordenament jurídic.

El dret a la protecció de dades és reconegut pel Conveni 108, del 28 de gener de 1981, del Consell d'Europa, per la Directiva 95/46/CE del Parlament Europeu i del Consell, del 24 d'octubre de 1995, i també per l'article 18.4 de la Constitució espanyola i l'article 31 de l'Estatut d'autonomia. Regulat en l'àmbit estatal per la Llei orgànica 15/1999, del 13 de desembre, de protecció de dades de caràcter personal, el dret a la protecció de dades comporta no solament el poder jurídic d'imposar a tercers el deure d'abstenir-se de qualsevol intromissió en l'esfera íntima de la persona, sinó, més enllà d'això, un poder de disposició sobre les dades personals que es tradueix en el reconeixement del dret que es requereixi el consentiment per a l'ús i la recollida d'aquestes dades personals, del dret a ser informat, del dret a accedir, rectificar, cancel·lar aquestes dades i oposar-se a llur utilització en determinats supòsits, i també del dret que la recollida i el tractament siguin realitzats en condicions que en garanteixin la seguretat.

L'Agència Catalana de Protecció de Dades, autoritat independent creada per la Llei 5/2002, del 19 d'abril, de l'Agència Catalana de Protecció de Dades, ha vetllat per la garantia del dret a la protecció de dades en l'àmbit de les administracions públiques de Catalunya mitjançant l'assessorament, la difusió del dret i el compliment de les funcions de control establertes per l'ordenament jurídic.

L'aprovació de l'Estatut d'autonomia del 2006 va suposar el reconeixement exprés, per primer cop en l'àmbit estatutari, del dret a la protecció de dades i va reforçar el paper de l'autoritat de control en matèria de protecció de dades, ja que, d'una banda, en va clarificar i ampliar l'àmbit d'actuació i, de l'altra, en va reforçar la independència quan en va establir la designació parlamentària.

Juntament amb aquestes exigències derivades de l'Estatut d'autonomia i amb altres millores tècniques necessàries, cal també incorporar a la legislació vigent a Catalunya altres modificacions, com ara la mateixa denominació de l'autoritat, per tal d'evitar la confusió de la seva naturalesa amb el de les entitats de caràcter instrumental que sota la denominació d'agències han aparegut darrerament en l'àmbit administratiu.

Capítol I

Disposicions generals

Article 1

L'Autoritat Catalana de Protecció de Dades
L'Autoritat Catalana de Protecció de Dades és l'organisme independent que té per objecte garantir, en l'àmbit de les competències de la Generalitat, els drets a la protecció de dades personals i d'accés a la informació que hi està vinculada.

Article 2

Naturalesa jurídica

1. L'Autoritat Catalana de Protecció de Dades és una institució de dret públic, amb personalitat jurídica pròpia i plena capacitat d'obrar per al compliment dels seus fins, amb plena autonomia orgànica i funcional, que actua amb objectivitat i plena independència de les administracions públiques en l'exercici de les seves funcions.

2. L'Autoritat Catalana de Protecció de Dades es relaciona amb el Govern per mitjà del departament que es determini per reglament.

Article 3

Àmbit d'actuació

L'àmbit d'actuació de l'Autoritat Catalana de Protecció de Dades comprèn els fitxers i els tractaments que duen a terme:

a) Les institucions públiques.

b) L'Administració de la Generalitat.

c) Els ens locals.

d) Les entitats autònomes, els consorcis i les altres entitats de dret públic vinculades a l'Administració de la Generalitat o als ens locals, o que en depenen.

e) Les entitats de dret privat que compleixin, com a mínim, un dels tres requisits següents amb relació a la Generalitat, als ens locals o als ens que en depenen:

Primer. Que llur capital pertanyi majoritàriament als dits ens públics.

Segon. Que llurs ingressos pressupostaris provinguin majoritàriament dels dits ens públics.

Tercer. Que en llurs òrgans directius els membres designats pels dits ens públics siguin majoria.

f) Les altres entitats de dret privat que presten serveis públics per mitjà de qualsevol forma de gestió directa o indirecta, si es tracta de fitxers i tractaments vinculats a la prestació d'aquests serveis.

g) Les universitats públiques i privades que integren el sistema universitari català, i els ens que en depenen.

h) Les persones físiques o jurídiques que compleixen funcions públiques amb relació a matèries que són competència de la Generalitat o dels ens locals, si es tracta de fitxers o tractaments destinats a l'exercici d'aquestes funcions i el tractament es duu a terme a Catalunya.

i) Les corporacions de dret públic que compleixen llurs funcions exclusivament en l'àmbit territorial de Catalunya als efectes del que estableix aquesta llei.

Article 4

Competències
Per al compliment de les funcions que aquesta llei li assigna i dins del seu àmbit d'actuació, corresponen a l'Autoritat Catalana de Protecció de Dades les competències de registre, control, inspecció, sanció i resolució, i també l'aprovació de propostes, recomanacions i instruccions.

Article 5

Funcions

Les funcions de l'Autoritat Catalana de Protecció de Dades són:

a) Vetllar pel compliment de la legislació vigent sobre protecció de dades de caràcter personal.

b) Resoldre les reclamacions de tutela formulades per les persones afectades respecte a l'exercici dels drets d'accés, rectificació, cancel·lació i oposició.

c) Promoure, en l'àmbit de les seves competències, la divulgació dels drets de les persones amb relació a la protecció de dades i l'accés a la informació, i l'avaluació de l'impacte sobre la privacitat.

d) Vetllar pel compliment de les disposicions que la Llei 23/1998, del 30 de desembre, d'estadística de Catalunya estableix respecte a la recollida de dades estadístiques i al secret estadístic, i adoptar les mesures corresponents per a garantir les condicions de seguretat dels fitxers constituïts amb finalitats exclusivament estadístiques, sens perjudici de les competències atribuïdes a l'Institut d'Estadística de Catalunya. A aquests efectes, l'Autoritat, en l'àmbit de les seves competències, pot adoptar instruccions i resolucions adreçades als òrgans administratius i pot sol·licitar, si escau, la col·laboració de l'Institut d'Estadística de Catalunya.

e) Dictar, sens perjudici de les competències d'altres òrgans i institucions, les instruccions i les recomanacions en matèria de protecció de dades de caràcter personal i d'accés a la informació.

f) Requerir als responsables del fitxer o del tractament i als encarregats del tractament l'adopció de les mesures necessàries per a adequar el tractament de les dades personals objecte d'investigació a la legislació vigent en matèria de protecció de dades de caràcter personal i, si escau, ordenar el cessament dels tractaments i la supressió dels fitxers.

g) Proporcionar informació sobre els drets de les persones en matèria de tractament de dades personals.

h) Atendre les peticions d'informació, les queixes i les denúncies.

i) Decidir sobre les inscripcions de fitxers i el tractament de dades de caràcter personal en el Registre de Protecció de Dades de Catalunya, i també tenir coneixement d'aquells altres fitxers en què, tot i estar exempts del deure d'inscripció en el Registre, la legislació vigent estableixi un deure de comunicació a l'autoritat de protecció de dades.

j) Exercir la potestat d'inspecció.

k) Exercir la potestat sancionadora sobre qualsevol tipus de fitxer o tractament sotmès a la normativa de protecció de dades, en l'àmbit que estableix l'article 3.

l) Elaborar plans d'auditoria.

m) Emetre informe, amb caràcter preceptiu, sobre els projectes de disposicions de caràcter general de la Generalitat de creació, modificació o supressió de fitxers de dades de caràcter personal, i sobre les disposicions que afectin la protecció de dades de caràcter personal.

n) Emetre informe, amb caràcter potestatiu, sobre els projectes de disposicions de caràcter general dels ens locals de creació, modificació o supressió de fitxers, i sobre les disposicions que tinguin impacte en matèria de protecció de dades de caràcter personal que els ens locals li sotmetin.

o) Respondre les consultes que formulin les entitats del seu àmbit d'actuació sobre la protecció de dades de caràcter personal en poder de les administracions públiques i col·laborar amb aquestes entitats en la difusió de les obligacions derivades de la legislació reguladora d'aquestes matèries.

p) Atorgar les autoritzacions per a l'exempció del deure d'informació en la recollida de dades, per al manteniment íntegre de determinades dades, i les altres autoritzacions que estableix la normativa vigent en matèria de protecció de dades.

q) Col·laborar amb l'Agència Espanyola de Protecció de Dades i amb les altres agències autonòmiques, d'acord amb el que estableix la normativa reguladora de l'agència estatal.

r) Complir totes les altres funcions que li siguin atribuïdes d'acord amb les lleis.

Capítol II

Organització

Article 6

Òrgans de govern

Els òrgans de l'Autoritat Catalana de Protecció de Dades són:

a) El director o directora.

b) El Consell Assessor de Protecció de Dades.

Article 7

El director o directora

1. El director o directora de l'Autoritat Catalana de Protecció de Dades dirigeix la institució i n'exerceix la representació.

2. El director o directora de l'Autoritat Catalana de Protecció de Dades, amb subjecció a l'ordenament jurídic, amb plena independència i objectivitat i sense subjecció a cap altre mandat imperatiu ni instrucció, exerceix les funcions que estableix l'article 8 i les que s'estableixin per llei o per reglament.

3. El director o directora de l'Autoritat Catalana de Protecció de Dades és designat pel Ple del Parlament per majoria de tres cinquenes parts, a proposta del Consell Assessor de Protecció de Dades, d'entre persones amb la condició política de catalans, amb ple ús dels drets civils i polítics i amb experiència en matèria de protecció de dades. Si no obté la majoria requerida, s'ha de sotmetre a una segona votació, en la mateixa sessió del Ple, en què requereix el vot favorable de la majoria absoluta dels membres de la cambra.

4. Els candidats a director o directora de l'Autoritat Catalana de Protecció de Dades que proposi el Consell Assessor de Protecció de Dades han de comparèixer davant la comissió corresponent del Parlament de Catalunya perquè els membres d'aquesta puguin demanar els aclariments i les explicacions pertinents sobre qualsevol aspecte relacionat amb llur formació acadèmica, llur trajectòria professional o els mèrits al·legats.

5. El director o directora de l'Autoritat Catalana de Protecció de Dades és elegit per un període de cinc anys, renovable una sola vegada.

6. El director o directora de l'Autoritat Catalana de Protecció de Dades cessa per les causes següents:

a) Per expiració del termini del mandat.

b) A petició pròpia.

c) Per separació, acordada pel Ple del Parlament per majoria de tres cinquenes parts, per incompliment greu de les seves obligacions, incompatibilitat, incapacitat sobrevinguda per a l'exercici de les seves funcions declarada per sentència ferma o condemna ferma per delicte dolós.

7. El director o directora de l'Autoritat Catalana de Protecció de Dades té la consideració d'alt càrrec, assimilat al de secretari o secretària general. El càrrec, sens perjudici del règim d'incompatibilitats dels alts càrrecs al servei de la Generalitat, és incompatible amb:

a) L'exercici de qualsevol mandat representatiu.

b) L'exercici de funcions directives o executives en partits polítics, sindicats o associacions empresarials, o estar-hi afiliat.

c) La pertinença al Consell de Garanties Estatutàries o al Tribunal Constitucional.

d) L'exercici de qualsevol càrrec polític o funció administrativa en organismes internacionals, la Unió Europea, l'Estat, les comunitats autònomes o les entitats locals.

e) L'exercici de les carreres judicial, fiscal o militar.

f) El desenvolupament de qualsevol activitat professional, mercantil, industrial o laboral.

Article 8

Funcions del director o directora

1. Correspon al director o directora de l'Autoritat Catalana de Protecció de Dades dictar les resolucions i les instruccions i aprovar les recomanacions i els dictàmens que requereixi l'exercici de les funcions de l'Autoritat, i en especial aprovar les instruccions a què fa referència l'article 15.

2. Corresponen al director o directora de l'Autoritat Catalana de Protecció de Dades, en l'àmbit específic de les competències de l'Autoritat, les funcions següents:

a) Resoldre motivadament sobre la procedència o improcedència de les inscripcions que s'hagin de practicar al Registre de Protecció de Dades de Catalunya.

b) Resoldre motivadament sobre la procedència o improcedència de la denegació de l'exercici dels drets d'oposició, d'accés, de rectificació o de cancel·lació.

c) Requerir als responsables i als encarregats del tractament l'adopció de les mesures necessàries per a l'adequació del tractament de dades personals objecte d'investigació a la legislació vigent i ordenar, si escau, el cessament dels tractaments i la cancel·lació dels fitxers.

d) Adoptar les mesures, les resolucions i les instruccions necessàries per a garantir les condicions de seguretat dels fitxers constituïts amb finalitats exclusivament estadístiques.

e) Dictar les instruccions i les recomanacions necessàries per a adequar els tractaments de dades personals als principis de la legislació vigent en matèria de dades personals.

f) Emetre informe, amb caràcter preceptiu, dels avantprojectes de llei, dels projectes de disposicions normatives que elabori el Govern per raó d'una delegació legislativa i dels projectes de reglaments o disposicions de caràcter general que afectin la protecció de dades de caràcter personal.

g) Respondre les consultes que l'Administració de la Generalitat, els ens locals i les universitats de Catalunya li formulin sobre l'aplicació de la legislació de protecció de dades de caràcter personal.

h) Resoldre sobre l'adopció de mesures per a corregir els efectes de les infraccions.

i) Proposar l'inici d'actuacions disciplinàries contra els responsables o els encarregats del tractament, d'acord amb el que estableix la legislació vigent sobre règim disciplinari de les administracions públiques.

j) Resoldre els expedients sancionadors que siguin de la seva competència i posar en coneixement de l'Agència Espanyola de Protecció de Dades les presumptes infraccions la sanció de les quals li correspongui.

k) Ordenar el cessament del tractament, de la comunicació il·lícita de dades o la immobilització dels fitxers, quan s'escaigui.

l) Proporcionar informació sobre els drets de les persones en matèria de tractament de dades personals.

m) Complir les funcions amb relació als plans d'auditoria de l'Autoritat a què fa referència l'article 20.

n) Atendre les peticions que li formulin els ciutadans.

o) Respondre les consultes que li formulin les administracions.

p) Elaborar la memòria anual de les actuacions i les activitats de l'Autoritat a què fa referència l'article 13 i comparèixer davant la comissió pertinent del Parlament per a informar-ne del contingut.

q) Complir qualsevol altra que li sigui encomanada per llei o per reglament.

3. Corresponen al director o directora de l'Autoritat Catalana de Protecció de Dades, en els àmbits econòmic, de contractació i de recursos humans de l'Autoritat, les funcions següents:

a) Adjudicar i formalitzar els contractes que requereixi la gestió de l'Autoritat i vigilar-ne el compliment i l'execució.

b) Aprovar les despeses i ordenar els pagaments, dins els límits dels crèdits del pressupost de despeses de l'Autoritat.

c) Elaborar l'avantprojecte de pressupost de l'Autoritat i sotmetre'l a la consideració del Consell Assessor de Protecció de Dades.

d) Proposar al Consell Assessor de Protecció de Dades la plantilla de personal de l'Autoritat.

Article 9

El Consell Assessor de Protecció de Dades

1. El Consell Assessor de Protecció de Dades és l'òrgan d'assessorament i participació de l'Autoritat Catalana de Protecció de Dades i és constituït pels membres següents:

a) El president o presidenta, que és nomenat pel Consell d'entre els seus membres, un cop efectuada la renovació ordinària dels membres designats pel Parlament.

b) Tres persones designades pel Parlament, per una majoria de tres cinquenes parts. Si no obtenen la majoria requerida, s'han de sotmetre a una segona votació, en la mateixa sessió del Ple, en què es requereix el vot favorable de la majoria absoluta.

c) Tres persones en representació de l'Administració de la Generalitat, designades pel Govern.

d) Dues persones en representació de l'Administració local de Catalunya, designades pel Consell de Governs Locals.

e) Una persona experta en l'àmbit dels drets fonamentals, designada pel Consell Interuniversitari de Catalunya.

f) Una persona experta en informàtica, designada pel Consell Interuniversitari de Catalunya.

g) Una persona designada per l'Institut d'Estudis Catalans.

h) Una persona en representació de les organitzacions de consumidors i usuaris, designada pel Consell de les Persones Consumidores de Catalunya.

i) El director o directora de l'Institut d'Estadística de Catalunya.

j) Un funcionari o funcionària de l'Autoritat Catalana de Protecció de Dades, que actua de secretari o secretària del Consell.

2. La renovació dels membres del Consell Assessor de Protecció de Dades es duu a terme cada cinc anys d'acord amb els estatuts de l'Autoritat Catalana de Protecció de Dades.

3. El director o directora de l'Autoritat Catalana de Protecció de Dades assisteix a les reunions del Consell Assessor de Protecció de Dades amb veu i sense vot.

Article 10

Funcions del Consell Assessor de Protecció de Dades

1. Les funcions del Consell Assessor de Protecció de Dades són:

a) Proposar al Parlament la persona o les persones candidates a ocupar el lloc de director o directora de l'Autoritat.

b) Emetre informe sobre els projectes d'instruccions de l'Autoritat que li siguin sotmesos.

c) Emetre informe sobre l'avantprojecte de pressupost anual de l'Autoritat que el director o directora proposi.

d) Assessorar el director o directora de l'Autoritat en aquelles qüestions que li siguin sotmeses.

e) Elaborar un informe preceptiu previ a l'aprovació de la plantilla del personal de l'Autoritat.

f) Elaborar un informe vinculant sobre el nombre màxim de treballadors de la plantilla de personal eventual de l'Autoritat.

g) Elaborar estudis i propostes en matèria de protecció de dades de caràcter personal i demanar al director o directora l'establiment de criteris en la matèria.

2. El Consell Assessor de Protecció de Dades ha d'ésser informat de:

a) L'activitat de l'Autoritat Catalana de Protecció de Dades, per part del director o directora i de manera periòdica.

b) La memòria anual de l'Autoritat.

c) Els criteris objectius dels plans d'auditoria a què fa referència l'article 20.

3. El Consell Assessor de Protecció de Dades es regeix per les normes que s'estableixin per reglament i, supletòriament, per les disposicions vigents sobre funcionament d'òrgans col·legiats de l'Administració de la Generalitat.

Article 11

El Registre de Protecció de Dades de Catalunya

1. El Registre de Protecció de Dades de Catalunya s'integra a l'Autoritat Catalana de Protecció de Dades.

2. Són objecte d'inscripció en el Registre de Protecció de Dades de Catalunya:

a) Els fitxers de dades personals, de titularitat pública o privada, inclosos dins l'àmbit d'actuació de l'Autoritat Catalana de Protecció de Dades.

b) Els codis tipus formulats per les entitats incloses dins l'àmbit d'actuació de l'Autoritat Catalana de Protecció de Dades.

c) Les autoritzacions de tractaments de dades de caràcter personal previstes en la legislació vigent.

3. El Govern ha d'establir per reglament el procediment d'inscripció de la creació, la modificació i la supressió de fitxers en el Registre de Protecció de Dades de Catalunya, i també el contingut dels assentaments registrals.

4. El Registre de Protecció de Dades de Catalunya és de consulta pública i gratuïta. Qualsevol persona pot consultar, com a mínim, la informació sobre l'existència d'un determinat tractament de dades de caràcter personal, les finalitats i la identitat de la persona responsable del tractament.

5. L'Autoritat Catalana de Protecció de Dades ha d'establir els acords de cooperació necessaris amb l'Agència Espanyola de Protecció de Dades per a integrar la informació registral i mantenir-la actualitzada.

Capítol III

Relacions amb altres organismes i institucions

Article 12

Col·laboració amb altres institucions
L'Autoritat Catalana de Protecció de Dades pot subscriure convenis de col·laboració amb el Síndic de Greuges, els síndics locals, l'Institut d'Estadística de Catalunya, les universitats i altres institucions i organismes de defensa dels drets de les persones.

Article 13

Memòria anual

1. L'Autoritat Catalana de Protecció de Dades ha d'elaborar una memòria anual de les seves activitats i de les conclusions dels treballs i dels expedients que ha tramitat.

2. L'Autoritat Catalana de Protecció de Dades ha de presentar la memòria anual al Parlament i donar-ne compte en el marc de la comissió corresponent, i l'ha de trametre també al Govern, al Síndic de Greuges i al director o directora de l'Agència Espanyola de Protecció de Dades.

Article 14

Relacions entre l'Autoritat Catalana de Protecció de Dades i el Síndic de Greuges
Les relacions entre l'Autoritat Catalana de Protecció de Dades i el Síndic de Greuges són de col·laboració en l'àmbit de llurs competències respectives.

Capítol IV

Exercici de competències i funcions

Article 15

Instruccions

1. El director o directora de l'Autoritat Catalana de Protecció de Dades pot aprovar instruccions per a adequar els fitxers i els tractaments de dades als principis i a les garanties que estableix la legislació vigent en matèria de protecció de dades.

2. El projecte d'instrucció s'ha de sotmetre a informació pública i a informe del Consell Assessor de Protecció de Dades. Igualment, pot ésser sotmès a informe de la Comissió Jurídica Assessora.

3. Les instruccions a què fa referència l'apartat 1 es publiquen en el Diari Oficial de la Generalitat de Catalunya i a la seu electrònica de l'Autoritat Catalana de Protecció de Dades.

Article 16

Tutela dels drets d'accés, rectificació, oposició i cancel·lació

1. Les persones interessades a les quals es denegui, en part o totalment, l'exercici dels drets d'accés, de rectificació, de cancel·lació o d'oposició, o que puguin entendre desestimada llur sol·licitud pel fet de no haver estat resolta i tramesa dins el termini establert, poden presentar una reclamació davant l'Autoritat Catalana de Protecció de Dades.

2. L'Autoritat Catalana de Protecció de Dades ha de resoldre expressament sobre la procedència o improcedència de la reclamació a què fa referència l'apartat 1 en el termini de sis mesos, amb l'audiència prèvia de la persona responsable del fitxer i també de les persones interessades si el resultat del primer tràmit d'audiència ho fa necessari. Un cop transcorregut aquest termini, si l'Autoritat no ha notificat la resolució de la reclamació, s'entén que ha estat desestimada.

3. La resolució d'estimació total o parcial de la tutela d'un dret ha d'establir el termini en què aquest s'ha de fer efectiu.

4. Si la sol·licitud d'exercici del dret davant de la persona responsable del fitxer és estimada, en part o totalment, però el dret no s'ha fet efectiu en la forma i els terminis exigibles d'acord amb la normativa aplicable, les persones interessades poden posar-ho en coneixement de l'Autoritat Catalana de Protecció de Dades perquè es duguin a terme les actuacions sancionadores corresponents.

Article 17

Publicitat dels informes i les resolucions

1. L'Autoritat Catalana de Protecció de Dades resta obligada a garantir la confidencialitat de les consultes i les reclamacions de què tingui coneixement, sens perjudici del dret d'accés a la informació i a la documentació administratives de les persones interessades.

2. Els dictàmens, els informes i les resolucions de l'Autoritat Catalana de Protecció de Dades s'han de fer públics, un cop notificats a les persones interessades, amb l'anonimització prèvia de les dades de caràcter personal, sens perjudici del que estableix l'apartat 1.

3. De manera excepcional, es pot optar per no publicar les resolucions que no tinguin cap interès doctrinal o que, malgrat l'anonimització, sigui aconsellable per causes justificades evitar-ne la publicitat per a impedir fer recognoscibles les persones que ho sol·liciten.

Article 18

Funcions de control

1. L'activitat de control de l'Autoritat Catalana de Protecció de Dades es duu a terme mitjançant la potestat d'inspecció, els plans d'auditoria, l'aplicació del règim sancionador, els requeriments d'adequació a la legalitat i la potestat d'immobilització de fitxers.

2. Els fets constatats pels funcionaris al servei de l'Autoritat Catalana de Protecció de Dades quan duen a terme llur tasca de control i inspecció, si llurs actuacions es formalitzen en un document públic en què s'observen els requisits legals pertinents, tenen valor probatori, sens perjudici de les proves en defensa dels drets o dels interessos respectius que puguin aportar els mateixos interessats.

Article 19

Potestat d'inspecció

1. L'Autoritat Catalana de Protecció de Dades pot inspeccionar els fitxers i els tractaments de dades personals als quals fa referència aquesta llei, a fi d'obtenir totes les informacions necessàries per a l'exercici de les seves funcions. Amb aquesta finalitat, l'Autoritat pot sol·licitar la presentació o la tramesa de documents i de dades o examinar-los en el lloc on estiguin dipositats, i també inspeccionar els equips físics i lògics utilitzats, per a la qual cosa pot accedir als locals on estiguin instal·lats.

2. Els funcionaris que exerceixen la funció inspectora a què fa referència l'apartat 1 tenen la consideració d'autoritat pública en el desenvolupament de llur activitat i resten obligats a mantenir el secret sobre les informacions que coneguin en l'exercici de les funcions inspectores, fins i tot després d'haver cessat en aquestes.

3. En l'exercici de les funcions d'inspecció els funcionaris poden ésser auxiliats per personal no funcionari, si així ho decideix el director o directora de l'Autoritat, per raó dels coneixements d'ordre tècnic que puguin ésser necessaris per a auditar sistemes d'informació durant les tasques d'investigació. El personal no funcionari que participa en l'activitat inspectora ho ha de fer seguint les instruccions i sota la supervisió del personal funcionari inspector, i té les mateixes obligacions que aquest, especialment pel que fa al deure de secret.

4. Les entitats compreses dins l'àmbit d'aplicació d'aquesta llei tenen l'obligació d'auxiliar, amb caràcter preferent i urgent, l'Autoritat Catalana de Protecció de Dades en les seves investigacions, si aquesta els ho demana.

Article 20

Plans d'auditoria

1. Els plans d'auditoria de l'Autoritat Catalana de Protecció de Dades constitueixen un sistema de control preventiu per a:

a) Verificar el compliment de la normativa en matèria de protecció de dades de caràcter personal.

b) Recomanar o requerir als responsables dels fitxers i dels tractaments de dades de caràcter personal que adoptin les mesures correctores adequades.

2. Correspon al director o directora de l'Autoritat Catalana de Protecció de Dades:

a) Decidir el contingut de cada pla d'auditoria i concretar els aspectes i els tractaments que cal analitzar.

b) Seleccionar les entitats que han d'ésser objecte dels plans d'auditoria mitjançant criteris objectius que han d'ésser públics.

3. Les entitats a què fa referència la lletra b de l'apartat 2 han de col·laborar amb la persona responsable de l'auditoria facilitant la realització de les verificacions oportunes i aportant la informació i la documentació necessàries.

4. Les conclusions dels plans d'auditoria sobre el grau general de compliment i les recomanacions generals pertinents s'han de difondre públicament.

5. Si durant el procés d'execució d'un pla d'auditoria l'entitat afectada és objecte, amb una denúncia prèvia, de la incoació d'un expedient sancionador per part de l'Autoritat Catalana de Protecció de Dades com a conseqüència de la comissió d'una possible infracció per algun aspecte coincident o directament relacionat amb el contingut del pla d'auditoria que s'està duent a terme, l'entitat ha d'ésser exclosa del pla d'auditoria i s'ha de seguir la tramitació del procediment sancionador.

6. Els requeriments a què es refereix la lletra b de l'apartat 1 han d'establir un termini adequat per a l'adopció de les mesures correctores necessàries per part de les entitats afectades. Si un cop transcorregut aquest termini l'entitat afectada no ha informat l'Autoritat Catalana de Protecció de Dades sobre les mesures adoptades, o si aquestes són insuficients o inadequades, l'Autoritat pot iniciar les actuacions inspectores oportunes per a incoar, si escau, un procediment sancionador.

Article 21

Règim sancionador

1. Els responsables dels fitxers i dels tractaments de dades personals inclosos dins l'àmbit d'actuació de l'Autoritat Catalana de Protecció de Dades i els encarregats dels tractaments corresponents resten subjectes al règim sancionador que estableix la legislació estatal de protecció de dades de caràcter personal. Les referències a l'Agència Espanyola de Protecció de Dades o als seus òrgans, pel que fa al règim d'infraccions, s'han d'entendre fetes a l'Autoritat Catalana de Protecció de Dades o als seus òrgans, pel que fa al seu àmbit competencial.

2. En el cas d'infraccions comeses amb relació a fitxers de titularitat pública, el director o directora de l'Autoritat Catalana de Protecció de Dades ha de dictar una resolució que declari la infracció i estableixi les mesures a adoptar per a corregir-ne els efectes. A més, pot proposar, si escau, la iniciació d'actuacions disciplinàries d'acord amb el que estableix la legislació vigent sobre el règim disciplinari del personal al servei de les administracions públiques. Aquesta resolució s'ha de notificar a la persona responsable del fitxer o del tractament, a l'encarregada del tractament, si escau, a l'òrgan del qual depenguin i a les persones afectades, si n'hi ha.

3. En el cas d'infraccions comeses amb relació a fitxers de titularitat privada, la resolució que declari la infracció ha d'imposar les sancions previstes per la legislació de protecció de dades i les mesures a adoptar a fi de corregir els efectes de la infracció.

4. El director o directora de l'Autoritat Catalana de Protecció de Dades ha d'informar el síndic o síndica de greuges de les actuacions que faci a conseqüència d'una sol·licitud seva i li ha de comunicar les resolucions sancionadores que dicti amb relació a aquestes actuacions.

Article 22

Procediment sancionador

1. El Govern ha d'establir per decret el procediment per a la determinació de les infraccions i la imposició de sancions.

2. La denúncia que inicia un procediment sancionador s'ha de formalitzar mitjançant un escrit raonat i ha d'estar degudament signada.

3. La persona denunciant s'ha d'identificar en el moment de fer la denúncia a què fa referència l'apartat 2. No obstant això, pot sol·licitar de manera raonada que la seva identitat no sigui revelada, amb la ponderació prèvia dels interessos en conflicte per l'Autoritat Catalana de Protecció de Dades, quan hi hagi motius fonamentats i legítims relatius a una situació personal concreta que així ho justifiqui.

4. La persona denunciant té dret que li siguin comunicades les actuacions que es derivin de la seva denúncia, sens perjudici dels drets que li puguin correspondre si també és persona interessada.

Article 23

Mesures provisionals
En el moment de la incoació o durant la tramitació del procediment sancionador, el director o directora de l'Autoritat Catalana de Protecció de Dades pot adoptar, de manera motivada, les mesures provisionals que consideri necessàries per a assegurar l'eficàcia de la resolució que finalment pugui recaure i per a aconseguir la protecció provisional del dret a la protecció de dades de les persones afectades. Amb caràcter previ, l'Autoritat ha de donar audiència a les entitats afectades, tret que hi concorrin circumstàncies d'urgència que puguin fer perdre la finalitat de la mesura. La resolució que adopti la mesura és susceptible dels recursos procedents.

Article 24

Compliment de la resolució del procediment sancionador

1. En les infraccions declarades respecte de fitxers de titularitat pública, les persones o entitats que hagin estat declarades responsables de la infracció han de comunicar a l'Autoritat Catalana de Protecció de Dades, en el termini que estableix la resolució, l'adopció de les mesures i les actuacions a què fa referència l'apartat 2 de l'article 25.

2. En les sancions imposades per infraccions comeses respecte de fitxers de titularitat privada, el compliment de la sanció s'ha de dur a terme en el termini que estableix la legislació vigent. Dins d'aquest termini, l'entitat sancionada pot sol·licitar, de manera raonada, el fraccionament del pagament. El director o directora de l'Autoritat Catalana de Protecció de Dades ha de resoldre la sol·licitud, d'acord amb el que estableix la normativa reguladora de la recaptació dels ingressos públics.

3. Les persones o entitats sancionades a qui s'hagi imposat alguna mesura correctora d'acord amb el que estableix l'article 25 han de comunicar a l'Autoritat Catalana de Protecció de Dades, en el termini que estableix la resolució, les mesures adoptades.

Article 25

Requeriments d'adequació i potestat d'immobilització

1. En els supòsits, constitutius d'infracció molt greu, d'utilització o de comunicació il·lícita de dades personals en què s'atempti greument contra els drets fonamentals i les llibertats públiques dels ciutadans o se n'impedeixi l'exercici, el director o directora de l'Autoritat Catalana de Protecció de Dades pot exigir als responsables dels fitxers de dades personals el cessament de la utilització o la comunicació il·lícita de dades personals.

2. Si el requeriment a què fa referència l'apartat 1 no és atès, el director o directora de l'Autoritat Catalana de Protecció de Dades pot, mitjançant una resolució motivada, immobilitzar els fitxers de dades personals, amb l'única finalitat de restaurar els drets de les persones afectades. En aquest supòsit, la immobilització resta sense efecte si en el termini de quinze dies l'Autoritat no acorda la incoació d'un procediment sancionador i no es ratifica la mesura.

Capítol V

Règim jurídic, de personal, econòmic i de contractació

Article 26

Règim jurídic

1. L'Autoritat Catalana de Protecció de Dades, en l'exercici de les seves funcions, actua de conformitat amb el que disposa aquesta llei, les disposicions que la despleguen i la legislació que regula el règim jurídic de les administracions públiques i el procediment administratiu aplicable a l'Administració de la Generalitat.

2. Les resolucions del director o directora de l'Autoritat Catalana de Protecció de Dades exhaureixen la via administrativa i són susceptibles de recurs contenciós administratiu, sens perjudici dels recursos administratius que siguin procedents.

Article 27

Règim de personal

1. L'Autoritat Catalana de Protecció de Dades, en l'exercici de la seva potestat d'autoorganització i d'acord amb els crèdits consignats en els pressupostos de la Generalitat, aprova la relació de llocs de treball dels òrgans i els serveis que la integren i que han d'ésser ocupats per personal funcionari, laboral o eventual, i n'informa el Parlament.

2. Al personal al servei de l'Autoritat Catalana de Protecció de Dades se li aplica amb caràcter general la normativa que regula l'estatut del personal al servei de l'Administració de la Generalitat pel que fa al règim i la normativa d'ordenació de l'ocupació pública.

3. Els llocs de treball que comporten l'exercici de potestats públiques es reserven a personal funcionari.

4. Els llocs de treball considerats de confiança o d'assessorament especial no reservat a personal funcionari i que figuren amb aquest caràcter en la relació de llocs de treball corresponent són desenvolupats per personal eventual, el nombre màxim del qual fixa el Consell Assessor de Protecció de Dades.

5. L'Autoritat Catalana de Protecció de Dades exerceix la potestat disciplinària respecte del personal al servei de la institució.

6. El personal al servei de l'Autoritat Catalana de Protecció de Dades té el deure de secret sobre les informacions que conegui en l'exercici de les seves funcions, fins i tot després d'haver cessat d'exercir-les.

Article 28

Règim econòmic i de contractació

1. Per al compliment de les seves finalitats, l'Autoritat Catalana de Protecció de Dades compta amb els béns i els recursos econòmics següents:

a) Les assignacions anuals dels pressupostos de la Generalitat.

b) Els béns i els drets que constitueixen el seu patrimoni, i llurs productes i rendes.

c) El producte de les sancions que imposi en l'exercici de les seves competències.

d) El producte de les taxes i els altres ingressos públics que meriti per la seva activitat.

e) Qualsevol altre recurs econòmic que legalment se li pugui atribuir.

2. [No vigent]

3. L’Autoritat Catalana de Protecció de Dades ha d’elaborar la seva proposta d’avantprojecte de pressupost d’ingressos i de despeses d’acord amb les normes que dicti el departament competent en matèria d’economia i finances per a elaborar els pressupostos de la Generalitat, i l’ha de trametre al departament per mitjà del qual es relaciona amb el Govern per tal que aquest, sobre la base d’aquesta proposta, en formuli l’avantprojecte i en tramiti la inclusió en el projecte de llei de pressupostos de la Generalitat.

4. L'Autoritat Catalana de Protecció de Dades està sotmesa al control financer de la Intervenció General de la Generalitat i al règim de comptabilitat pública.

5. El règim jurídic de contractació de l'Autoritat Catalana de Protecció de Dades és el que estableix la legislació sobre contractes del sector públic.

6. El règim patrimonial de l'Autoritat Catalana de Protecció de Dades és el que estableix la normativa que regula el patrimoni de l'Administració de la Generalitat.

Altres versions d'aquest precepte

Disposicions transitòries

Disposició transitòria primera

Successió de l'Agència Catalana de Protecció de Dades

1. L'Autoritat Catalana de Protecció de Dades se subroga en la posició jurídica de l'Agència Catalana de Protecció de Dades pel que fa als béns, als drets i a les obligacions de qualsevol tipus de què l'Agència fos titular.

2. Les referències que en l'ordenament jurídic es fan a l'Agència Catalana de Protecció de Dades s'han d'entendre fetes a l'Autoritat Catalana de Protecció de Dades.

Disposició transitòria segona

Procediment sancionador
Mentre el Govern no aprovi el decret que regula el procediment sancionador en matèria de protecció de dades, continua essent aplicable el procediment establert pel Decret 278/1993, del 9 de novembre, sobre procediment sancionador d'aplicació als àmbits de competència de la Generalitat.

Disposició transitòria tercera

Vigència de l'Estatut de l'Agència Catalana de Protecció de Dades
Mentre no entrin en vigor els estatuts de l'Autoritat Catalana de Protecció de Dades, segueix essent aplicable, en tot allò que no s'oposi a aquesta llei, l'Estatut de l'Agència Catalana de Protecció de Dades, aprovat pel Decret 48/2003, del 20 de febrer.

Disposició derogatòria

Es deroga la Llei 5/2002, del 19 d'abril, de l'Agència Catalana de Protecció de Dades.

Disposicions finals

Disposició final primera

Estatuts de l'Autoritat
En el termini de sis mesos a comptar de l'entrada en vigor d'aquesta llei, el Govern ha d'aprovar els estatuts de l'Autoritat Catalana de Protecció de Dades.

Disposició final segona

Desplegament dels procediments
S'habilita el Govern per a regular els procediments necessaris per a l'exercici de les funcions atribuïdes a l'Autoritat Catalana de Protecció de Dades, sens perjudici de la competència de l'Autoritat per a concretar mitjançant instrucció els aspectes en què sigui necessari.

Disposició final tercera

Creació, modificació i supressió de fitxers

1. Els consellers de la Generalitat, dins l'àmbit de les competències respectives, resten habilitats per a crear, modificar i suprimir, mitjançant ordre, els fitxers de llurs departaments o dels ens públics vinculats o que en depenguin i els fitxers dels consorcis en què la representació de l'Administració de la Generalitat en els òrgans de govern sigui majoritària.

2. Les entitats de dret públic dotades d'una especial independència o autonomia resten habilitades per a exercir la competència de crear, modificar i suprimir fitxers.