Preámbulo
La recogida y el tratamiento de información por parte de las entidades que forman el sector público, necesarios para el desarrollo de las funciones que les encomienda el ordenamiento jurídico, ha experimentado en los últimos años un considerable crecimiento, derivado no solo de la ampliación de la actividad del sector público, sino, fundamentalmente, del espectacular crecimiento de las posibilidades que ofrecen los medios tecnológicos para el tratamiento de la información. En este contexto y ante los riesgos que este fenómeno comporta, adquiere una relevancia creciente el derecho a la protección de datos, no únicamente para preservar el derecho a la intimidad, sino también, con carácter instrumental, para preservar los demás derechos de la persona reconocidos por la Constitución, el Estatuto de autonomía y el resto del ordenamiento jurídico.
El derecho a la protección de datos está reconocido por el Convenio 108, de 28 de enero de 1981, del Consejo de Europa, por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, así como por el artículo 18.4 de la Constitución española y el artículo 31 del Estatuto de autonomía. Regulado en el ámbito estatal por la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el derecho a la protección de datos comporta no solo el poder jurídico de imponer a terceros el deber de abstenerse de cualquier intromisión en la esfera íntima de la persona, sino, más allá de eso, un poder de disposición sobre los datos personales que se traduce en el reconocimiento del derecho a que se requiera el consentimiento para el uso y la recogida de dichos datos personales, del derecho a ser
informado, del derecho a acceder, rectificar, cancelar dichos datos y oponerse a su utilización en determinados supuestos, así como del derecho a que la recogida y el tratamiento sean realizados en condiciones que garanticen su seguridad.
La Agencia Catalana de Protección de Datos, autoridad independiente creada por la Ley 5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos, ha velado por la garantía del derecho a la protección de datos en el ámbito de las administraciones públicas de Cataluña mediante el asesoramiento, la difusión del derecho y el cumplimiento de las funciones de control establecidas por el ordenamiento jurídico.
La aprobación del Estatuto de autonomía de 2006 supuso el reconocimiento expreso, por vez primera en el ámbito estatutario, del derecho a la protección de datos y reforzó el papel de la autoridad de control en materia de protección de datos, ya que, por una parte, clarificó y amplió su ámbito de actuación y, por otra, reforzó su independencia al establecer su designación parlamentaria.
Junto con estas exigencias derivadas del Estatuto de autonomía y otras mejoras técnicas necesarias, es preciso también incorporar a la legislación vigente en Cataluña otras modificaciones, como la propia denominación de la autoridad, para evitar la confusión de su naturaleza con el de las entidades de carácter instrumental que bajo la denominación de agencias han aparecido últimamente en el ámbito administrativo.
CAPÍTULO I.- Disposiciones generales
Artículo 1º. La Autoridad Catalana de Protección de Datos.
La Autoridad Catalana de Protección de Datos es el organismo independiente que tiene por objeto garantizar, en el ámbito de las competencias de la Generalidad, los derechos a la protección de datos personales y de acceso a la información vinculada a ellos.
Artículo 2º. Naturaleza jurídica
1. La Autoridad Catalana de Protección de Datos es una institución de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, con plena autonomía orgánica y funcional, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones.
2. La Autoridad Catalana de Protección de Datos se relaciona con el Gobierno mediante el departamento que se determine por reglamento.
Artículo 3º. Ámbito de actuación
El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:
a) Las instituciones públicas.
b) La Administración de la Generalidad.
c) Los entes locales.
d) Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
e) Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:
Primero. Que su capital pertenezca mayoritariamente a dichos entes públicos.
Segundo. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.
Tercero. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.
f) Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.
g) Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.
h) Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.
i) Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley.
Artículo 4º. Competencias
Para el cumplimiento de las funciones que la presente ley le asigna y dentro de su ámbito de actuación, corresponden a la Autoridad Catalana de Protección de Datos las competencias de registro, control, inspección, sanción y resolución, así como la aprobación de propuestas, recomendaciones e instrucciones.
Artículo 5º. Funciones
Las funciones de la Autoridad Catalana de Protección de Datos son:
a) Velar por el cumplimiento de la legislación vigente sobre protección de datos de carácter personal.
b) Resolver las reclamaciones de tutela formuladas por las personas afectadas respecto al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
c) Promover, en el ámbito de sus competencias, la divulgación de los derechos de las personas con relación a la protección de datos y el acceso a la información, y la evaluación del impacto sobre la privacidad.
d) Velar por el cumplimiento de las disposiciones que la Ley 23/1998, de 30 de diciembre, de estadística de Cataluña establece respecto a la recogida de datos estadísticos y al secreto estadístico, y adoptar las medidas correspondientes para garantizar las condiciones de seguridad de los ficheros constituidos con finalidades exclusivamente estadísticas, sin perjuicio de las competencias atribuidas al Instituto de Estadística de Cataluña. A tales efectos, la Autoridad, en el ámbito de sus competencias, puede adoptar instrucciones y resoluciones dirigidas a los órganos administrativos y puede solicitar, si procede, la colaboración del Instituto de Estadística
de Cataluña.
e) Dictar, sin perjuicio de las competencias de otros órganos e instituciones, las instrucciones y las recomendaciones en materia de protección de datos de carácter personal y de acceso a la información.
f) Requerir a los responsables del fichero o del tratamiento y a los encargados del tratamiento la adopción de las medidas necesarias para la adecuación del tratamiento de los datos personales objeto de investigación a la legislación vigente en materia de protección de datos de carácter personal y, en su caso, ordenar el cese de los tratamientos y la supresión de los ficheros.
g) Proporcionar información sobre los derechos de las personas en materia de tratamiento de datos personales.
h) Atender las peticiones de información, las quejas y las denuncias.
i) Decidir sobre las inscripciones de ficheros y el tratamiento de datos de carácter personal en el Registro de Protección de Datos de Cataluña, así como tener conocimiento de los demás ficheros en que, a pesar de estar exentos del deber de inscripción en el Registro, la legislación vigente establezca un deber de comunicación a la autoridad de protección de datos.
j) Ejercer la potestad de inspección.
k) Ejercer la potestad sancionadora sobre cualquier tipo de fichero o tratamiento sometido a la normativa de protección de datos, en el ámbito que establece el artículo 3.
l) Elaborar planes de auditoría.
m) Emitir informe, con carácter preceptivo, sobre los proyectos de disposiciones de carácter general de la Generalidad de creación, modificación o supresión de ficheros de datos de carácter personal, y sobre las disposiciones que afecten a la protección de datos de carácter personal.
n) Emitir informe, con carácter potestativo, sobre los proyectos de disposiciones de carácter general de los entes locales de creación, modificación o supresión de ficheros, y sobre las disposiciones que tengan impacto en materia de protección de datos de carácter personal que los entes locales le sometan.
o) Responder a las consultas que formulen las entidades de su ámbito de actuación sobre la protección de datos de carácter personal al poder de las administraciones públicas y colaborar con estas entidades en la difusión de las obligaciones derivadas de la legislación reguladora de estas materias.
p) Otorgar las autorizaciones para la exención del deber de información en la recogida de datos, para el mantenimiento íntegro de determinados datos y las demás autorizaciones que establece la normativa vigente en materia de protección de datos.
q) Colaborar con la Agencia Española de Protección de Datos y con las demás agencias autonómicas, de acuerdo con lo establecido por la normativa reguladora de la agencia estatal.
r) Cumplir las demás funciones que le sean atribuidas de acuerdo con las leyes.
CAPÍTULO II.- Organización
Artículo 6º. Órganos de gobierno
Los órganos de la Autoridad Catalana de Protección de Datos son:
a) El director o directora.
b) El Consejo Asesor de Protección de Datos.
Artículo 7º. El director o directora
1. El director o directora de la Autoridad Catalana de Protección de Datos dirige la institución y ejerce su representación.
2. El director o directora de la Autoridad Catalana de Protección de Datos, con sujeción al ordenamiento jurídico, con plena independencia y objetividad y sin sujeción a mandato imperativo alguno ni a instrucción de ninguna clase, ejerce las funciones que establece el artículo 8 y las que se establezcan por ley o reglamento.
3. El director o directora de la Autoridad Catalana de Protección de Datos es designado por el Pleno del Parlamento por mayoría de tres quintas partes, a propuesta del Consejo Asesor de Protección de Datos, de entre personas con condición política de catalanes, con pleno uso de sus derechos civiles y políticos y con experiencia en materia de protección de datos. Si no obtiene la mayoría requerida, debe someterse a una segunda votación, en la misma sesión del Pleno, en que requiere el voto favorable de la mayoría absoluta de los miembros de la cámara.
4. Los candidatos a director o directora de la Autoridad Catalana de Protección de Datos que proponga el Consejo Asesor de Protección de Datos deben comparecer ante la correspondiente comisión del Parlamento de Cataluña para que sus miembros puedan pedir las pertinentes aclaraciones y explicaciones sobre cualquier aspecto relacionado con su formación académica, trayectoria profesional o méritos alegados.
5. El director o directora de la Autoridad Catalana de Protección de Datos es elegido por un periodo de cinco años, renovable una sola vez.
6. El director o directora de la Autoridad Catalana de Protección de Datos cesa por las siguientes causas:
a) Por expiración del plazo del mandato.
b) A petición propia.
c) Por separación, acordada por el Pleno del Parlamento por mayoría de tres quintas partes, por incumplimiento grave de sus obligaciones, incompatibilidad, incapacidad sobrevenida para el ejercicio de sus funciones declarada por sentencia firme o condena firme por delito doloso.
7. El director o directora de la Autoridad Catalana de Protección de Datos tiene la consideración de alto cargo, asimilado al de secretario o secretaria general. El cargo, sin perjuicio del régimen de incompatibilidades de los altos cargos al servicio de la Generalidad, es incompatible con:
a) El ejercicio de cualquier mandato representativo.
b) El ejercicio de funciones directivas o ejecutivas en partidos políticos, sindicatos o asociaciones empresariales, o el estar afiliado a ellos.
c) La pertenencia al Consejo de Garantías Estatutarias o al Tribunal Constitucional.
d) El ejercicio de cualquier cargo político o función administrativa en organismos internacionales, la Unión Europea, el Estado, las comunidades autónomas o las entidades locales.
e) El ejercicio de las carreras judicial, fiscal o militar.
f) El desarrollo de cualquier actividad profesional, mercantil, industrial o laboral.
Artículo 8º. Funciones del director o directora
1. Corresponde al director o directora de la Autoridad Catalana de Protección de Datos dictar las resoluciones y las instrucciones y aprobar las recomendaciones y los dictámenes que requiera el ejercicio de las funciones de la Autoridad, y en especial aprobar las instrucciones a que se refiere el artículo 15.
2. Corresponden al director o directora de la Autoridad Catalana de Protección de Datos, en el ámbito específico de las competencias de la Autoridad, las siguientes funciones:
a) Resolver motivadamente sobre la procedencia o improcedencia de las inscripciones que deban practicarse en el Registro de Protección de Datos de Cataluña.
b) Resolver motivadamente sobre la procedencia o improcedencia de la denegación del ejercicio de los derechos de oposición, acceso, rectificación o cancelación.
c) Requerir a los responsables y a los encargados del tratamiento la adopción de las medidas necesarias para la adecuación del tratamiento de datos personales objeto de investigación a la legislación vigente y ordenar, si procede, el cese de los tratamientos y la cancelación de los ficheros.
d) Adoptar las medidas, resoluciones e instrucciones necesarias para garantizar las condiciones de seguridad de los ficheros constituidos con finalidades exclusivamente estadísticas.
e) Dictar las instrucciones y recomendaciones necesarias para adecuar los tratamientos de datos personales a los principios de la legislación vigente en materia de datos personales.
f) Emitir informe, con carácter preceptivo, de los anteproyectos de ley, de los proyectos de disposiciones normativas que elabore el Gobierno por delegación legislativa y de los proyectos de reglamentos o disposiciones de carácter general que afecten a la protección de datos de carácter personal.
g) Responder a las consultas que la Administración de la Generalidad, los entes locales y las universidades de Cataluña le formulen sobre la aplicación de la legislación de protección de datos de carácter personal.
h) Resolver sobre la adopción de medidas para corregir los efectos de las infracciones.
i) Proponer el inicio de actuaciones disciplinarias contra los responsables o los encargados del tratamiento, de acuerdo con lo establecido por la legislación vigente sobre régimen disciplinario de las administraciones públicas.
j) Resolver los expedientes sancionadores que sean de su competencia y poner en conocimiento de la Agencia Española de Protección de Datos las presuntas infracciones cuya sanción le corresponda.
k) Ordenar el cese del tratamiento, de la comunicación ilícita de datos o la inmovilización de los ficheros, cuando proceda.
l) Proporcionar información sobre los derechos de las personas en materia de tratamiento de datos personales.
m) Cumplir las funciones con relación a los planes de auditoría de la Autoridad a que se refiere el artículo 20. n) Atender las peticiones que le formulen los ciudadanos.
o) Responder a las consultas que le formulen las administraciones.
p) Elaborar la memoria anual de las actuaciones y actividades de la Autoridad a que se refiere el artículo 13 y comparecer ante la comisión pertinente del Parlamento para informar de su contenido.
q) Cumplir cualquier otra que le sea encomendada por ley o reglamento.
3. Corresponden al director o directora de la Autoridad Catalana de Protección de Datos, en los ámbitos económico, de contratación y de recursos humanos de la Autoridad, las siguientes funciones:
a) Adjudicar y formalizar los contratos que requiera la gestión de la Autoridad y vigilar su cumplimiento y ejecución.
b) Aprobar los gastos y ordenar los pagos, dentro de los límites de los créditos del presupuesto de gastos de la Autoridad.
c) Elaborar el anteproyecto de presupuesto de la Autoridad y someterlo a la consideración del Consejo Asesor de Protección de Datos.
d) Aprobar la plantilla de personal de la Autoridad. (según corrección de errata, DOGC núm. 5739, de 21 de octubre de 2010).
Artículo 9º. El Consejo Asesor de Protección de Datos
1. El Consejo Asesor de Protección de Datos es el órgano de asesoramiento y participación de la Autoridad Catalana de Protección de Datos y está constituido por los siguientes miembros:
a) El presidente o presidenta, que es nombrado por el Consejo de entre sus miembros, una vez efectuada la renovación ordinaria de los miembros designados por el Parlamento.
b) Tres personas designadas por el Parlamento, por mayoría de tres quintas partes.
Si no obtienen la mayoría requerida, deben someterse a una segunda votación, en la misma sesión del Pleno, en que se requiere el voto favorable de la mayoría absoluta.
c) Tres personas en representación de la Administración de la Generalidad, designadas por el Gobierno.
d) Dos personas en representación de la Administración local de Cataluña, designadas por el Consejo de Gobiernos Locales.
e) Una persona experta en el ámbito de los derechos fundamentales, designada por el Consejo Interuniversitario de Cataluña.
f) Una persona experta en informática, designada por el Consejo Interuniversitario de Cataluña.
g) Una persona designada por el Instituto de Estudios Catalanes.
h) Una persona en representación de las organizaciones de consumidores y usuarios, designada por el Consejo de las Personas Consumidoras de Cataluña.
i) El director o directora del Instituto de Estadística de Cataluña.
j) Un funcionario o funcionaria de la Autoridad Catalana de Protección de Datos, que actúa de secretario o secretaria del Consejo.
2. La renovación de los miembros del Consejo Asesor de Protección de Datos se lleva a cabo cada cinco años de acuerdo con los estatutos de la Autoridad Catalana de Protección de Datos.
3. El director o directora de la Autoridad Catalana de Protección de Datos asiste a las reuniones del Consejo Asesor de Protección de Datos con voz y sin voto.
Artículo 10º. Funciones del Consejo Asesor de Protección de Datos
1. Las funciones del Consejo Asesor de Protección de Datos son:
a) Proponer al Parlamento la persona o personas candidatas a ocupar el puesto de director o directora de la Autoridad.
b) Emitir informe sobre los proyectos de instrucciones de la Autoridad que le sean sometidos.
c) Emitir informe sobre el anteproyecto de presupuesto anual de la Autoridad que el director o directora proponga.
d) Asesorar al director o directora de la Autoridad sobre cuantas cuestiones le sean sometidas.
e) Elaborar un informe preceptivo previo a la aprobación de la plantilla del personal de la Autoridad.
f) Elaborar un informe vinculante sobre el número máximo de trabajadores de la plantilla de personal eventual de la Autoridad.
g) Elaborar estudios y propuestas en materia de protección de datos de carácter personal y pedir al director o directora el establecimiento de criterios en la materia.
2. El Consejo Asesor de Protección de Datos ha de ser informado de:
a) La actividad de la Autoridad Catalana de Protección de Datos, por parte del director o directora y de forma periódica.
b) La memoria anual de la Autoridad.
c) Los criterios objetivos de los planes de auditoría a que se refiere el artículo 20. 3. El Consejo Asesor de Protección de Datos se rige por las normas que se establezcan por reglamento y, supletoriamente, por las disposiciones vigentes sobre funcionamiento de órganos colegiados de la Administración de la Generalidad.
Artículo 11º. El Registro de Protección de Datos de Cataluña
1. El Registro de Protección de Datos de Cataluña se integra en la Autoridad Catalana de Protección de Datos.
2. Son objeto de inscripción en el Registro de Protección de Datos de Cataluña:
a) Los ficheros de datos personales, de titularidad pública o privada, incluidos dentro del ámbito de actuación de la Autoridad Catalana de Protección de Datos.
b) Los códigos tipo formulados por las entidades incluidas dentro del ámbito de actuación de la Autoridad Catalana de Protección de Datos.
c) Las autorizaciones de tratamientos de datos de carácter personal previstas en la legislación vigente.
3. El Gobierno debe establecer por reglamento el procedimiento de inscripción de la creación, la modificación y la supresión de ficheros en el Registro de Protección de Datos de Cataluña, así como el contenido de los asientos registrales.
4. El Registro de Protección de Datos de Cataluña es de consulta pública y gratuita.
Cualquier persona puede consultar, como mínimo, la información sobre la existencia de un determinado tratamiento de datos de carácter personal, las finalidades y la identidad de la persona responsable del tratamiento.
5. La Autoridad Catalana de Protección de Datos debe establecer los acuerdos de cooperación necesarios con la Agencia Española de Protección de Datos para integrar la información registral y mantenerla actualizada.
CAPÍTULO III.- Relaciones con otros organismos e instituciones
Artículo 12º. Colaboración con otras instituciones
La Autoridad Catalana de Protección de Datos puede suscribir convenios de colaboración con el Síndic de Greuges, los síndicos locales, el Instituto de Estadística de Cataluña, las universidades y otras instituciones y organismos de defensa de los derechos de las personas.
Artículo 13º. Memoria anual
1. La Autoridad Catalana de Protección de Datos debe elaborar una memoria anual de sus actividades y de las conclusiones de los trabajos y expedientes que ha tramitado.
2. La Autoridad Catalana de Protección de Datos debe presentar la memoria anual en el Parlamento y dar cuenta de la misma en el marco de la comisión correspondiente, y remitirla también al Gobierno, al Síndic de Greuges y al director o directora de la Agencia Española de Protección de Datos.
Artículo 14º. Relaciones entre la Autoridad Catalana de Protección de Datos y el Síndic de Greuges
Las relaciones entre la Autoridad Catalana de Protección de Datos y el Síndic de Greuges son de colaboración en el ámbito de sus respectivas competencias.
CAPÍTULO IV.- Ejercicio de competencias y funciones
Artículo 15º. Instrucciones
1. El director o directora de la Autoridad Catalana de Protección de Datos puede aprobar instrucciones para la adecuación de los ficheros y los tratamientos de datos a los principios y garantías que establece la legislación vigente en materia de protección de datos.
2. El proyecto de instrucción debe someterse a información pública y a informe del Consejo Asesor de Protección de Datos. Igualmente, puede ser sometido a informe de la Comisión Jurídica Asesora.
3. Las instrucciones a que se refiere el apartado 1 se publican en el Diari Oficial de la Generalitat de Catalunya y en la sede electrónica de la Autoridad Catalana de Protección de Datos.
Artículo 16º. Tutela de los derechos de acceso, rectificación, oposición y cancelación
1. Las personas interesadas a las que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, de rectificación, de cancelación o de oposición, o que puedan entender desestimada su solicitud por el hecho de no haber sido resuelta y remitida dentro del plazo establecido, pueden presentar una reclamación ante la Autoridad Catalana de Protección de Datos.
2. La Autoridad Catalana de Protección de Datos debe resolver expresamente sobre la procedencia o improcedencia de la reclamación a que se refiere el apartado 1 en el plazo de seis meses, previa audiencia de la persona responsable del fichero así como de las personas interesadas si el resultado del primer trámite de audiencia lo hace necesario. Transcurrido dicho plazo sin que la Autoridad notifique la resolución, se entiende que ha sido desestimada.
3. La resolución de estimación total o parcial de la tutela de un derecho ha de establecer el plazo en que este debe hacerse efectivo.
4. Si la solicitud de ejercicio del derecho ante la persona responsable del fichero es estimada, total o parcialmente, pero el derecho no se ha hecho efectivo en la forma y los plazos exigibles de acuerdo con la normativa aplicable, las personas interesadas pueden ponerlo en conocimiento de la Autoridad Catalana de Protección de Datos para que se lleven a cabo las correspondientes actuaciones sancionadoras.
Artículo 17º. Publicidad de los informes y resoluciones
1. La Autoridad Catalana de Protección de Datos está obligada a garantizar la confidencialidad de las consultas y reclamaciones de que tenga conocimiento, sin perjuicio del derecho de acceso a la información y documentación administrativas de las personas interesadas.
2. Los dictámenes, informes y resoluciones de la Autoridad Catalana de Protección de Datos deben hacerse públicos, una vez notificados a las personas interesadas, previa anonimización de los datos de carácter personal, sin perjuicio de lo establecido por el apartado 1.
3. De forma excepcional, puede optarse por no publicar las resoluciones sin interés doctrinal alguno o que, pese a la anonimización, sea aconsejable por causas justificadas evitar su publicidad para impedir hacer reconocibles a las personas que lo solicitan.
Artículo 18º. Funciones de control
1. La actividad de control de la Autoridad Catalana de Protección de Datos se lleva a cabo mediante la potestad de inspección, los planes de auditoría, la aplicación del régimen sancionador, los requerimientos de adecuación a la legalidad y la potestad de inmovilización de ficheros.
2. Los hechos constatados por los funcionarios al servicio de la Autoridad Catalana de Protección de Datos al llevar a cabo su tarea de control e inspección, si sus actuaciones se formalizan en un documento público en que se observen los requisitos legales pertinentes, tienen valor probatorio, sin perjuicio de las pruebas en defensa de los respectivos derechos o intereses que puedan aportar los propios interesados.
Artículo 19º. Potestad de inspección
1. La Autoridad Catalana de Protección de Datos puede inspeccionar los ficheros y los tratamientos de datos personales a que se refiere la presente ley, a fin de obtener todas las informaciones necesarias para el ejercicio de sus funciones. A tal fin, la Autoridad puede solicitar la presentación o la remisión de documentos y de datos o examinarlos en el lugar donde estén depositados, así como inspeccionar los equipos físicos y lógicos utilizados, para lo cual puede acceder a los locales donde estén instalados.
2. Los funcionarios que ejercen la función inspectora a que se refiere el apartado 1 tienen la consideración de autoridad pública en el desarrollo de su actividad y quedan obligados a mantener el secreto sobre las informaciones que conozcan en el ejercicio de las funciones inspectoras, incluso después de haber cesado en las mismas.
3. En el ejercicio de las funciones de inspección los funcionarios pueden ser auxiliados por personal no funcionario, si así lo decide el director o directora de la Autoridad, en función de los conocimientos de orden técnico que puedan ser necesarios para auditar sistemas de información durante las tareas de investigación.
El personal no funcionario que participa en la actividad inspectora debe hacerlo siguiendo las instrucciones y bajo la supervisión del personal funcionario inspector, y tiene las mismas obligaciones que este, especialmente en cuanto al deber de secreto.
4. Las entidades comprendidas dentro del ámbito de aplicación de la presente ley tienen la obligación de auxiliar, con carácter preferente y urgente, a la Autoridad Catalana de Protección de Datos en sus investigaciones, si esta lo solicita.
Artículo 20º. Planes de auditoría
1. Los planes de auditoría de la Autoridad Catalana de Protección de Datos constituyen un sistema de control preventivo para:
a) Verificar el cumplimiento de la normativa en materia de protección de datos de carácter personal.
b) Recomendar o requerir a los responsables de los ficheros y de los tratamientos de datos de carácter personal la adopción de las medidas correctoras adecuadas.
2. Corresponde al director o directora de la Autoridad Catalana de Protección de Datos:
a) Decidir el contenido de cada plan de auditoría y concretar los aspectos y tratamientos que deben ser analizados.
b) Seleccionar las entidades que deben ser objeto de los planes de auditoría mediante criterios objetivos que han de ser públicos.
3. Las entidades a que se refiere la letra b del apartado 2 deben colaborar con la persona responsable de la auditoría facilitando la realización de las verificaciones oportunas y aportando la información y documentación necesarias.
4. Las conclusiones de los planes de auditoría sobre el grado general de cumplimiento y las recomendaciones generales pertinentes deben difundirse públicamente.
5. Si durante el proceso de ejecución de un plan de auditoría la entidad afectada es objeto, previa denuncia, de la incoación de un expediente sancionador por parte de la Autoridad Catalana de Protección de Datos como consecuencia de la comisión de una posible infracción por algún aspecto coincidente o directamente relacionado con el contenido del plan de auditoría que se está llevando a cabo, la entidad debe ser excluida del plan de auditoría y debe continuarse la tramitación del procedimiento sancionador.
6. Los requerimientos a que se refiere la letra b del apartado 1 deben establecer un plazo adecuado para la adopción de las medidas correctoras necesarias por parte de las entidades afectadas. Transcurrido dicho plazo sin que la entidad afectada informe a la Autoridad Catalana de Protección de Datos sobre las medidas adoptadas, o si estas son insuficientes o inadecuadas, la Autoridad puede iniciar las actuaciones inspectoras oportunas para incoar, si procede, un procedimiento sancionador.
Artículo 21º. Régimen sancionador
1. Los responsables de los ficheros y de los tratamientos de datos personales incluidos dentro del ámbito de actuación de la Autoridad Catalana de Protección de Datos y los encargados de los correspondientes tratamientos quedan sujetos al régimen sancionador establecido por la legislación estatal de protección de datos de carácter personal. Las referencias a la Agencia Española de Protección de Datos o a sus órganos, en cuanto al régimen de infracciones, deben entenderse hechas a la Autoridad Catalana de Protección de Datos o a sus órganos, en lo concerniente a su ámbito competencial.
2. En el caso de infracciones cometidas con relación a ficheros de titularidad pública, el director o directora de la Autoridad Catalana de Protección de Datos debe dictar una resolución que declare la infracción y establezca las medidas a adoptar para corregir sus efectos. Además, puede proponer, si procede, la iniciación de actuaciones disciplinarias de acuerdo con lo establecido por la legislación vigente sobre el régimen
disciplinario del personal al servicio de las administraciones públicas.
Dicha resolución debe notificarse a la persona responsable del fichero o del tratamiento, a la encargada del tratamiento, si procede, al órgano del que dependan y a las personas afectadas, si las hay.
3. En el caso de infracciones cometidas con relación a ficheros de titularidad privada, la resolución que declare la infracción debe imponer las sanciones previstas por la legislación de protección de datos y las medidas a adoptar para corregir los efectos de la infracción.
4. El director o directora de la Autoridad Catalana de Protección de Datos debe informar al síndic o síndica de greuges de las actuaciones que haga a consecuencia de una solicitud del mismo y debe comunicarle las resoluciones sancionadoras que dicte con relación a dichas actuaciones.
Artículo 22º. Procedimiento sancionador
1. El Gobierno debe establecer por decreto el procedimiento para la determinación de las infracciones y la imposición de sanciones.
2. La denuncia que inicia un procedimiento sancionador debe formalizarse mediante escrito razonado y estar debidamente firmada.
3. La persona denunciante debe identificarse en el momento de hacer la denuncia a que se refiere el apartado 2. Sin embargo, puede solicitar de forma razonada que su identidad no sea revelada, previa ponderación de los intereses en conflicto por la Autoridad Catalana de Protección de Datos, cuando haya motivos fundamentados y legítimos relativos a una situación personal concreta que así lo justifique.
4. La persona denunciante tiene derecho a que le sean comunicadas las actuaciones que se deriven de su denuncia, sin perjuicio de los derechos que puedan corresponderle si también es persona interesada.
Artículo 23º. Medidas provisionales
En el momento de la incoación o durante la tramitación del procedimiento sancionador, el director o directora de la Autoridad Catalana de Protección de Datos puede adoptar, de forma motivada, las medidas provisionales que considere necesarias para asegurar la eficacia de la resolución que finalmente pueda recaer y para conseguir la protección provisional del derecho a la protección de datos de las personas afectadas.
Con carácter previo, la Autoridad debe dar audiencia a las entidades afectadas, excepto si concurren circunstancias de urgencia que puedan hacer perder la finalidad de la medida. La resolución que adopte la medida es
susceptible de los recursos procedentes.
Artículo 24º. Cumplimiento de la resolución del procedimiento sancionador
1. En las infracciones declaradas respecto a ficheros de titularidad pública, las personas o entidades que hayan sido declaradas responsables de la infracción deben comunicar a la Autoridad Catalana de Protección de Datos, en el plazo que establece la resolución, la adopción de las medidas y actuaciones a que se refiere el apartado 2 del artículo 25.
2. En las sanciones impuestas por infracciones cometidas respecto a ficheros de titularidad privada, el cumplimiento de la sanción debe llevarse a cabo en el plazo establecido por la legislación vigente. Dentro de este plazo, la entidad sancionada puede solicitar, de forma razonada, el fraccionamiento del pago. El director o directora de la Autoridad Catalana de Protección de Datos debe resolver la solicitud, de acuerdo con lo establecido por la normativa reguladora de la recaudación de los ingresos públicos.
3. Las personas o entidades sancionadas a quienes se haya impuesto alguna medida correctora de acuerdo con lo establecido por el artículo 25 deben comunicar a la Autoridad Catalana de Protección de Datos, en el plazo que establece la resolución, las medidas adoptadas.
Artículo 25º. Requerimientos de adecuación y potestad de inmovilización
1. En los supuestos, constitutivos de infracción muy grave, de utilización o de comunicación ilícita de datos personales en que se atente gravemente contra los derechos fundamentales y las libertades públicas de los ciudadanos o se impida su ejercicio, el director o directora de la Autoridad Catalana de Protección de Datos puede exigir a los responsables de los ficheros de datos personales el cese de la utilización o comunicación ilícita de datos personales.
2. Si el requerimiento a que se refiere el apartado 1 no es atendido, el director o directora de la Autoridad Catalana de Protección de Datos puede, mediante resolución motivada, inmovilizar los ficheros de datos personales, con la única finalidad de restaurar los derechos de las personas afectadas. En este supuesto, la inmovilización queda sin efecto de no acordar la Autoridad, en el plazo de quince días, la incoación de un procedimiento sancionador y ratificarse la medida.
CAPÍTULO V.- Régimen jurídico, de personal, económico y de contratación
Artículo 26º. Régimen jurídico
1. La Autoridad Catalana de Protección de Datos, en el ejercicio de sus funciones, actúa de conformidad con lo dispuesto por la presente ley, sus disposiciones de desarrollo y la legislación reguladora del régimen jurídico de las administraciones públicas y el procedimiento administrativo aplicable a la Administración de la Generalidad.
2. Las resoluciones del director o directora de la Autoridad Catalana de Protección de Datos agotan la vía administrativa y son susceptibles de recurso contencioso administrativo, sin perjuicio de los recursos administrativos que procedan.
Artículo 27º. Régimen de personal
1. La Autoridad Catalana de Protección de Datos, en el ejercicio de su potestad de autoorganización y de acuerdo con los créditos consignados en los presupuestos de la Generalidad, aprueba la relación de puestos de trabajo de los órganos y servicios que la integran y que han de ser ocupados por personal funcionario, laboral o eventual, e informa de ello al Parlamento.
2. Al personal al servicio de la Autoridad Catalana de Protección de Datos se le aplica a todos los efectos la normativa que regula el estatuto del personal al servicio de la Administración de la Generalidad en cuanto al régimen y la normativa de ordenación de la ocupación pública.
3. Los puestos de trabajo que comportan el ejercicio de potestades públicas se reservan a personal funcionario.
4. Los puestos de trabajo considerados de confianza o de asesoramiento especial no reservado a personal funcionario y que figuran con este carácter en la correspondiente relación de puestos de trabajo son desempeñados por personal eventual, cuyo número máximo fija el Consejo Asesor de Protección de Datos.
5. La Autoridad Catalana de Protección de Datos ejerce la potestad disciplinaria respecto al personal al servicio de la institución.
6. El personal al servicio de la Autoridad Catalana de Protección de Datos tiene el deber de secreto sobre las informaciones que conozca en el ejercicio de sus funciones, incluso después de haber cesado en su ejercicio.
Artículo 28º. Régimen económico y de contratación
1. Para el cumplimiento de sus finalidades, la Autoridad Catalana de Protección de Datos cuenta con los siguientes bienes y recursos económicos:
a) Las asignaciones anuales de los presupuestos de la Generalidad.
b) Los bienes y derechos que constituyen su patrimonio, así como los productos y rentas de los mismos.
c) El producto de las sanciones que imponga en el ejercicio de sus competencias.
d) El producto de las tasas y demás ingresos públicos devengados por su actividad.
e) Cualquier otro recurso económico que legalmente se le pueda atribuir.
2. El producto de las sanciones que la Autoridad Catalana de Protección de Datos imponga en el ejercicio de sus competencias debe ser ingresado en el Tesoro de la Generalidad.
3. La Autoridad Catalana de Protección de Datos debe elaborar anualmente el anteproyecto de presupuesto de ingresos y gastos y remitirlo al departamento con que se relaciona para que el Gobierno lo integre en los presupuestos de la Generalidad.
4. La Autoridad Catalana de Protección de Datos está sometida al control financiero de la Intervención General de la Generalidad y al régimen de contabilidad pública.
5. El régimen jurídico de contratación de la Autoridad Catalana de Protección de Datos es el establecido por la legislación sobre contratos del sector público.
6. El régimen patrimonial de la Autoridad Catalana de Protección de Datos es el establecido por la normativa que regula el patrimonio de la Administración de la Generalidad.
DISPOSICIONES TRANSITORIAS
Primera. Sucesión de la Agencia Catalana de Protección de Datos
1. La Autoridad Catalana de Protección de Datos se subroga en la posición jurídica de la Agencia Catalana de Protección de Datos en cuanto a los bienes, derechos y obligaciones de cualquier tipo de que fuera titular la Agencia.
2. Las referencias hechas en el ordenamiento jurídico a la Agencia Catalana de Protección de Datos deben entenderse hechas a la Autoridad Catalana de Protección de Datos.
Segunda. Procedimiento sancionador
Mientras el Gobierno no apruebe el decreto que regula el procedimiento sancionador en materia de protección de datos, continúa siendo aplicable el procedimiento establecido por el Decreto 278/1993, de 9 de noviembre, sobre procedimiento sancionador de aplicación a los ámbitos de competencia de la Generalidad.
Tercera. Vigencia del Estatuto de la Agencia Catalana de Protección de Datos
Mientras no entren en vigor los estatutos de la Autoridad Catalana de Protección de Datos, sigue siendo de aplicación, en todo lo que no se oponga a la presente ley, el Estatuto de la Agencia Catalana de Protección de Datos, aprobado por el Decreto 48/2003, de 20 de febrero.
DISPOSICIÓN DEROGATORIA
Queda derogada la Ley 5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos.
DISPOSICIONES FINALES
Primera. Estatutos de la Autoridad
En el plazo de seis meses a contar desde la entrada en vigor de la presente ley, el Gobierno debe aprobar los estatutos de la Autoridad Catalana de Protección de Datos.
Segunda. Desarrollo de los procedimientos
Se habilita al Gobierno para la regulación de los procedimientos necesarios para el ejercicio de las funciones atribuidas a la Autoridad Catalana de Protección de Datos, sin perjuicio de la competencia de la Autoridad para concretar mediante instrucción aquellos aspectos en que sea necesario.
Tercera. Creación, modificación y supresión de ficheros
1. Los consejeros de la Generalidad, dentro del ámbito de sus respectivas competencias, quedan habilitados para crear, modificar y suprimir, mediante orden, los ficheros de sus departamentos o de los entes públicos vinculados a ellos o que dependan de los mismos y los ficheros de los consorcios en que la representación de la Administración de la Generalidad en los órganos de gobierno sea mayoritaria.
2. Las entidades de derecho público dotadas de especial independencia o autonomía quedan habilitadas para ejercer la competencia de crear, modificar y suprimir ficheros.
Por tanto, ordeno que todos los ciudadanos a los que sea de aplicación esta Ley cooperen en su cumplimiento y que los tribunales y autoridades a los que corresponda la hagan cumplir.