Delegación de Protección de Datos

Orden SLT/131/2024, de 6 de junio, por la que se determina la organización de la Delegación de Protección de Datos en el ámbito del Departamento de Salud y de las entidades de su sector público (DOGC de 11 de junio de 2024). Texto completo.

ORDEN SLT/131/2024, DE 6 DE JUNIO, POR LA QUE SE DETERMINA LA ORGANIZACIÓN DE LA DELEGACIÓN DE PROTECCIÓN DE DATOS EN EL ÁMBITO DEL DEPARTAMENTO DE SALUD Y DE LAS ENTIDADES DE SU SECTOR PÚBLICO.

El Departamento de Salud tendrá la obligación de garantizar, en el ejercicio de sus competencias, el cumplimiento de la legislación vigente en materia de seguridad de la información y protección de datos personales.

El Reglamento UE 2016/679 , del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas con respecto al tratamiento de datos personales y a la libre circulación de estos datos, ha unificado y modernizado la normativa europea sobre protección de datos, que en el contexto de salud tienen la consideración de categorías especiales de datos y que, por lo tanto, requieren de una mayor protección, con un énfasis especial en el análisis del impacto de la privacidad, el deber de información, el consentimiento, la transparencia, la seguridad y el hecho de que se tienen que garantizar los derechos de la ciudadanía en relación con la protección de su privacidad. El Reglamento establece que, cuando la persona responsable o encargada del tratamiento de los datos de carácter personal es una administración pública, se designará una persona delegada de protección de datos con conocimientos especializados en derecho y la práctica en materia de protección de datos. En los artículos 37 a 39, se regula la figura de la persona delegada de protección de datos, en concreto, los supuestos en que se designará una persona delegada de protección de datos, su posición y sus funciones.

Por otra parte, la Ley orgánica 3/2018, de 5 de diciembre , de protección de datos personales y garantía de los derechos digitales, en los artículos 34 a 37 , y la Ley orgánica 7/2021, de 26 de mayo, de protección de datos personales tratadas para finalidades de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, en los artículos 40 a 42, establecen ciertas particularidades en el estatuto personal de la persona delegada de protección de datos, caracterizado por las notas de independencia con respecto a la persona responsable o encargada del tratamiento, y la inamovilidad en el ejercicio de las funciones específicas que se le asignan, entre otras, lo que ha hecho necesaria una regulación específica del régimen y el estatuto jurídico de las personas delegadas de protección de datos de la Administración de la Generalitat y su sector público, de acuerdo con lo que establecen el Real decreto legislativo 5/2015, de 30 de octubre , por el que se aprueba el texto refundido de la Ley del Estatuto básico del empleado público, y el Decreto legislativo 1/1997, de 31 de octubre , por el que se aprueba la refundición en un texto único de los preceptos de determinados textos legales vigentes en Cataluña en materia de función pública.

La regulación específica del régimen y el estatuto jurídico de las personas delegadas de protección de datos de la Administración de la Generalitat de Catalunya y su sector público está determinada en el Decreto 148/2023, de 1 de agosto , sobre las personas delegadas de protección de datos de la Administración de la Generalitat y su sector público, que tiene como objeto establecer el régimen jurídico de las personas delegadas de protección de datos de la Administración de la Generalitat y su sector público.

Este Decreto establece en la disposición final primera que la persona titular del Departamento de Salud, mediante una orden, organizará un sistema propio de delegaciones de protección de datos que abarque el Departamento y su sector público. Esta previsión responde a la complejidad organizativa del Departamento de Salud y a las características de especial protección que merecen los datos personales tratados en el ámbito del sistema sanitario y de salud, que justifican una regulación organizativa propia para el Departamento de Salud y su sector público, en el marco del régimen jurídico de las personas delegadas de protección de datos establecido en el Decreto 148/2023, de 1 de agosto , precitado.

La regulación establecida deja abierta la posibilidad de que se puedan organizar las funciones propias de la persona delegada de protección de datos mediante la designación de una persona delegada de protección de datos o con la atribución de las funciones de la persona delegada de protección de datos a una entidad que conforme su sector público, de acuerdo con el artículo 2 del Decreto 148/2023, de 1 de agosto.

En el ámbito del Departamento de Salud, desde la implantación de la figura de la persona delegada de protección de datos y hasta hoy en día, esta función ha sido atribuida, sin solución de continuidad, a la Fundación Ticsalud y Social para el Departamento de Salud, el Servicio Catalán de la Salud y la Agencia de Calidad y Evaluación Sanitarias de Cataluña (AQuAS) con la posibilidad que las restantes entidades del sector público de Salud pudieran decidir atribuir esta función a la misma entidad. Actualmente, la Fundación presta los servicios de delegación de protección de datos a 37 entidades del sector de Salud.

Esta Orden se ha elaborado de conformidad con los principios de buena regulación que disponen el artículo 129 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, y el artículo 62 de la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno. De acuerdo con los principios de necesidad y eficacia, esta Orden se justifica por razones de interés general, que consisten en establecer en el ámbito del Departamento de Salud y de las entidades de su sector público la organización de la Delegación de Protección de Datos, en cumplimiento del mandato establecido en la disposición final primera del Decreto 148/2023, de 1 de agosto , sobre las personas delegadas de protección de datos de la Administración de la Generalitat y su sector público. La eficacia queda garantizada a través del establecimiento de un modelo organizativo y la previsión de un modelo transitorio, mientras no se desarrolle el modelo organizativo establecido, que requerirá el menor coste posible.

De acuerdo con el principio de proporcionalidad, esta norma contiene los elementos imprescindibles para atender las exigencias que el interés general requiere. No supone la restricción de ningún derecho y las obligaciones que impone serán las indispensables para garantizar un ejercicio correcto de las funciones asignadas normativamente en la figura de la persona delegada de protección de datos.

Atendiendo al principio de seguridad jurídica, la potestad reglamentaria se ejercerá de manera coherente con el resto del ordenamiento jurídico: el Decreto se integrará en un marco normativo estable y coherente, y su contenido estará de acuerdo con la normativa en materia de protección de datos.

En aplicación del principio de transparencia, la Administración de la Generalitat de Catalunya posibilitará el acceso sencillo, universal y actualizado a la normativa en vigor y los documentos propios de su proceso de elaboración.

Y, en aplicación del principio de eficiencia, esta Orden no creará cargas administrativas para la ciudadanía y permite disponer de un marco normativo coherente y adecuado para ejercer las funciones asignadas a la persona delegada de protección de datos del Departamento de Salud y de su sector público.

Por todo ello, en uso de las atribuciones que me han sido conferidas por la referida disposición final en relación con los artículos 39.3 y 40.1 de la Ley 13/2008, de 5 de noviembre, de la presidencia de la Generalitat y del Gobierno

Ordeno:

Artículo 1. Opciones de organización de las funciones de persona delegada de protección de datos

De acuerdo con el artículo 2 del Decreto 148/2023, de 1 de agosto, sobre las personas delegadas de protección de datos de la Administración de la Generalitat y su sector público, la organización de las funciones de la persona delegada de protección de datos en el ámbito del Departamento de Salud y de las entidades de su sector público, se podrá realizar mediante una de las siguientes opciones:

a) Con la designación de una persona delegada de protección de datos.

b) Con la atribución de las funciones de la persona delegada de protección de datos a una entidad que conforme su sector público.

Artículo 2. Designación de una persona delegada de protección de datos y determinación de su ámbito de actuación

1. La designación y el cese de la persona delegada de protección de datos se sujetará a lo que establecen los artículos 6 y 7 del Decreto 148/2023, de 1 de agosto.

La persona designada se adscribirá orgánicamente a la Secretaría General del Departamento de Salud, sin perjuicio del régimen de independencia funcional que le es propio.

2. El ámbito de actuación de la persona designada como delegada de protección de datos comprenderá el Departamento de Salud y las siguientes entidades:

a) El Servicio Catalán de la Salud.

b) La Agencia de Calidad y Evaluación Sanitarias de Cataluña.

c) La Fundación Ticsalud y Social.

d) La Agencia de Salud Pública de Cataluña, en el momento de su constitución.

e) Las entidades del sector público de la Administración de la Generalitat vinculadas indirectamente con el Departamento de Salud, mediante su adscripción al Servicio Catalán de la Salud, a menos que estas soliciten y obtengan la autorización de la persona titular de la Secretaría General para designar autónomamente a una persona delegada de protección de datos o atribuir las funciones a una entidad del sector público del Departamento de Salud, de acuerdo con el artículo 2.2 del Decreto 148/2023, de 1 de agosto.

f) Los centros e institutos de investigación del sector público de la Administración de la Generalitat vinculados al Departamento de Salud, a menos que estos soliciten y obtengan la autorización de la persona titular de la Secretaría General para designar autónomamente a una persona delegada de protección de datos o atribuir las funciones a una entidad del sector público del Departamento de Salud, de acuerdo con el artículo 2.2 del Decreto 148/2023, de 1 de agosto.

g) Las entidades del sector público de la Administración de la Generalitat que se puedan crear vinculadas al Departamento de Salud, directa o indirectamente.

3. Las solicitudes a la persona titular de la Secretaría General a que se hace referencia en las letras e) y f) del apartado 2 se acompañarán de la documentación acreditativa de la decisión adoptada por el órgano de gobierno competente de la entidad, así como de una memoria justificativa de la concurrencia de factores, conforme a la complejidad, el volumen o la categoría o categorías de los datos que gestionan, y que motivan la solicitud.

Artículo 3. Atribución de las funciones de la persona delegada de protección de datos a una entidad del sector público del Departamento de Salud y determinación de su ámbito de actuación

1. En el ámbito del Departamento de Salud, las funciones de la persona delegada de protección de datos se podrán atribuir a una entidad de su sector público.

2. El ejercicio de esta opción organizativa del Departamento de Salud, determina que el ámbito de actuación de la entidad en las funciones de la persona delegada de protección de datos se extiende al Departamento de Salud y a las entidades relacionadas en las letras a) a d) del artículo 2.2, así como a las entidades incluidas en las letras e), f) y g) del artículo 2.2, a menos que estas entidades soliciten, con la presentación de la documentación referida en el artículo 2.3, y obtengan la autorización de la persona titular de la Secretaría General para designar autónomamente a una persona delegada de protección de datos o atribuir las funciones a una entidad del sector público del Departamento de Salud, de acuerdo con el artículo 2.2 del Decreto 148/2023, de 1 de agosto.

Artículo 4. Coordinadores o coordinadoras de protección de datos

1. El Departamento de Salud, el Servicio Catalán de la Salud, la Agencia de Calidad y Evaluación Sanitarias de Cataluña, la Fundación Ticsalud y Social, la Agencia de Salud Pública de Cataluña y las entidades del sector público del Departamento de Salud que, en virtud de los artículos anteriores, no obtengan la autorización de la persona titular de la Secretaría General para designar autónomamente a una persona delegada de protección de datos o atribuir las funciones a una entidad del sector público del Departamento de Salud, designarán, al menos, una persona que asuma las funciones de coordinación de las relaciones en materia de protección de datos entre la persona designada delegada de protección de datos o la entidad a la que se haya atribuido las funciones y las personas responsables o encargadas de los tratamientos de datos de la entidad. El ejercicio de estas funciones no comportará, necesariamente, la creación ni la ocupación de ningún puesto de trabajo específico u órgano activo.

Las personas que asuman las funciones de coordinación en materia de protección de datos en las entidades descritas en el apartado precedente tendrán conocimientos y formación práctica en materia de protección de datos y recursos suficientes para desarrollar adecuadamente las funciones atribuidas.

2. En el ámbito del Departamento de Salud, la coordinación de la protección de datos corresponderá a la persona responsable del Área de Seguridad de la Información y Protección de Datos o a quien asuma las funciones propias de esta unidad, sin que el desarrollo de esta función de coordinación implique la creación o el ocupación de ningún otro puesto de trabajo específico u órgano activo.

Artículo 5. Dotación de recursos

En cualquiera de las alternativas por la que se opte de acuerdo con el artículo 1 de esta Orden, tanto el Departamento de Salud como las entidades de su sector público, darán su apoyo para que la persona delegada de protección de datos disponga de los recursos necesarios para cumplir sus funciones.

Disposiciones transitorias

Primera. Atribución de las funciones de persona delegada de protección de datos a la Fundación Ticsalud y Social

1. Mientras no se desarrollen en el ámbito del Departamento de Salud, las opciones establecidas en los artículos 2 y 3, se mantiene la atribución a la Fundación Ticsalud y Social, mediante la Dirección de la Oficina del Delegado o Delegada de Protección de Datos, de las funciones de la persona delegada de protección de datos en relación con el Departamento de Salud, el Servicio Catalán de la Salud, la Agencia de Calidad y Evaluación Sanitarias de Cataluña, la Fundación Ticsalud y Social y las entidades del sector público del Departamento de Salud que, de acuerdo con las resoluciones de atribución de funciones dictadas por la Secretaría General del Departamento de Salud al amparo de la Instrucción 1/2018, de 16 de mayo, sobre la atribución temporal de funciones propias de la persona delegada de protección de datos en el ámbito de la Administración de la Generalitat y su sector público, que en el momento de la entrada en vigor de esta Orden, tienen formalizado el documento de adhesión en favor de la mencionada Fundación para el ejercicio de las funciones de persona delegada de protección de datos, sin necesidad que efectúen ningún trámite adicional, y las cuales se especifican en el anexo de esta Orden.

2. El ámbito de actuación de la Fundación Ticsalud y Social como persona delegada de protección de datos se amplía a la Agencia de Salud Pública de Cataluña, en el momento de su constitución.

3. Los datos de contacto de la Fundación Ticsalud y Social como persona delegada de protección de datos se publicarán en la web corporativa del Departamento de Salud y de las entidades del sector público incluidas en su ámbito de actuación, en que se indican el nombre completo, la dirección electrónica y el teléfono de contacto, así como la dirección y los datos postales.

Segunda. Régimen para las entidades no adheridas a la Fundación Ticsalud y Social para el ejercicio de las funciones de persona delegada de protección de datos

1. Las entidades del sector público de la Administración de la Generalitat vinculadas indirectamente al Departamento de Salud, mediante su adscripción al Servicio Catalán de la Salud, y los centros e institutos de investigación del sector público de la Administración de la Generalitat vinculados al Departamento de Salud que en el momento de la entrada en vigor de esta Orden no tienen formalizado el documento de adhesión en favor de la Fundación Ticsalud y Social para el ejercicio de las funciones de persona delegada de protección de datos, de acuerdo con las resoluciones de atribución de funciones dictadas por la Secretaría General del Departamento de Salud al amparo de la Instrucción 1/2018, de 16 de mayo, sobre la atribución temporal de funciones propias de la persona delegada de protección de datos en el ámbito de la Administración de la Generalitat y su sector público, disponen de un plazo de tres meses, contadores desde la entrada en vigor de esta Orden, para solicitar la autorización de la persona titular de la Secretaría General del Departamento de Salud para poder disponer de una persona designada delegada de protección de datos o para atribuir sus funciones a una entidad del sector público del Departamento de Salud, al amparo del artículo 2.2 del Decreto 148/2023, de 1 agosto. Durante este periodo y hasta la resolución de la referida autorización, las entidades mantienen el sistema de delegación de protección de datos vigente en el momento de la entrada en vigor de esta Orden.

En la solicitud se adjuntará la documentación acreditativa de la decisión adoptada por el órgano de gobierno competente de la entidad, así como una memoria justificativa de la concurrencia de factores, según la complejidad, el volumen o la categoría o categorías de los datos que gestionan, que justifican, de acuerdo con el artículo 2.2 del Decreto 148/2023, de 1 de agosto, la designación autónoma de una persona delegada de protección de datos o la atribución de sus funciones a una entidad del sector público del Departamento de Salud diferente a la Fundación Ticsalud y Social. La no tramitación de la precitada autorización comportará, con efectos del día siguiente a la finalización del plazo de tres meses otorgado, la inclusión de la entidad, centro o instituto de investigación en el ámbito de actuación de la Fundación Ticsalud y Social como persona delegada de protección de datos.

2. Las entidades que dispongan de una persona delegada de protección de datos propia en virtud de la autorización otorgada, al amparo del artículo 2.2 del Decreto 148/2023, de 1 agosto, por la persona titular de la Secretaría General del Departamento de Salud con anterioridad a la entrada en vigor de esta Orden, no efectuarán ningún trámite adicional para poder continuar con el sistema de delegación de protección de datos autorizado.

Disposiciones finales

Primera. Cambios en la persona delegada de protección de datos

Se podrá dejar sin efectos la atribución de funciones en favor de la Fundación Ticsalud y Social establecida en la disposición transitoria de esta Orden, tanto para cambiar de opción organizativa en favor de la designación de la persona delegada de protección de datos como para atribuir las funciones a otra entidad del sector público del Departamento de Salud, por resolución del consejero o consejera de Salud.

Segunda. Entrada en vigor

Esta Orden entrará en vigor al día siguiente de su publicación en el Diari Oficial de la Generalitat de Catalunya.

Anexo

- Entidades del sector público de la Administración de la Generalitat vinculadas indirectamente al Departamento de Salud, mediante su adscripción al Servicio Catalán de la Salud:

Instituto Catalán de la Salud (ICS)

Gestión de Servicios Sanitarios (GSS)

Salud Terres de l'Ebre (STE)

Salud Sant Joan de Reus - Baix Camp (SSJRBC)

Banco de Sangre y Tejidos (BST)

Salud Catalunya Central (SCC)

Instituto de Diagnóstico por la Imagen (IDI)

Parc Sanitari Pere Virgili (PSPV)

Instituto Catalán de Oncología (ICO)

Instituto de Asistencia Sanitaria (IAS)

Gestión y Prestación de Servicios de Salud (GIPSS)

Sistema de Emergencias Médicas (SEM)

Agrupación Europea de Cooperación Territorial del Hospital de la Cerdaña (AECT HC)

Consorcio Sanitario de Terrassa (CST)

Consorcio Sanitario del Maresme (CSdM)

Consorcio Sanitario de Barcelona (CSB)

Consorcio Sanitario de l'Alt Penedès-Garraf (CSAPG)

Consorcio Hospitalario de Vic (CHV)

Corporación de Salud del Maresme i la Selva (CSMS)

Consorcio Sanitario de l'Anoia (CSA)

Consorcio Laboratorio Intercomarcal de l'Alt Penedès, l'Anoia i el Garraf (CLILAB)

Consorcio Castelldefels Agentes de Salud (CASAP)

Logaritme Serveis Logístics, AIE

- Centros e institutos de investigación del sector público de la Administración de la Generalitat vinculados al Departamento de Salud:

Fundación Hospital Universitario Vall d'Hebron-Instituto de Investigación (VHIR)

Fundación Instituto de Investigación Biomédica de Girona Dr. Josep Trueta (IDIBGI)

Fundación Instituto de Investigación Germans Trias i Pujol (IGTP)

Fundación Instituto de Investigación Biomédica de Bellvitge (IDIBELL)

Fundación Instituto de Investigación Sanitaria Pere Virgili (IISPV)

Fundación Instituto Universitario para la Investigación en la Atención Primaria de Salud Jordi Gol i Gurina (IDIAP JGol)

Fundación Joan Costa Roma

Fundación Privada Salud del Consorcio Sanitario del Maresme

Instituto de Investigación Biomédica de Lleida, Fundación Dr. Pifarré (IRBLleida)

Comentarios