DECRETO 80/2020, DE 24 DE JULIO, DEL CONSELL, DE ATRIBUCIÓN AL CENTRO DIRECTIVO CON COMPETENCIAS HORIZONTALES EN TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES DEL ENCARGO DEL TRATAMIENTO DE DATOS PERSONALES DE LOS DEPARTAMENTOS Y LOS ORGANISMOS AUTÓNOMOS DE LA ADMINISTRACIÓN DE LA GENERALITAT.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8 
, apartado 1 , de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16 , apartado 1 , del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. La Administración, en el ejercicio de sus funciones trata datos personales de los ciudadanos a los que debe garantizar la debida protección.
El artículo 65 del Decreto 105/2019, de 5 de julio, del Consell, por el que establece la estructura orgánica básica de la Presidencia y de las consellerias de la Generalitat establece que la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC) ejerce, respecto a la Administración de la Generalitat y sus organismos autónomos, las funciones de seguridad de la información, planificación, coordinación, autorización y control de las tecnologías de la información, las telecomunicaciones y comunicaciones corporativas y la teleadministración, así como la contratación centralizada de los servicios y suministros en materia de tecnologías de la información y las telecomunicaciones en el ámbito de la Administración de la Generalitat y de su sector público instrumental.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (en adelante Reglamento General de Protección de Datos) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE define en el artículo 4 las figuras del responsable del tratamiento y del encargado del tratamiento, sus obligaciones y funciones.
Estas funciones de responsable y encargado del tratamiento, en el modelo organizativo de la función informática de la Generalitat, son desempeñadas por los departamentos y organismos autónomos, en el ejercicio de sus competencias cuando deciden sobre la necesidad de recopilar y tratar datos personales.
El centro directivo en tecnologías de la información y las comunicaciones, en la actuada la DGTIC, es la que asume las competencias de implantar las soluciones y servicios tecnológicos para tratar esos datos. Desde el prisma de la normativa de protección de datos esta situación se traduce en que los departamentos y los organismos autónomos son los “responsables del tratamiento” y la DGTIC es la “encargada del tratamiento”.
El artículo 33.5 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, regula, en el ámbito del sector público, la posibilidad de atribuir competencias propias de un encargado del tratamiento a un determinado órgano de la administración públicas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento general de protección de datos y vincular al encargado respecto del responsable. Por otro lado, el artículo 28.2 del Reglamento general de protección de datos indica que el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. Por lo tanto, esta disposición prevé dicha circunstancia.
Esta regulación organizativa no está incluida en el Plan Normativo de la Administración de la Generalitat para 2020, pero es necesaria su aprobación dada la pérdida de vigencia de la disposición transitoria primera del Decreto ley 4/2020, de 17 de abril, del Consell, de medidas extraordinarias de gestión económico-financiera para hacer frente a la crisis producida por la Covid-19, y que no se encuentra prevista en ninguna disposición vigente.
En consecuencia, de acuerdo con el artículo 18.f de la Ley 5/1983, de 30 de diciembre, de la Generalitat, del Consell, a propuesta del conseller de Hacienda y Modelo Económico, previa deliberación del Consell, en la reunión de 24 de julio de 2020,
DECRETO
Artículo único. Centro directivo encargado del tratamiento de datos personales
En el ejercicio de sus atribuciones, el centro directivo con competencias horizontales en tecnologías de la información y las comunicaciones actuará como encargado del tratamiento de datos personales que efectúen los departamentos y los organismos autónomos de la Administración de la Generalitat como responsables del tratamiento en el ámbito de sus respectivas competencias.
Este centro directivo podrá recurrir a otro encargado del tratamiento cumpliendo con los apartados 2 y 4 del artículo 28 del Reglamento general de protección de datos.
De acuerdo con el artículo 28.3 del Reglamento general de protección de datos y el artículo 33.5 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, la DGTIC, en su condición de encargada del tratamiento de los datos personales que son responsabilidad de los diferentes órganos de la administración autonómica, actuará de conformidad a las siguientes condiciones:
a) Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable del tratamiento, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligada a ello en virtud de una exigencia legal; en ese caso, informará al responsable de esa exigencia legal previa al tratamiento, salvo que existan relevantes razones de interés público que lo impidan;
b) Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria derivada de su condición de empleadas públicas. El mismo deber de confidencialidad deberá ser garantizado en caso de que el tratamiento se realice por personal de empresas subcontratadas.
c) Sin perjuicio de las medidas de seguridad que deba adoptar el responsable con el fin de proteger las operaciones de tratamiento de datos no automatizadas, tomará las medidas necesarias en relación con la seguridad de los datos tratados, de acuerdo con el Esquema Nacional de Seguridad y la categoría de los sistemas en los que se tratan los datos;
d) Recurrirá únicamente, en colaboración con los órganos administrativos responsables de la tramitación y seguimiento de la contratación, a otros encargados del tratamiento externos que ofrezcan las garantías suficientes de seguridad y acrediten el cumplimiento del Esquema Nacional de Seguridad o hayan adoptado medidas que puedan considerarse equivalentes;
e) Asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de las personas interesadas;
f) Al margen de sus propios análisis, tomará en consideración los resultados de análisis de riesgos o de evaluaciones de impacto en la protección de datos aportados por el responsable para la determinación de las medidas de seguridad y colaborará en la notificación de las violaciones de seguridad a las autoridades y a la Delegación de Protección de Datos de la Generalitat;
g) En la medida en que lo permitan sus propias políticas y procedimientos y la legislación vigente, seguirá las instrucciones del responsable en lo relativo a la supresión o conservación de los datos personales una vez finalice la prestación de los servicios de tratamiento;
h) Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como los resultados de las auditorías que afecten a los tratamientos del responsable e informará inmediatamente al responsable si, en su opinión, una instrucción infringe el Reglamento general de protección de datos u otras disposiciones en la materia.
DISPOSICIÓN ADICIONAL
Única. Incidencia presupuestaria
La aplicación y desarrollo de este decreto no tendrá incidencia alguna en la dotación de gasto asignada a la conselleria de Hacienda y Modelo Económico y, en cualquier caso, deberá ser atendido con sus medios personales y materiales.
DISPOSICIÓN FINAL
Este decreto entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Generalitat Valenciana.
