N.º 70, jueves 13 de abril de 2023
- Otros formatos:
- PDF (179 KB - 4 Pág.)
- EPUB (119 KB)
- Texto bilingüe
El contenido de los otros formatos que aquí se muestran, se ha obtenido mediante una transformación del documento electrónico PDF oficial y auténtico
DISPOSICIONES GENERALES
AGENCIA VASCA DE PROTECCIÓN DE DATOS
1727
RESOLUCIÓN de 29 de marzo de 2023, de la Directora de la Agencia Vasca de Protección de Datos, de segunda modificación de la Resolución de 28 de noviembre de 2005, del Director de la Agencia Vasca de Protección de Datos, por la que se desarrolla la estructura orgánica de la Agencia Vasca de Protección de Datos.
La Ley 2/2004, de 25 de febrero, crea la Agencia Vasca de Protección de Datos (AVPD), como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Son órganos de gobierno de la Agencia, a tenor de lo dispuesto en el artículo 14 de la Ley, el/la Director/a, el Consejo Consultivo y aquellos otros que se establezcan en su estatuto propio.
El Estatuto de la Agencia Vasca de Protección de Datos, aprobado mediante el Decreto 309/2005, de 18 de octubre, desarrolla en su capítulo III el diseño organizativo básico de la Agencia, dejando, al mismo tiempo, un margen para que la Agencia pueda completar su estructura orgánica, desarrollando sus potestades de autoorganización, necesarias para su adecuado funcionamiento.
De acuerdo con el artículo 10 del referido Decreto, mediante Resolución de 28 de noviembre de 2005, del Director de la Agencia Vasca de Protección de Datos, se desarrolla la estructura orgánica de la AVPD, estableciendo las distintas unidades administrativas, jerárquicamente dependientes de la Dirección, en concreto, la Unidad de Secretaría General, la Unidad de Asesoría Jurídica e Inspección y la Unidad del Registro de Protección de Datos y Nuevas Tecnologías.
Con posterioridad, mediante Resolución de 17 de junio de 2013, esta última Unidad pasó a denominarse Unidad de Registro y Auditoría de Ficheros de datos de carácter personal, a fin de recoger las funciones legalmente asignadas a las Autoridades de Protección de Datos relacionadas con la supervisión de las medidas de seguridad.
Con motivo de la aplicación directa del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y la posterior aprobación de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD), ha desaparecido del ordenamiento jurídico la obligación de notificar la creación de ficheros a las Autoridades de Protección de Datos, con lo que han quedado sin efecto muchas de las funciones de la Unidad de Registro y Auditoría de Ficheros. Al mismo tiempo, el cambio de paradigma que introduce el RGPD, como es el concepto de «responsabilidad proactiva» y sus consecuencias respecto de, entre otros, el papel de los Delegados de Protección de Datos, la orientación hacia la gestión de riesgos y las evaluaciones de impacto sobre la protección de datos, introducen nuevas funciones que es necesario reflejar en la estructura orgánica de la Agencia.
Por otra parte, la reciente trasposición de la Directiva (UE) 2016/680, ha dado lugar a la aprobación de la Ley Orgánica 7/2021, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (LOPDPenal).
Este nuevo marco normativo, atribuye a la Agencia Vasca de Protección de Datos nuevas potestades y funciones como Autoridad de Control, que inciden, especialmente, en la Unidad de Asesoría Jurídica e Inspección. Dado el incremento de funciones y actividad que ha experimentado esta Unidad, se hace necesario reconsiderar su organización interna y asignación de efectivos, introduciendo una diferenciación de funciones que contribuya a una mejor distribución, coordinación y especialización de tareas.
El Consejo Consultivo de la Agencia Vasca de Protección de Datos, en virtud de las funciones que le atribuye su Reglamento, en su artículo 3.1.d), ha sido informado sobre el proyecto de la presente Resolución, en su sesión de 2 de diciembre de 2022.
Por todo ello, de conformidad con lo dispuesto en el artículo 14 de la Ley 2/2004, de 25 de febrero del 2004, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos, y en el artículo 10 del Estatuto de la Agencia Vasca de Protección de Datos, aprobado mediante el Decreto 309/2005, de 18 de octubre, y con el informe favorable del Consejo Consultivo,
RESUELVO:
Primero.– Se modifica la Resolución de 28 de noviembre de 2005, por la que se desarrolla la estructura orgánica de la Agencia Vasca de Protección de Datos, modificada a su vez por Resolución de 17 de junio de 2013, en los siguientes términos:
Uno.– Se modifica el apartado 2 del punto segundo, que queda redactado del siguiente modo:
«2.– Las Unidades administrativas jerárquicamente dependientes del Director o Directora son:
a) Unidad de Secretaría General.
b) Unidad de Asesoría Jurídica e Inspección.
c) Unidad de Evaluación de Impactos Tecnológicos y Riesgos de Seguridad.»
Dos.– Se modifica el punto cuarto, que queda redactado del siguiente modo:
«Cuarto.– Unidad de Evaluación de Impactos Tecnológicos y Riesgos de Seguridad.
Corresponden a la Unidad de Evaluación de Impactos Tecnológicos y Riesgos de Seguridad las siguientes funciones:
1.– Funciones relacionadas con la evaluación y estudio del impacto de las tecnologías sobre la protección de datos.
a) Asesorar a la Dirección y las demás unidades de la AVPD acerca del estado de arte de la tecnología y del impacto de su aplicación sobre la protección de datos, generando el conocimiento necesario para anticiparse a sus consecuencias.
b) Promover estudios de prospección tecnológica y otras actuaciones que faciliten la compatibilización del desarrollo tecnológico con la protección de datos y los derechos de los afectados.
2.– Funciones relacionadas con la gestión de riesgos de seguridad y la consulta previa de las evaluaciones de impacto.
a) Gestionar el Registro de Brechas de Seguridad, efectuando un seguimiento de su evolución y resolución y, en su caso, trasladar las conclusiones a la Asesoría Jurídica e Inspección, cuando apreciase indicios de infracción.
b) Supervisar las Evaluaciones de Impacto sometidas a consulta previa por los Responsables de Tratamientos, coordinando el dictamen y recomendaciones con la Unidad de Asesoría Jurídica e Inspección, conforme al artículo 36 del RGPD.
c) Colaborar en la supervisión de los análisis de riesgos que sean solicitadas por los Delegados de Protección de Datos, respecto de la metodología, alcance y medidas a adoptar como consecuencia.
3.– Funciones relacionadas con los Delegados de Protección de Datos.
a) El registro y publicidad de los Delegados de Protección de Datos comunicados por los Responsables de Tratamiento.
b) Promover la sensibilización de los Delegados de Protección de Datos y los Responsables de Tratamientos acerca del cumplimiento del principio de Responsabilidad proactiva, en particular respecto de la aplicación del principio de protección de datos desde el diseño y por defecto, la realización de análisis de riesgos y de evaluaciones de impacto sobre la protección de datos.
4.– Funciones relacionadas con las potestades de investigación.
a) Planificar y gestionar programas de auditoría preventiva, referidos bien a un determinado ámbito de responsables o encargados de tratamiento, bien a un determinado tipo de actividad de tratamiento o a aspectos concretos del cumplimiento de la normativa en materia de protección de datos. A tal efecto podrán desarrollarse las actuaciones contempladas en el artículo 11 del Estatuto de la Agencia Vasca de Protección de Datos.
b) Colaborar y prestar apoyo a la Unidad de Inspección y Asesoría Jurídica en las inspecciones circunstanciales y actuaciones previas de investigación, en actividades relacionadas con examen de equipos, sistemas de transmisión y acceso de datos, verificación de la adecuación de las medidas de seguridad a los análisis de riesgos, y aquellas otras para las que sea requerida.
5.– Funciones relacionadas con la gestión interna de la Agencia.
a) Colaborar con la Unidad de Secretaría General en la planificación, desarrollo y gestión de los sistemas de información al servicio de la AVPD.»
Tres.– Se modifica el apartado 2 b) del punto quinto, en relación con la Unidad de Asesoría Jurídica e Inspección, que queda redactado del siguiente modo:
«b) Prestar apoyo a la Unidad de Evaluación de Impactos Tecnológicos y Riesgos de Seguridad en los planes de auditoría preventiva, en actividades relacionadas con el ámbito jurídico y procedimental.»
Cuatro.– Se añade un apartado 4 al punto quinto, redactado del siguiente modo:
«4.– Otras funciones.
a) Asistir a la Dirección de la AVPD en materia de acción exterior y aplicación de mecanismos de cooperación y coherencia en los tratamientos transfronterizos.
b) Asistir a la Dirección de la AVPD en materia de transferencias internacionales de datos.
c) Seguimiento de directrices, recomendaciones y buenas prácticas emitidas por los Organismos de la UE.
d) Comunicar a las demás Unidades Administrativas de la Agencia la incidencia en sus funciones de las directrices, recomendaciones y prácticas adoptadas por los Organismos de la UE.
e) Asistir a la Dirección de la AVPD en la aprobación de circulares y directrices interpretativas.
f) Asistir a la Dirección de la AVPD en la promoción y aprobación de códigos de conducta.
g) Asistir a la Dirección en la elaboración de criterios de acreditación de organismos de supervisión de códigos de conducta.
h) Asistir a la Dirección en la expedición de certificaciones, aprobación de criterios de certificación y acreditación de organismos y entidades de certificación.
i) Participación en grupos de trabajo, reuniones y foros nacionales e internacionales en materia de protección de datos.
j) Diseño y participación en las acciones formativas dirigidas a los responsables de tratamiento y de sensibilización a la ciudadanía.»
Cinco.– Se modifica el apartado b.2) del punto sexto, en relación con la Unidad de Secretaría General, que queda redactado del siguiente modo:
«b.2.– Organizar y coordinar cursos, seminarios, conferencias y cualesquiera otras actividades de formación y difusión sobre protección de datos, contando con la participación activa de las demás unidades de la AVPD.»
Segundo.– La Relación de Puestos de Trabajo de la AVPD se actualizará para reflejar las anteriores modificaciones en la estructura orgánica, a través del procedimiento previsto para la revisión de las Monografías y valoración de los Puestos de Trabajo.
DISPOSICIÓN FINAL
La presente Resolución se publicará en el Boletín Oficial del País Vasco y entrará en vigor el mismo día de su publicación.
En Vitoria-Gasteiz, a 29 de marzo de 2023.
La Directora de la Agencia Vasca de Protección de Datos,
MARGARITA URÍA ETXEBARRIA.