Skip to main content

Agreement 011/2022

CONVENI ENTRE EL CONSORCI ADMINISTRACIÓ OBERTA DE CATALUNYA I L'INSTITUT D'ESTADÍSTICA DE CATALUNYA PER A LA CONSULTA TELEMÀTICA DEL REGISTRE DE POBLACIÓ DE CATALUNYA

REUNITS

D'una part, el Sr. Francesc Xavier Cuadras Morató, director de l'lnstitut d'Estadística de Catalunya (d'ara endavant, ldescat), que actua en representació de l'Idescat segons el nomenament publicat pel Decret 120/2019, de 28 de maig, i en virtut de les facultats que li son atorgades per l'article 7 del Decret 24/2014, de 25 de febrer, d'organització i funcionament de l'lnstitut d'Estadística de Catalunya.

D'altra part, la Sra. Àstrid Desset Desset, directora gerent del Consorci Administració Oberta de Catalunya (d'ara endavant, Consorci AOC), que actua en representació del Consorci AOC segons l'Acord de 24 de maig de 2017 de delegació de competències en matèria de convenis adoptat per la Comissió Executiva del Consorci AOC (DOGC núm. 7389 - 13.06.2017).

Ambdues parts es reconeixen mútuament, en la representació en què actuen, capacitat suficient per atorgar aquest document i

MANIFESTEN

  1. Que l'Idescat, d'acord amb el que estableix l'article 51 de la Llei 23/1998, de 30 de desembre, d'estadística de Catalunya, és el responsable de posar en marxa, mantenir, explotar i custodiar el Registre de Població de Catalunya, que l'article 47 d'aquesta Llei defineix com a un registre administratiu on figuren les dades actualitzades de caràcter obligatori dels veïns inscrits en els padrons municipals d'habitants de tots els ajuntaments de Catalunya.

  2. Que el Padró municipal d'habitants és un registre administratiu on consten els veïns del municipi, que es regeix per la Llei 7/1985, de 2 d'abril, reguladora de les bases del règim local. La seva formació, manteniment, revisió i custòdia correspon als respectius ajuntaments. Que l'Institut Nacional d'Estadística (d'ara endavant, INE), en compliment de les seves competències, coordina els padrons de tots els municipis i integra la informació procedent dels organismes de l'Administració General de l'Estat i genera el Padró municipal continu. L'INE facilita trimestralment a l'Idescat una còpia del Padró continu corresponent a tots els municipis de Catalunya per a l'actualització del Registre de Població de Catalunya.

  3. Que el Registre de Població de Catalunya és un fitxer automatitzat amb dades de caràcter personal creat i regulat per la Llei 23/1998, de 30 de desembre, d'estadística de Catalunya que es regeix per aquesta Llei, pel què disposa el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (RGPD) i per la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), així com per les disposicions reglamentàries de l'ordenament intern en matèria de protecció de dades de caràcter personal.

  4. Que d'acord amb l'article 48 de la Llei 23/1998, de 30 de desembre, d'estadística de Catalunya, els òrgans de la Generalitat de Catalunya poden utilitzar les dades del Registre de Població de Catalunya només si els cal per a l'exercici de les seves competències, i exclusivament per a afers en els quals la residència o el domicili siguin dades rellevants. En el mateix sentit, l'article 54 d'aquesta Llei estableix que les dades del Registre de Població de Catalunya se cediran a altres administracions públiques que ho sol·licitin sense el consentiment previ de la persona afectada, solament quan els calgui per a l'exercici de les seves competències, i exclusivament per a afers en els quals la residència o el domicili siguin dades rellevants.

  5. Que d'acord amb la Llei 29/2010, del 3 d'agost, de l'ús dels mitjans electrònics al sector públic de Catalunya i l'Acord GOV/43/2015, de 24 de març, pel qual s'aprova la modificació dels estatuts de determinats consorcis, amb participació majoritària de la Generalitat de Catalunya, el Consorci AOC és una entitat pública de caràcter associatiu amb personalitat jurídica pròpia, formada per la Generalitat de Catalunya i el Consorci local per al desenvolupament de les xarxes de telecomunicacions i de les noves tecnologies (Consorci Localret), que té encomanades, entre d'altres, les funcions d'impulsar i prestar serveis a les entitats que integren el sector públic de Catalunya en els àmbits de la tramitació interadministrativa, de l'intercanvi d'informació necessària per a l'exercici de les respectives competències i de la coordinació dels processos interadministratius.

    Segons l'article 21 de la mateixa llei, el Consorci AOC és l'encarregat de gestionar el Catàleg de dades i documents interoperables a Catalunya (d'ara endavant, CDiDIC), el qual és definit com l'eina de què es dota el sector públic de Catalunya per a fer efectiu el dret dels ciutadans a no aportar les dades i els documents que són en poder de les administracions públiques.

    Aquest Catàleg s'estructura en unitats anomenades serveis de Via Oberta.

  6. Que l'any 2006, la Generalitat de Catalunya, l'Ajuntament de Barcelona, el Consorci Localret i el Consorci AOC van formalitzar el Conveni marc d'interoperabilitat per impulsar i desenvolupar la interoperabilitat dels sistemes d'informació de les administracions catalanes, tot establint un marc de col·laboració per a l'intercanvi d'informació per mitjans telemàtics entre les administracions catalanes, i entre aquestes o altres administracions i entitats, amb la finalitat d'evitar que els ciutadans, les empreses i les organitzacions aportessin documents en suport paper i dades que estan en poder d'aquestes o altres institucions.

  7. Que en data 19 de gener de 2007, l'Idescat i el Consorci AOC van subscriure un conveni l'objecte del qual era regular la col·laboració de les parts per tal d'oferir el servei telemàtic de consulta de les dades del Registre de Població de Catalunya, als òrgans de la Generalitat de Catalunya que ho sol·licitessin per a l'exercici de competències pròpies en les quals la residència o el domicili eren dades rellevants. El conveni incorporava una clàusula que recollia les responsabilitats i obligacions del Consorci AOC en la seva qualitat d'encarregat del tractament, d'acord amb el que preveia l'art. 12 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.

    L'any 2012 es va signar una addenda a aquest conveni per tal de que les administracions locals catalanes també accedissin a aquest servei.

    La Llei 29/2010, del 3 d'agost, preveu que les administracions públiques catalanes cooperen i col·laboren ordinàriament i voluntàriament per mitjà del Consorci AOC, en la definició i l'execució de les estratègies comunes a desenvolupar, entre d'altres, en l'àmbit de "la promoció de la interoperabilitat dels sistemes d'informació del sector públic català i amb la resta d'administracions i d'institucions" (article 7).

  8. Que ambdues parts tenen intenció de formalitzar de nou un conveni que reguli la col·laboració entre ambdues institucions i que incorpori les previsions del Reglament (UE) 2016/679, del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (Reglament general de protecció de dades-RGPD) i de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).

Per tot l'expressat, les parts acorden subscriure aquest conveni d'acord amb les següents,

CLÀUSULES

Primera. Objecte del conveni

L'objecte d'aquest conveni és regular la col·laboració de les parts per tal que el Consorci AOC pugui oferir mitjançant la seva incorporació al CDiDIC definit a l'article 21 de la Llei 29/2010, del 3 d'agost, les dades del Registre de població de Catalunya als ens del sector públic català que ho sol·licitin per a l'exercici de competències pròpies en les quals la residència o el domicili siguin dades rellevants.

Segona. Condicions per a l'accés i ús de les dades del Registre de població de Catalunya

L'accés i ús de les dades del Registre de Població de Catalunya per mitjans electrònics en els termes establerts en aquest Conveni es realitzarà complint estrictament amb la seva normativa d'aplicació (la Llei 23/1998, de 30 de desembre, el RGPD i la LOPDGDD) i amb totes les garanties de seguretat de les transaccions telemàtiques.

Tercera. Compromisos de les parts

  1. L'Idescat en relació amb les dades del Registre de Població de Catalunya, assumeix els següents compromisos:

    1. Garantir la disponibilitat de les dades del Registre de Població de Catalunya i facilitar-les al Consorci AOC d'acord amb el detall de l'Annex I d'aquest conveni.

    2. Trametre al Consorci AOC els Fitxers del Registre de Població de Catalunya d'acord amb el calendari següent:

      • Fitxers a 1 de gener: es trametran el mes de febrer
      • Fitxers a 1 d'abril: es trametran el mes de maig
      • Fitxers a 1 de juliol: es trametran el mes de setembre
      • Fitxers a 1 d'octubre: es trametran el mes de novembre

      Si per dificultats tècniques no es poden trametre alguns dels fitxers esmentats, l'Idescat ho posarà en coneixement del Consorci AOC i comunicarà la previsió de la tramesa de les dades.

    3. Transmetre la informació xifrada i realitzar l'enviament dels arxius mitjançant l'eina d'intercanvi de fitxers Very Secure File Transfer Protocol (VSFTP).

  2. El Consorci AOC en relació amb les dades del Registre de Població de Catalunya, assumeix els següents compromisos:

    1. Mantenir l'estructura tècnica establerta per a la consulta i l'intercanvi de dades del Registre de Població de Catalunya mitjançant la Plataforma de Col·laboració Interadministrativa, la qual garanteix la confidencialitat, la integritat, la disponibilitat, l'autenticitat i la traçabilitat de la informació del Registre de població de Catalunya transferida en el procés
    2. Comprovar que els ens dels sector públic de Catalunya accedeixen a les dades del Registre de població de Catalunya per a l'exercici de les seves competències i consultin únicament aquelles dades que necessitin en relació amb el procediment indicat i exclusivament per a afers en els quals la residència o el domicili siguin dades rellevants. Per tant, vetllar per l'accés a les dades estrictament necessàries, d'acord amb les finalitats acreditades.
    3. Conservar el dia i hora de la transacció, organisme i persona treballadora pública que realitzen la sol·licitud, identificador del ciutadà del qual es demanen les dades, descripció de les dades intercanviades i finalitat o procediment indicat de l'intercanvi de dades.
    4. Facilitar a l'Idescat un informe amb la descripció del volum i les característiques dels consums efectuats per les entitats que accedeixen al Registre de Població de Catalunya a través de les pantalles de l‘Extranet de les Administracions Catalanes (EACAT). Aquest informe es facilitarà anualment, abans de finalitzar el primer semestre referida a les dades de l'any anterior.
    5. Realitzar una auditoria anual per assegurar que l'ús de les dades és correcte i s'ajusta a les condicions i requeriments definits en aquest conveni. Els resultats de les auditories es facilitaran abans de finalitzar el segon semestre de l'any següent de l'any a auditar i, sempre que sigui possible, s'auditaran les entitats que hagin fet més consums. Amb l'objectiu de complir amb el principi de minimització de dades, només es demanarà la documentació indispensable per justificar la consulta de les dades.
    6. Mitjançant la Comissió de seguiment del pacte setè, comunicar els canvis en el servei derivats d'actualitzacions o modificacions normatives.

  3. Així mateix, en relació amb les dades del Registre de Població de Catalunya, ambdues parts es comprometen a respectar qualsevol altra exigència que es derivi de la legislació vigent sobre intercanvi d'informació entre les administracions públiques i, molt especialment, en relació amb la protecció de les dades personals .

Quarta.- Protecció de dades de caràcter personal

Les parts es comprometen a tractar les dades personals objecte d'aquest conveni d'acord amb les exigències del RGPD i de la LOPDGDD.

El Consorci AOC, d'acord amb l'establert en l'article 22 de la Llei 29/2010, del 3 d'agost, ostenta, en aquesta relació de col·laboració, la posició d'encarregat del tractament de les dades d'acord amb l'article 4.8) del RGPD i, es compromet a adoptar i a implantar, quan sigui necessari, les mesures de seguretat previstes a la normativa aplicable i que es recullen en l'Annex III d'aquest conveni

Les obligacions que comporta l'encàrrec de tractament de dades de caràcter personal s'inclouen a l'Annex II que forma part d'aquest conveni, en els termes establerts als articles 28 del RGPD i 33 de la LOPDGDD.

Cinquena.- Finançament

  1. La signatura d'aquest Conveni no contempla l'existència de despeses econòmiques que requereixin l'establiment d'un sistema de finançament. Les parts assumiran amb els mitjans propis les accions que els correspongui emprendre respectivament en compliment i desenvolupament dels compromisos adquirits en el present Conveni.
  2. En cas que l'execució d'aquest Conveni requereixi desplegaments posteriors, els quals requerissin finançament, aquest ha de ser acordat de manera explícita i per a cada cas per les parts mitjançant una addenda.

Sisena.- Publicitat i transparència

En compliment del que preveu l'article 110.3 de la Llei 26/2010, del 3 d'agost, l'Idescat publicarà aquest Conveni al Diari Oficial de la Generalitat de Catalunya. Així mateix, també el trametrà al Registre de Convenis de Col·laboració i Cooperació per tal que sigui publicat a la seva web, que és accessible des del Portal de la Transparència (article 14 de la Llei 19/2014, de 29 de desembre, de transparència, accés a la informació pública i bon govern).

Igualment, d'acord amb els articles 8.1.f i 14 de la Llei 19/2014, esmentada, el Consorci AOC donarà publicitat de l'existència d'aquest Conveni al seu lloc web dins de l'apartat de transparència.

Setena.- Comissió de Seguiment

Per al seguiment d'aquest conveni es nomenarà una comissió paritària, la qual serà competent per a la resolució dels dubtes i qüestions que puguin sorgir de la interpretació de les clàusules del conveni així com el control de la seva aplicació i compliment. Aquesta comissió estarà formada per persones que representin ambdues parts, que es reuniran amb periodicitat anual.

Per part de l'Idescat

  • Subdirectora general de Producció i Coordinació
  • Responsable de l'Àrea de Població i Territori

Per part del Consorci AOC:

  • Persona titular de la Subdirecció de Tecnologia i Serveis
  • Cap del servei d'interoperabilitat (Via Oberta)

Vuitena.- Vigència

La vigència d'aquest conveni és de quatre anys des de la data de la darrera signatura electrònica. Amb anterioritat a la finalització de la vigència del conveni, les parts podran acordar unànimement la seva pròrroga fins a un màxim de quatre anys addicionals.

Novena.- Causes de resolució

Són causes de resolució anticipada del conveni l'incompliment per qualsevol de les parts dels compromisos assumits, el mutu acord de les parts, i per qualsevol altra causa legalment establerta. La resolució anticipada s'instrumentarà per escrit.

Aquest conveni s'extingeix pel compliment de les actuacions que en constitueixen l'objecte o per incórrer en causa de resolució. Són causes de resolució:

  1. El transcurs del termini de vigència del conveni sense que se n'hagi acordat la pròrroga.
  2. L'acord de les dues parts manifestat per escrit.
  3. L'incompliment de les obligacions i compromisos assumits per qualsevol de les parts.
  4. La impossibilitat sobrevinguda de dur a terme l'objecte del conveni.
  5. La decisió judicial declaratòria de la nul·litat del conveni.
  6. Qualsevol altra causa prevista en les lleis.

Desena.- Legislació aplicable

  1. Aquest conveni té naturalesa jurídica administrativa i es regeix pels seus pactes i per les disposicions reguladores dels convenis de la Llei 40/2015, d'1 d'octubre i la Llei 26/2010, del 3 d'agost, de règim jurídic i de procediment de les administracions públiques de Catalunya.
  2. Les qüestions litigioses que es puguin plantejar sobre el compliment, la aplicació, la interpretació, la modificació, la resolució i els efectes d'aquest Conveni s'intentaran resoldre en primer terme per acord entre les parts en el marc de la Comissió de seguiment a què fa referència la clàusula setena.
  3. Si l'acord entre les parts no fos possible, correspondrà resoldre la qüestió litigiosa a la jurisdicció contenciosa administrativa, d'acord amb la Llei 29/1998, de 13 de juliol, reguladora de la jurisdicció contenciosa administrativa.

I, en prova de conformitat, les parts, en la representació en la qual actuen, signen el present conveni.

Institut d'Estadística de Catalunya
Francesc Xavier Cuadras Morató. Director
Consorci Administració Oberta de Catalunya
Àstrid Desset Desset. Directora gerent

ANNEX I

Disseny del Registre de Població de Catalunya que l'Idescat facilita al Consorci AOC
CPRO Codi de Província de Residència N(2)
CMUN Codi de Municipi de Residència N(3)
NOMB Nom A(20)
PART1 Partícula Primer Cognom A(6)
APE1 Primer Cognom A(25)
PART2 Partícula Segon Cognom A(6)
APE2 Segon Cognom A(25)
CPRON Codi de Província de Naixement N(2)
CMUNN Codi de Municipi de Naixement N(3)
FNAC Data de Naixement N(8)
TIDEN Tipus d'Identificador N(1)
LEXTR Lletra Document Estrangers A(1)
IDEN Identificador N(8)
LIDEN Codi de Control del Identificador A(1)
NDOCU Número de Document A(20)
NIA Número d'Identificació de l'Ajuntament A(15)
VAR N(11)
VAR A(1)
VAR A(2)
VAR N(8)
VAR A(1)
VAR A(2)
DIST Districte N(2)
SECC Secció N(3)
LSECC Lletra de Secció A(1)
CUN Codi d'Unitat Poblacional N(7)
NENTCOC Nom Curt A(25)
NENTSIC Nom Curt A(25)
NNUCLEC Nom Curt A(25)
CVIA Codi de Via N(5)
TVIA Tipus de Via A(5)
NVIAC Nom Curt A(25)
CPSVIA Codi de Pseudovia N(5)
DPSVIA Nom de Pseudovia A(50)
TINUM Tipus de Numeració N(1)
NUMER Número N(4)
CNUMER Qualificador de NUMER A(1)
NUMERS Número (Superior) N(4)
CNUMERS Qualificador de NUMERS (Superior) A(1)
KMT Kilòmetre N(3)
HMT Hectòmetre N(1)
BLOQ Bloc A(2)
PORT Portal A(2)
ESCA Escala A(2)
PLAN Planta A(3)
PUER Porta A(4)
TLOC Tipus de Local A(1)
NIA Número d'Identificació de l'Ajuntament A(15)
NHOP Número de Fulla Padronal A(10)
VAR N(11)
NOMB Nom de l'Habitant A(20)
PART1 Partícula del Primer Cognom A(6)
APE1 Primer Cognom A(25)
PART2 Partícula del Segon Cognom A(6)
APE2 Segon Cognom A(25)
SEXO Sexe N(1)
VAR N(2)
VAR N(3)
FNAC Data de Naixement N(8)
TIDEN Tipus d'Identificador N(1)
LEXTR Lletra Document Estrangers A(1)
IDEN Identificador N(8)
LIDEN Codi de control del Identificador A(1)
NDOCU Número de Document A(20)
VAR N(2)
NACI Codi de Nacionalitat N(2)
VAR N(3)
VAR N(3)
VAR N(3)

ANNEX II

Encàrrec de tractament de dades de caràcter personal

Identificació de la informació afectada

Per portar a terme les prestacions derivades del compliment de l'objecte d'aquest encàrrec, l'Idescat posa a disposició del Consorci AOC les dades corresponents al fitxer del Registre de Població de Catalunya segons el detall de l'Annex I del present conveni, i d'acord amb el calendari, la via i la forma de transmissió de les dades que s'estableix a la clàusula tercera del conveni.

Durada

La vigència de l'acord d'encàrrec de tractament queda vinculada a la vigència del conveni.

Obligacions del Consorci

El Consorci i tot el seu personal s'obliguen a donar compliment a l'establert als articles 28 del RGPD i 33 de la LOPDGDD, i en concret a:

  1. Utilitzar les dades personals objecte de tractament només per a la finalitat objecte d'aquest encàrrec. En cap cas pot utilitzar les dades per a finalitats pròpies.

  2. Tractar les dades d'acord amb el que estableix la normativa de protecció de dades i les instruccions de l'Idescat.

  3. Si el Consorci considera que alguna de les instruccions de l'Idescat infringeix l'RGPD o qualsevol altra disposició en matèria de protecció de dades de la Unió o dels estats membres, n'ha d'informar immediatament a l'Idescat.

  4. Incorporar els tractaments que duu a terme en la prestació d'aquest servei al seu Registre d'activitats de tractament efectuades per compte de l'Idescat, amb el contingut de l'article 30.2 de l'RGPD, en el cas que d'acord amb la normativa de protecció de dades estigui obligat a disposar d'aquest Registre.

  5. Comunicar les dades únicament en els supòsits legalment admissibles, d'acord amb les condicions establertes al conveni signat entre ambdues parts.

  6. No subcontractar cap de les prestacions que formin part de l'objecte del conveni que comportin el tractament de dades personals, tret dels serveis auxiliars necessaris per al normal funcionament dels serveis de l'encarregat.

  7. Mantenir el deure de secret respecte de les dades de caràcter personal a les quals hagi tingut accés en virtut d'aquest encàrrec, fins i tot després que en finalitzi l'objecte.

  8. Garantir que les persones autoritzades per tractar dades personals es comprometen, de forma expressa i per escrit, a seguir les instruccions de l'Idescat, a respectar la confidencialitat i a complir les mesures de seguretat corresponents, de les quals cal informar-los convenientment.

  9. Mantenir a disposició de l'Idescat la documentació que acredita que es compleix l'obligació que estableix l'apartat anterior.

  10. Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per tractar dades personals.

  11. Assistir a l'Idescat en la resposta a l'exercici dels drets de les persones interessades establerts en el capítol III del RGPD.

  12. Informar a l'Idescat, sense dilació indeguda i en qualsevol cas abans de 24 hores, a través de l'adreça electrònica comitedeseguretat@idescat.cat, de les violacions de la seguretat de les dades personals al seu càrrec de les quals tingui coneixement, juntament amb tota la informació rellevant per documentar i comunicar la incidència, d'acord amb l'art. 33 del RGPD.

    La notificació no és necessària quan sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.

    Si se'n disposa, cal facilitar, com a mínim, la informació següent:

    1. Descripció de la naturalesa de la violació de la seguretat de les dades personals, incloses, quan sigui possible, les categories i el nombre aproximat d'interessats afectats i les categories i el nombre aproximat de registres de dades personals afectats.
    2. Nom i dades de contacte del delegat de protecció de dades o d'un altre punt de contacte en el qual es pugui obtenir més informació.
    3. Descripció de les possibles conseqüències de la violació de la seguretat de les dades personals.
    4. Descripció de les mesures adoptades o proposades per posar remei a la violació de la seguretat de les dades personals, incloses, si escau, les mesures adoptades per mitigar els possibles efectes negatius.

    Si no és possible facilitar la informació simultàniament, i en la mesura en què no ho sigui, la informació s'ha de facilitar de manera gradual sense dilació indeguda.

  13. Posar a disposició de l'Idescat tota la informació necessària per demostrar que compleix les seves obligacions, així com per realitzar les auditories o les inspeccions que efectuïn el responsable o un altre auditor autoritzat per ell.

  14. Implantar les mesures de seguretat establertes al Marc de Ciberseguretat de Protecció de Dades (MCPD) que corresponguin d'acord amb el nivell de risc mitjà i que es relacionen a l'Annex III del present Conveni.

    En tot cas, cal implementar mecanismes per:

    • Garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
    • Restaurar la disponibilitat i l'accés a les dades personals de forma ràpida, en cas d'incident físic o tècnic.
    • Verificar, avaluar i valorar, de forma regular, l'eficàcia de les mesures tècniques i organitzatives implantades per garantir la seguretat del tractament.
    • Seudonimitzar i xifrar les dades personals, si escau.

    També ha d'adoptar totes aquelles altres mesures que, tenint en compte el conjunt de tractaments que duu a terme, siguin necessàries per garantir un nivell de seguretat adequat al risc.

    La documentació relacionada amb la gestió dels riscos, incloent el resultat de les auditories periòdiques que es realitzin, pot ser sol·licitada en qualsevol moment per l'Idescat

  15. Comunicar a l'Idescat el nom de la persona delegada de protecció de dades i les dades de contacte.

  16. Destruir les dades, una vegada complerta la prestació. Una vegada destruïdes, el Consorci AOC n'ha de certificar la destrucció per escrit i ha de lliurar el certificat al responsable del tractament.

    No obstant això, el Consorci AOC pot conservar-ne una còpia, amb les dades degudament bloquejades, mentre es puguin derivar responsabilitats de l'execució de la prestació.

  17. Comunicar qualsevol canvi que es produeixi respecte de la informació facilitada en el conveni sobre la ubicació dels servidors i des d'on es prestaran els serveis associats a aquests. Servidors que actualment estan ubicats a Barcelona i els serveis associats als mateixos també s'ofereixen des de Barcelona.

Obligacions de l'Idescat

Correspon a l'Idescat:

  1. Lliurar al Consorci les dades que figuren a l'Annex I del conveni del present Conveni.
  2. Vetllar, abans i durant tot el tractament, perquè l'encarregat compleixi la normativa de protecció de dades.
  3. Supervisar el tractament, inclosa l'execució d'inspeccions i auditories.
  4. Comunicar per escrit qualsevol canvi que es produeixi en les mesures de seguretat que hagi d'aplicar el Consorci com a resultat de l'Anàlisi de Riscos a dur a terme per l'Idescat o l'avaluació d'impacte de protecció de dades que, si s'escau, també hagi de dur a terme l'Idescat
  5. Altres obligacions que li puguin aplicar, d'acord amb la normativa de protecció de dades.

Drets de l'Idescat

L'Idescat té dret a:

  1. Obtenir del Consorci tota la informació que consideri necessària relativa a les dades i els tractaments queporti a terme per encàrrec de l'Idescat, per tal que pugui complir amb les seves obligacions com a responsable.
  2. Obtenir del Consorci l'assistència necessària per atendre les peticions i inspeccions de qualsevol autoritat de control o altre organisme autoritzat.

Modificació de l'Acord

Qualsevol modificació que es produeixi sobre el tractament de dades personals que preveu aquest conveni en farà necessària la seva modificació.

ANNEX III

Relació de mesures de Ciberseguretat de nivell mitjà del Marc de Ciberseguretat de Protecció de Dades (MCPD)

  • Normativa, procediments i estàndards de protecció de dades:
    • MO.NO.01: Normativa
    • MO.NO.02: Procediments
    • MO.NO.03: Procediments d'autorització
  • Coneixement de la normativa, procediments i estàndards de protecció de dades:
    • MO.CN.04: Deures i obligacions del personal
    • MO.CN.05: Formació i conscienciació
  • Protecció de dades en el disseny i per defecte:
    • MG.PD.06: Arquitectura de seguretat
    • MG.PD.07: Desenvolupament segur
    • MG.PD.08: Proves
  • Gestió d'accessos dels usuaris:
    • MG.GA.09: Requisits d'accés i segregació de funcions
    • MG.GA.10: Identificació i autenticació
    • MG.GA.11: Gestió de drets d'accés dels usuaris
    • MG.GA.12: Accés local i remot
  • Gestió de serveis externs:
    • MG.GS.13: Contractació i acords de nivell de servei
  • Protecció de les instal·lacions i infraestructures:
    • MP.II.16: Condicionament dels locals
    • MP.II.17: Control d'accés físic
    • MP.II.18: Registre d'entrada i de sortida d'equipaments i suports
  • Monitorització de l'activitat i incidències:
    • P.MO.19: Controls d'auditoria dels sistemes de la informació
    • MP.MO.20: Registre i protecció de l'activitat dels usuaris
    • MP.MO.21: Gestió d'incidents i sistemes de notificació d'incidents
  • Protecció d'actius:
    • MP.PA.22: Inventari d'actius
    • MP.PA.23: Fitxers temporals
    • MP.PA.24: Protecció d'equips
    • MP.PA.25: Manteniment d'equipament
    • MP.PA.26: Protecció de suports d'informació
    • MP.PA.27: Devolució d'actius
  • Protecció de la informació:
    • MP.PA.28: Protecció del lloc de treball
    • MP.PI.29: Limitació del tractament de dades personals
    • MP.PI.30: Còpies de seguretat
    • MP.PI.31: Pseudonimització
  • Protecció de la informació en tractaments no automatitzats:
    • MP.PP.33: Control d'accés a la documentació
    • MP.PP.34: Custòdia, emmagatzematge i destrucció
    • MP.PP.35: Còpia i reproducció de documents
    • MP.PP.36: Trasllat de documentació
    • MP.PP.37: Criteris d'arxiu
    • MP.PP.38: Gestió d'incidents i sistemes de notificació d'incidències
    • MP.PP.39: Procediments per tractaments no automatitzats