Está Vd. en

Documento BOE-A-2019-9536

Resolución de 13 de junio de 2019, de la Agencia Española de Protección de Datos, por la que se convoca el Premio a las Buenas Prácticas en privacidad y protección de datos personales sobre iniciativas para la adecuación al Reglamento General de protección de datos y a la Ley Orgánica de protección de datos personales y garantía de los derechos digitales.

Publicado en:
«BOE» núm. 151, de 25 de junio de 2019, páginas 67532 a 67542 (11 págs.)
Sección:
III. Otras disposiciones
Departamento:
Agencia Española de Protección de Datos
Referencia:
BOE-A-2019-9536

TEXTO ORIGINAL

La Agencia Española de Protección de Datos (AEPD), en el ejercicio de las funciones y competencias que le atribuyen el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, tiene como misión velar por el cumplimiento de la legislación sobre protección de datos, difundir y proteger los derechos de los ciudadanos, promoviendo entre la ciudadanía y las organizaciones el valor de la protección de datos, e impulsar una labor proactiva que permita detectar el impacto que los nuevos desarrollos tecnológicos pueden tener en la privacidad de los ciudadanos, promoviendo una concepción de la privacidad como activo de las organizaciones públicas y privadas, y como elemento distintivo de la competitividad en el mercado.

En el marco de las competencias y funciones de la Agencia, el Plan Estratégico 2015- 2019, en su Eje 4, ha establecido un conjunto de iniciativas dirigidas a lograr una Agencia más cercana a los responsables, tanto privados como públicos, y a los profesionales de la privacidad, promoviendo un conjunto amplio de guías, herramientas y materiales, así como un amplio despliegue de actividades de difusión e información dirigidas a facilitar el conocimiento y la aplicación práctica por estos de sus obligaciones derivadas del Reglamento General de Protección de Datos, en colaboración con las correspondientes organizaciones y asociaciones empresariales y profesionales. Asimismo, ha previsto una iniciativa destinada a fomentar las buenas prácticas en materia de protección de datos, y entre ellas la convocatoria de premios como el que ahora se promueve para apoyar aquellos proyectos que faciliten el cumplimiento del Reglamento General de Protección de Datos tanto por parte de los responsables privados, como de los organismos públicos.

De otra parte, el 25 de septiembre de 2015, 193 países de las Naciones Unidas adoptaron la Agenda 2030 y con ella, los Objetivos de Desarrollo Sostenible (ODS), que constituyen un marco innovador a nivel mundial para trabajar en favor del desarrollo sostenible. Están compuestos por 17 ODS y 169 metas que deben cumplirse antes de 2030 y 232 indicadores para medir su progreso. Dado que las autoridades públicas desempeñan un papel esencial en la mejora de la vida de las personas y el cuidado del planeta, la AEPD ha diseñado un Marco de Actuación de Responsabilidad Social en consonancia con el compromiso de España para el cumplimiento de la Agenda 2030, a través de cuatro ámbitos de actuación relacionados de forma directa con los ODS: sociedad; Buen Gobierno, integridad, transparencia y rendición de cuentas; empleados, y medio ambiente. Se pretende a través de este Marco de Actuación, posicionar a la AEPD como un actor clave a nivel nacional en el impulso de los ODS y promover entre los ciudadanos el conocimiento de la relación entre la protección de datos y la sostenibilidad.

Una de las iniciativas que contempla el Marco de Actuación de Responsabilidad Social de la AEPD es la de «Alinear los premios AEPD, en sus diferentes categorías, con la Agenda 2030 para reforzar el compromiso de la Agencia con los ODS». En concreto, la iniciativa promovida mediante la presente «Resolución de la Agencia Española de Protección de Datos, por la que se convoca el Premio a las Buenas Prácticas en Privacidad y Protección de Datos Personales sobre iniciativas para la adecuación al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y su cumplimiento», se alinea primordialmente con el ODS 16 «Paz, Justicia e instituciones sólidas», que considera esencial el impulso de instituciones eficaces, transparentes e inclusivas para alcanzar los ODS.

A tenor de lo dispuesto en Ley 38/2003, de 17 de noviembre, General de Subvenciones (LGS) y en el Real Decreto 887/2006, de 21 de julio, por el que aprueba el Reglamento de la Ley 38/2003 (RGS) se ha acordado proceder a la convocatoria del «Resolución de la Agencia Española de Protección de Datos, por la que se convoca el Premio a las Buenas Prácticas en Privacidad y Protección de Datos Personales sobre iniciativas para la adecuación al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y su cumplimiento».

De conformidad con el artículo 23.2.a )de la Ley 38/2003, y previo informe del Gabinete Jurídico, esta convocatoria se ajustará a las siguientes bases:

Primera. Objeto y modalidades.

Constituye su objeto premiar la adopción de buenas prácticas (proyectos técnicos, organizativos, sistemas, métodos, acciones de promoción, materiales de difusión, etc.) que promuevan la adecuación al RGPD y a la Ley Orgánica y su cumplimiento en las empresas, asociaciones y fundaciones del sector privado y los organismos y entidades del sector público, y contribuyan a reforzar la garantías del derecho fundamental a la protección de datos personales, en especial mediante todas aquellas medidas técnicas, organizativas y procedimentales que favorezcan y garanticen los derechos y libertades de las personas.

A la hora de valorar las actuaciones citadas se tendrán en cuenta los casos en los que la adaptación al RGPD y su cumplimiento revistan una especial dificultad para los responsables por referirse a tratamientos de datos de alto riesgo.

El premio se convoca en dos modalidades:

I. Modalidad A. Buenas prácticas sobre iniciativas llevadas a cabo por las empresas, asociaciones y fundaciones del sector privado para el cumplimiento del RGPD.

II. Modalidad B. Buenas prácticas sobre iniciativas llevadas a cabo por los organismos, entidades, órganos y departamentos que configuran el sector público para adaptarse al RGPD.

No se considerarán aquellos trabajos fuera del objeto del premio.

La concesión se llevará a cabo en régimen de concurrencia competitiva de acuerdo con los principios de publicidad, transparencia, concurrencia, objetividad, igualdad y no discriminación que rigen en la gestión de ayudas y subvenciones públicas, de conformidad con lo establecido en el artículo 22 y siguientes de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, y en el Real Decreto 887/2006, de 21 de julio, por el que se aprueba el Reglamento de la Ley 38/2003, salvo en aquellos aspectos en los que, por la especial naturaleza de las subvenciones, no resulte aplicable.

Segunda. Requisitos de los candidatos.

Podrán tomar parte en el concurso, en la modalidad A, las empresas, grupos y uniones de empresas, asociaciones, fundaciones y entidades de naturaleza jurídico-privada (sector privado); y en la modalidad B las autoridades públicas, organizaciones, organismos y entidades que conforman el sector público entendiendo por tales lo que se comprende en el artículo 1 de la Ley 40/2015, de 1 de octubre, así como demás administraciones públicas, administración institucional, órganos constitucionales, Agencia Estatal de la Administración Tributaria, y en general, entes u órganos administrativos que formen parte del sector público, sector institucional y órganos constitucionales (sector público).

No podrán participar en este concurso los miembros del jurado, colaboradores y personal destinado en la Agencia Española de Protección de Datos, Agencias autonómicas y autoridades extranjeras de protección de datos o aquellos que hubieran sido premiados con anterioridad en convocatorias de premios de Buenas Prácticas en Privacidad y Protección de Datos Personales sobre iniciativas para la adaptación al Reglamento General de Protección de Datos y su cumplimiento.

Deberá solicitarse la participación en la convocatoria del premio personalmente o mediante representante. No se admitirán solicitudes a favor de terceros.

De conformidad con el artículo 11.3 de la Ley General de Subvenciones, cuando la solicitud la realice una agrupación de personas físicas deberá nombrarse un representante o apoderado único de la agrupación.

No podrán obtener la condición de beneficiario las personas o entidades en quienes concurra alguna de las circunstancias previstas en el artículo 13 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones. De conformidad con los artículos 24 a 26 del Reglamento de la Ley General de Subvenciones, los solicitantes habrán de presentar una declaración responsable acerca de la no concurrencia en ellos de ninguna de las circunstancias previstas en el artículo 13 de la Ley General de Subvenciones. Dicha declaración responsable se incluye en el modelo de solicitud que se presenta como anexo 1 a esta convocatoria.

Tercera. Requisitos de los trabajos presentados.

En el caso de la presentación de los trabajos de forma no telemática se deberá aportar original y copia en formato digital (el archivo informático deberá permitir su apertura en programas comúnmente usados con extensiones del tipo «.rtf,.doc,.pdf,.tiff o.jpg») de la documentación presentada en papel. En el caso de presentación de los trabajos de forma telemática los trabajos y documentación deberá presentarse en formato electrónico o digital (el archivo informático deberá permitir su apertura en programas comúnmente usados con extensiones del tipo «.rtf,.doc,.pdf,.tiff o.jpg»).

Los trabajos escritos, tendrán una extensión máxima de 100 páginas, letra Arial 11 e interlineado simple y podrán presentarse en idioma original, si bien en caso de ser diferente del castellano deberán acompañarse de traducción a este último idioma.

Igualmente, las obras se acompañarán de un resumen ejecutivo en castellano de acuerdo con el modelo del Anexo 2.

El incumplimiento de alguno de estos requisitos dará lugar a la exclusión de la propuesta.

Cuarta. Plazo de ejecución de los proyectos.

Pueden optar al premio los proyectos de adecuación al RGPD finalizados con posterioridad al 25 de mayo de 2016, fecha de aprobación del RGPD y hasta el 15 de noviembre de 2019.

Quinta. Dotación del premio.

Ambas modalidades del premio consistirán en una mención honorífica, mediante diploma concedido al efecto, sin dotación económica, y, en su caso, la difusión de las buenas prácticas premiadas.

Sexta. Plazo de presentación de solicitudes y formalización.

Las solicitudes deberán presentarse a partir del día siguiente a la fecha de publicación de estas bases en el «Boletín Oficial del Estado». El plazo concluirá el 15 de noviembre de 2019.

En la modalidad A, las empresas, fundaciones y asociaciones del sector privado que deseen participar habrán de presentar su candidatura en el modelo de solicitud que figura en el anexo 1, acompañado de una memoria descriptiva del proyecto, así como de la documentación y el material que se estime oportuno en apoyo de su proyecto.

En la modalidad B, las entidades del sector público y órganos institucionales habrán de presentar su candidatura en el modelo de solicitud que figura en el anexo 1, acompañado de una memoria descriptiva del proyecto, así como la documentación y el material oportuno en apoyo al proyecto que se presenta.

Las solicitudes y proyectos se dirigirán a la Directora de la Agencia Española de Protección de Datos y podrán presentarse en el Registro de la Agencia Española de Protección de Datos, c/ Jorge Juan n.º 6, planta baja, 28001 Madrid, o en cualquiera de los Registros u oficinas previstos en el artículo 16.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, haciendo constar en el sobre la misma dirección. Las solicitudes de participación podrán ser presentados también en sede electrónica (sedeagpd.gob.es); en el caso de presentación de la solicitud en formato electrónico la documentación relativa al trabajo a valorar, así como otra documentación justificativa de requisitos y méritos deberá ser presentada de manera telemática.

Séptima. Subsanación.

De acuerdo con lo establecido en el artículo 68 de la Ley 39/2015,, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, si la solicitud de iniciación no reúne los requisitos que señala el artículo 66, y, en su caso, los que señala el artículo 67 u otros exigidos por la legislación específica aplicable, se requerirá al interesado para que, en un plazo de diez días, subsane la falta o acompañe los documentos preceptivos, con indicación de que, si así no lo hiciera, se le tendrá por desistido de su petición, previa resolución que deberá ser dictada en los términos previstos en el artículo 21 de la citada ley 39/2015, de 1 de octubre.

Octava. Criterios de valoración.

Los proyectos presentados en la modalidad A y B se valorarán atendiendo a los siguientes criterios siendo la puntuación máxima posible 100 puntos:

– Grado de adecuación del proyecto al objeto del premio, primando las buenas prácticas en el cumplimiento del RGPD (puntuación hasta un máximo de 30 puntos).

– Innovación del proyecto y contribución a la creación de una cultura de protección de datos en las empresas privadas y entidades que conforman el sector público y la utilización responsable de la información de carácter personal conforme al RGPD (puntuación hasta un máximo de 30 puntos).

– Grado de cumplimiento de los proyectos a valorar en las empresas privadas y entidades del sector público (puntuación hasta un máximo de 20 puntos).

– Grado de riesgo y complejidad de los tratamientos y garantías encaminadas a salvaguardar los derechos y libertades de las personas (hasta un máximo de 20 puntos).

La valoración final resultará de la suma de las correspondientes notas parciales.

Novena. Órgano instructor.

La instrucción del procedimiento de concesión del Premio a las Buenas Prácticas en Privacidad y Protección de Datos Personales sobre iniciativas para la adecuación al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales y su cumplimiento corresponde a la Secretaría General de la AEPD, que comprobará el cumplimiento de los requisitos y elevará la documentación al Jurado para su valoración. Por tratarse de un premio, dada la naturaleza de este, en el trámite de instrucción se prescindirá de audiencia, conforme autoriza el artículo 24.4 LGS.

Décima. Jurado.

Su función, de acuerdo con lo previsto por el artículo 22.1 de la Ley General de Subvenciones, será la de valorar, conforme a los criterios establecidos en la base octava de la convocatoria, las solicitudes presentadas al premio. Valoradas las solicitudes, el Jurado emitirá el correspondiente informe proponiendo la concesión del premio al órgano concedente de la subvención.

El Jurado estará compuesto por:

Presidenta: La Directora de la Agencia Española de Protección de Datos.

Vocales: Miembros del Consejo Consultivo que se encuentren ejerciendo su mandato en el momento de efectuarse el fallo.

La Secretaría, con voz y sin voto, corresponderá a la Secretaria de dicho Consejo.

En caso de empate decidirá el voto de calidad de la Presidenta.

El Jurado podrá proponer al órgano concedente declarar desierto el premio motivándolo.

La Directora de la Agencia Española de Protección de Datos podrá designar un Consejo Asesor compuesto por funcionarios expertos de la AEPD para evaluar las candidaturas presentadas y presentar sus conclusiones al Jurado.

Undécima. Resolución y publicación de la concesión.

El órgano concedente es la Directora de la Agencia Española de Protección de Datos. La resolución de la convocatoria, concediendo el premio, será dictada por la Directora de la Agencia Española de Protección de Datos. Esta resolución pondrá fin a la vía administrativa y se publicará en la página web de la AEPD.

Duodécima. Información de la concesión de premios y entrega de premios.

De conformidad con el artículo 25.4 de la Ley General de Subvenciones, el plazo máximo para resolver y notificar la resolución del procedimiento no podrá exceder de seis meses. Dicho plazo se computará desde el 15 de noviembre de 2019, fecha final del plazo de presentación de los trabajos de acuerdo con la base sexta. Se dará especial relevancia a la lista de premiados con ocasión de la celebración del Día de la Protección de Datos en Europa el 28 de enero de 2020. La entrega de premios se realizará en un acto público convocado al efecto.

Decimotercera. Aceptación de las Bases.

La participación en el concurso implica la aceptación de todas las bases. La participación incluye, igualmente, la aceptación de la posibilidad de que, por parte de la AEPD, se pueda difundir, reproducir, distribuir o comunicar por cualquier medio la obra premiada, de acuerdo con lo previsto por la legislación de Propiedad Intelectual. En tal caso se hará referencia en la publicación igualmente a los autores, así como al medio de publicación de que se trate.

Decimocuarta. Obligaciones de los beneficiarios.

Los beneficiarios están obligados al cumplimiento de lo dispuesto en el artículo 14 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, y a lo demás que establezca la normativa aplicable.

Decimoquinta. Nulidad, anulabilidad o reintegro del premio.

En caso de concurrir alguna de las causas de nulidad o anulabilidad a las que hace referencia el artículo 36 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, la Directora de la AEPD adoptará la resolución que corresponda con arreglo a lo establecido en dicho artículo.

En caso de renuncia al premio, el adjudicatario deberá presentar la correspondiente solicitud fundamentada dirigida a la Directora de la AEPD quien resolverá, si procede, la devolución de la cantidad percibida.

Decimosexta. Régimen supletorio.

Para todos aquellos extremos no regulados específicamente en la presente resolución se estará a lo establecido en la Ley 38/2003, de 17 de noviembre, General de Subvenciones, así como, cuando proceda, en la Ley 47/2003, de 26 de noviembre, General Presupuestaria, y en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, salvo en aquellos aspectos en los que, por la especial naturaleza del premio y de las subvenciones, así como de la propia naturaleza jurídica de la AEPD no resultarán aplicables en todo o en parte estas disposiciones.

Decimoséptima. Protección de datos.

Los datos de carácter personal que consten en la solicitud serán tratados por la Agencia Española de Protección de Datos e incorporados a la actividad de tratamiento «Actividad de promoción», cuya finalidad es la gestión y resolución de la convocatoria. Finalidad basada en el interés público de la convocatoria y en su solicitud de participación en ella.

Los datos relativos a los ganadores de los premios se publicarán en la web de la AEPD y en redes sociales.

Los datos serán conservados durante la tramitación del procedimiento de concesión del premio y de las reclamaciones que se puedan formular, siendo de aplicación la normativa de archivos y patrimonio documental español. Los datos de los premiados en las modalidades que incluyen prestación económica se conservarán conforme a lo dispuesto en la Ley 58/2003, de 17 de diciembre, General Tributaria.

Puede ejercitar sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, ante la Agencia Española de Protección de Datos, C/Jorge Juan, 6, 28001- Madrid o en la dirección de correo electrónico dpd@aepd.es.

Disposición final única. Entrada en vigor.

La presente Resolución entrará en vigor el día siguiente de la publicación en el «Boletín Oficial del Estado».

Madrid, 13 de junio de 2019.–La Directora de la Agencia Española de Protección de Datos, Mar España Martí.

ANEXO 1-A

1

2

ANEXO 1-B

1

2

ANEXO 2
Resumen ejecutivo

El resumen ejecutivo tendrá una extensión máxima de dos páginas con letra Arial 11 interlineado simple y tendrá los siguientes apartados en función de la modalidad del premio al que opten:

• Título.

• Entidad pública/privada.

• El resumen contiene, respecto a la actividad, producto o servicio:

– La descripción general.

– La adecuación de la iniciativa al objeto del premio.

– La relevancia, innovación y contribución a la creación de una cultura de protección de datos.

– Grado de cumplimiento de los proyectos.

– Grado de riesgo y complejidad de los tratamientos.

– Garantías adoptadas para la salvaguarda de los derechos y libertades de las personas.

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid