Protección de Datos

APDCAT: la autoridad catalana de protección de datos

APDCAT, la autoridad catalana de protección de datos: competencias sobre el sector público catalán, reparto con la AEPD, resoluciones y guías propias.

En una frase. La APDCAT (Autoritat Catalana de Protecció de Dades) es la autoridad de control autonómica que vigila el tratamiento de datos personales del sector público de Cataluña: la Generalitat, los entes locales catalanes, las universidades públicas catalanas y las entidades vinculadas o dependientes de ellos. No supervisa a empresas privadas: de eso se ocupa la AEPD en toda España.

Puntos clave

  • La APDCAT solo tiene competencia sobre el sector público catalán, no sobre empresas ni particulares.
  • Su base legal es la Ley catalana 32/2010, dentro del margen que el art. 57 RGPD y la disposición adicional del marco español dejan a las CCAA.
  • Cualquier reclamación contra una empresa privada catalana se dirige a la AEPD, no a la APDCAT.
  • La APDCAT publica guías, dictámenes y resoluciones propias, muchas en catalán, sobre EIPD, inteligencia artificial en la administración y transparencia.
  • Convive con otras dos autoridades autonómicas: la AVPD vasca y el CTPDA andaluz.

1. Qué es la APDCAT y de dónde nace

El RGPD permite que un Estado miembro tenga más de una autoridad de control (art. 51.1 RGPD). España usó ese margen para mantener las autoridades autonómicas ya existentes. La APDCAT se creó por la Ley catalana 32/2010, de 1 de octubre, como organismo independiente que responde ante el Parlament de Catalunya, no ante el Gobierno autonómico.

Su director o directora se elige por mayoría cualificada del Parlament, precisamente para blindar su independencia frente al poder ejecutivo que debe controlar. Esa arquitectura reproduce a escala regional el mismo principio que sostiene a la AEPD y a las demás autoridades europeas: quien vigila el tratamiento de datos de la administración no puede depender de esa administración.

2. Qué vigila exactamente: el perímetro del sector público catalán

Aquí está el punto que más confusión genera. La competencia de la APDCAT no es territorial sino orgánica y material. No cubre “todo lo que pasa en Cataluña”, sino a un conjunto tasado de responsables públicos:

  • La Administración de la Generalitat y sus organismos autónomos.
  • Los entes locales catalanes: ayuntamientos, diputaciones, consejos comarcales.
  • Las universidades públicas de Cataluña.
  • Los consorcios, fundaciones y entidades públicas vinculadas o dependientes de los anteriores.
  • Los colegios profesionales y corporaciones de derecho público catalanas, en el ejercicio de funciones públicas.

Todo lo demás —una tienda de Barcelona, un despacho de Girona, una startup de Tarragona— queda bajo la AEPD. La nacionalidad, el domicilio o el idioma del responsable son irrelevantes: lo determinante es si se trata de una entidad del sector público catalán o de un actor privado.

Cómo saber a quién dirigirse

Responsable del tratamiento Autoridad competente
Ayuntamiento catalán, Generalitat, universidad pública catalana APDCAT
Empresa privada con sede en Cataluña AEPD
Autónomo o profesional en Cataluña AEPD
Entidad pública estatal (Seguridad Social, AEAT) en Cataluña AEPD
Colegio profesional catalán (función pública) APDCAT

Si una organización tiene dudas sobre su naturaleza, el criterio operativo es simple: si su régimen jurídico es de derecho público autonómico o local catalán, la puerta es la APDCAT; en cualquier otro caso, la AEPD. Este reparto es paralelo al que existe para las sanciones de la AEPD a administraciones públicas, donde el régimen sancionador estatal ya tiene sus propias particularidades.

3. Qué hace la APDCAT: funciones y potestades

Dentro de su ámbito, la APDCAT ejerce las mismas funciones que el art. 57 RGPD atribuye a toda autoridad de control:

  • Resolver reclamaciones de ciudadanos contra entes públicos catalanes.
  • Inspeccionar y adoptar medidas correctivas del art. 58.2 RGPD (advertencias, apercibimientos, órdenes de adecuación).
  • Emitir dictámenes previos sobre proyectos normativos y tratamientos de riesgo de la administración catalana.
  • Autorizar y asesorar sobre evaluaciones de impacto (EIPD) del sector público.
  • Difundir guías y criterios, muchas veces pioneras: la APDCAT ha sido especialmente activa en inteligencia artificial en las administraciones, datos de menores y transparencia.

Una particularidad frente a la AEPD: en el sector público, tanto la LOPDGDD como las leyes autonómicas modulan las multas económicas. Frente a una administración, la APDCAT normalmente no impone multa dineraria, sino que dicta las medidas que procedan y, en su caso, propone actuaciones disciplinarias contra el personal responsable. El régimen de las infracciones de la LOPDGDD prevé precisamente ese trato diferenciado para el sector público.

4. La APDCAT en la práctica: qué debe hacer un ente público catalán

Un ayuntamiento o una universidad catalana tiene las mismas obligaciones sustantivas que cualquier responsable —mantener el registro de actividades de tratamiento, designar delegado de protección de datos, evaluar riesgos— pero con la APDCAT como interlocutor.

En concreto:

  1. DPO obligatorio. Todo organismo público debe designar delegado de protección de datos (art. 37.1.a RGPD). Puedes comprobar los supuestos en nuestra guía sobre cuándo es obligatorio el DPO en España.
  2. Notificación de brechas a la APDCAT, no a la AEPD, cuando el responsable es un ente público catalán.
  3. Consulta previa y dictámenes ante la APDCAT en proyectos de alto riesgo.
  4. Transparencia reforzada, por la intersección con la normativa catalana de transparencia.

Para las entidades que combinan sector público y colaboración con proveedores privados, ordenar todo esto —inventario de tratamientos, encargados, plazos— es más llevadero con una herramienta de gestión de cumplimiento como Legiscope que documenta y actualiza el registro de forma centralizada. La diferencia entre el marco estatal y el autonómico se apoya, en última instancia, en la relación general entre la LOPDGDD y el RGPD.

El vínculo con la transparencia y la IA en la administración

Un rasgo característico de la APDCAT es su enfoque proactivo en dos terrenos donde la administración catalana va por delante: la transparencia y la inteligencia artificial. La autoridad ha publicado criterios sobre cómo publicar información pública sin exponer datos personales de terceros, y ha sido pionera en abordar el uso de sistemas de IA por parte de las administraciones —perfilado, decisiones automatizadas, algoritmos de ayuda a la decisión— antes incluso de que el Reglamento europeo de IA desplegara todos sus efectos.

Para un ente público catalán, esto significa que la APDCAT no es solo un órgano sancionador al que temer, sino una fuente de doctrina y guías prácticas en catalán que conviene consultar antes de desplegar un tratamiento de riesgo. La lógica es preventiva: es más barato acertar en el diseño que corregir tras una resolución. Esa filosofía enlaza directamente con el principio de responsabilidad proactiva del art. 5.2 RGPD, que obliga a poder demostrar el cumplimiento, no solo a cumplir.

Coordinación con la AEPD

La APDCAT no actúa aislada. Participa, junto con la AEPD y las demás autoridades autonómicas, en los mecanismos de coordinación previstos para garantizar una interpretación homogénea del RGPD en toda España. Cuando un mismo tratamiento afecta a entes públicos catalanes y a responsables de fuera de Cataluña, o cuando surge una duda de competencia, ambas autoridades se coordinan para evitar resoluciones contradictorias. Para el responsable, la regla práctica no cambia: identifica correctamente tu naturaleza jurídica y dirígete a la autoridad que corresponda.

5. Recursos oficiales

FAQ

¿La APDCAT puede sancionar a mi empresa privada en Cataluña?

No. La APDCAT solo controla al sector público catalán. Cualquier reclamación o inspección contra una empresa privada, aunque tenga su sede en Barcelona, corresponde a la AEPD. Confundir ambas autoridades es el error más común.

¿Qué diferencia hay entre la APDCAT y la AEPD?

La AEPD es la autoridad estatal con competencia sobre todo el sector privado y el sector público estatal. La APDCAT es autonómica y se limita a las administraciones e entes públicos de Cataluña. Ambas aplican el mismo RGPD y colaboran en el Consejo Consultivo del art. 51.

¿Ante quién notifica una brecha un ayuntamiento catalán?

Ante la APDCAT, dentro del mismo plazo de 72 horas del art. 33 RGPD. El procedimiento sustantivo es idéntico al de una brecha de seguridad ante la AEPD; solo cambia el destinatario.

¿Existen otras autoridades autonómicas como la APDCAT?

Sí. Cataluña (APDCAT), el País Vasco (AVPD) y Andalucía (CTPDA) mantienen autoridades autonómicas, todas circunscritas a su respectivo sector público.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →