Resolución IFE/920/2025, de 10 de marzo, por la que se encarga al Consorcio Administración Abierta de Cataluña la emisión de los certificados digitales que requiera el Departamento de Igualdad y Feminismo durante el año 2025
Resumen autogenerado por OpenAI
Audios generados (reproducción automática)
Los audios se reproducen de forma automática uno detrás de otro. Haz clic en el icono para descargar el audio o aumentar/disminuir la velocidad de reproducción.
Debido al tamaño del artículo, la generación del audio puede tardar unos segundos y es posible que se generen varios audios para un mismo artículo.
El Departamento de Igualdad y Feminismo (de ahora en adelante, DIFE) tiene la necesidad de poner a disposición de sus empleados certificados personales de identificación y firma (reconocida o avanzada del Consorcio Administración Abierta de Cataluña (de ahora en adelante, Consorcio AOC).
Como entidad de certificación digital, de acuerdo con la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, el Consorcio AOC genera los certificados digitales mediante la operación de entidades de certificación de su titularidad, que firman los certificados con la correspondiente autoridad de certificación diferenciada y vinculada a la jerarquía de entidades de certificación de las entidades públicas de Cataluña. El Consorcio AOC dispone de una autoridad de certificación principal, que tiene la consideración de raíz de la jerarquía pública de certificación de Cataluña, cuya finalidad es integrar otras entidades de certificación en el sistema público catalán de certificación mediante la vinculación técnica de las autoridades de certificación correspondientes.
El artículo 6.g de los estatutos del Consorcio AOC, aprobados mediante la Resolución PRE/606/2002, de 21 de febrero, y modificados por la Resolución GAP/1932/2004, de 6 de julio, y por el Acuerdo GOV/43/2015, de 24 de marzo, determinan que le corresponde impulsar y promover mecanismos de identificación digital y de firma electrónica y prestar los servicios necesarios para utilizarlos en los procesos entre las entidades del sector público y entre estas y los ciudadanos y las empresas. A este efecto, si es el caso, ejerce de entidad de certificación de acuerdo con la legislación aplicable.
El artículo 17.3 de los estatutos mencionados dispone que «las relaciones entre el Consorcio y las entidades consorciadas y los entes locales integrantes de cuyo Consorcio Localret es medio propio instrumental y servicio técnico no tienen naturaleza contractual y se articulan mediante los encargos correspondientes. En consecuencia, el Consorcio está obligado a realizar los encargos que le formulen los sujetos anteriormente mencionados, los cuales tienen que incluir, como mínimo, el ámbito del encargo, la previsión de costes y el sistema de financiación del encargo».
La interventora general de la Generalitat de Catalunya emitió, en fecha 11 de diciembre de 2018, el documento Criterios 04/2018 Relación de la Administración de la Generalitat de Catalunya y su sector público con las entidades del sector público que no son medio propio, de acuerdo con el cual la relación entre un departamento y el Consorcio AOC para implementar servicios de certificación digital se tiene que establecer mediante encargos de gestión (artículo 11 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público) y recomienda, como instrumento jurídico, una resolución.
El 20 de enero de 2025, el subdirector general de Organización y Administración Digital emite un informe en el que justifica la necesidad de formalizar un encargo al Consorcio AOC, para la emisión de un máximo de 87 certificados (85 T-CAT sin soporte en tarjeta, 1 certificado de aplicación y 1 sello electrónico de nivel medio), para el año 2025, por un importe total máximo de 2.355,09 euros sin el IVA y de 2.849,66 euros con el 21% de IVA incluido.
El 26 de febrero de 2025, la Asesoría Jurídica del Departamento informa favorablemente sobre la propuesta de resolución por la que se encarga al Consorcio AOC la emisión de los certificados digitales mencionados.
El 5 de marzo de 2025, el interventor delegado del Departamento emite un informe favorable a la fiscalización del documento contable RC.
Por todo eso,
Resuelvo:
Primero. Encargar al Consorcio AOC, amb NIF Q0801175A, la gestión de la emisión de los certificados digitales necesarios durante el año 2025, para el personal del Departamento de Igualdad y Feminismo, de acuerdo con la previsión de un máximo de 87certificados (85 T-CAT sin soporte en tarjeta, 1 certificado de aplicación y 1 sello electrónico de nivel medio). El encargo se tiene que ejecutar de acuerdo con las condiciones técnicas del anexo 1 y no comporta la cesión de la titularidad de la competencia ni de los elementos sustantivos de su ejercicio.
Este encargo de gestión tiene naturaleza administrativa y, por lo tanto, queda excluido de la aplicación de la Ley 9/2017, de 8 de noviembre, de contratos del sector público, y se rige por sus cláusulas, por la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público, por la Ley 26/2010, de 3 de agosto, de régimen jurídico y de procedimiento de las administraciones públicas de Cataluña, por la normativa sectorial correspondiente, así como por las normas generales del derecho administrativo, los principios de buena administración y el ordenamiento jurídico en general.
Segundo. El Departamento de Igualdad y Feminismo tiene que abonar el importe correspondiente a las actuaciones realizadas por el Consorcio AOC de acuerdo con los precios públicos del Servicio de Certificación Digital vigentes para el año 2025, aprobados mediante la Orden PRE/238/2024, de 25 de noviembre, por la que se aprueban los precios públicos del Servicio de Certificación Digital del Consorcio Administración Abierta de Cataluña (DOGC núm. 9299, de 27 de noviembre de 2024).
Tercero. El importe máximo de este encargo es de 2.355,09 euros sin el IVA y de 2.849,66 euros con el 21% de IVA incluido. Se trata de un importe total máximo que se agotará o no en función de los diferentes tipos de certificados (ordinarios o urgentes) emitidos por el Consorcio AOC. El abono de este importe se tiene que hacer efectivo de acuerdo con las condiciones técnicas del anexo 1.
El Departamento de Igualdad y Feminismo abonará al Consorcio AOC el importe máximo de 2.849,66 euros con el 21% de IVA incluido, supeditado a la condición suspensiva de existencia de crédito suficiente y adecuado, a cargo de la partida presupuestaria IF01/227008900/1210/0000 o equivalente del presupuesto de la Generalitat para el año 2025.
La aprobación de este acto implica la autorización a la unidad administrativa competente para contabilizar la disposición de crédito a favor de los acreedores en el sistema corporativo de contabilidad GECAT y la autorización para contabilizar el reconocimiento de las obligaciones económicas derivadas.
Cuarto. En relación con los datos personales a los que tenga acceso con ocasión del encargo de gestión, el Consorcio AOC se obliga al cumplimiento de todo aquello que dispone el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas con respecto al tratamiento de datos personales y la libre circulación de estos datos, y a toda la normativa vigente en materia de protección de datos.
De acuerdo con el artículo 28 del Reglamento general de protección de datos, el Consorcio AOC tiene la consideración de encargado de tratamiento y actúa por cuenta del responsable del tratamiento, que es el Departamento de Igualdad y Feminismo. A estos efectos, se adjunta como anexo 2 el acuerdo de encargo de tratamiento correspondiente. En este sentido, ambas partes se obligan a guardar secreto, de manera estricta, de toda la información a la que tengan acceso y a dar cumplimiento a todas las medidas técnicas y organizativas que se establezcan para garantizar la confidencialidad y la integridad de la información. Ambas partes velarán también para que sus trabajadores y los de las empresas subcontratadas tengan conocimiento y cumplan estas mismas obligaciones, que subsistirán incluso después de finalizar y de extinguirse este encargo.
Quinto. Este encargo será vigente desde el 1 de enero de 2025, o desde la fecha de su firma si esta fuera posterior, hasta el 31 de diciembre de 2025.
Sexto. Las causas de resolución se tienen que basar en el incumplimiento, por parte de los sujetos firmantes del encargo, de cualquiera de las obligaciones que se fijen. Igualmente es causa de resolución el transcurso del plazo de vigencia del encargo sin que se haya acordado la prórroga.
Séptimo. Las incidencias que se puedan plantear como consecuencia de la ejecución y las cuestiones relativas a la interpretación, cumplimiento, modificación, resolución y efectos de este encargo las tienen que resolver el Departamento de Igualdad y Feminismo y el Consorcio AOC, de mutuo acuerdo, con criterios de buena fe y colaboración.
Octavo. Comunicar esta Resolución al Consorcio AOC.
Noveno. Disponer que se publique en el Diari Oficial del Generalitat de Catalunya, de acuerdo con el artículo 11.3.a de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público, y de manera adicional en el portal de la transparencia de la Generalitat de Catalunya, de conformidad con el artículo 14 de la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y bueno gobierno.
Barcelona, 10 de marzo de 2025
P. d. (Resolución IFE/4485/2024, de 12.12.2024, DOGC núm. 9311, de 16.12.24)
Jessica Vázquez Sánchez
Directora de Servicios
Anexo 1
Condiciones técnicas
La Subdirección General de Organización y Administración Digital del Departamento de Igualdad y Feminismo solicita los certificados digitales al Consorcio AOC mediante la plataforma EACAT.
El usuario solicita la T-CAT a través de la parte privada de la intranet del Departamento y especifica que su jefe o jefa autoriza la gestión.
El responsable del servicio de certificación del ente hace la petición de las T-CAT al Consorcio AOC mediante la plataforma EACAT en el apartado de trámites con el Consorcio AOC.
El Consorcio AOC entrega los certificados a la Subdirección General de Organización y Administración Digital del Departamento, en un plazo no superior a 16 días laborables, a contar desde la fecha de la solicitud, si se trata de tramitación ordinaria, o en un plazo no superior a 4 días laborables, a contar desde la fecha de la solicitud, si se trata de tramitación urgente.
La Subdirección General de Organización y Administración Digital del Departamento de Igualdad y Feminismo, una vez reciba las tarjetas, comprueba que sean correctas conforme a la solicitud realizada. Si no lo son las devuelve al Consorcio de AOC para que las corrija. Esta corrección no tiene ningún coste adicional para el Departamento.
Los precios públicos del servicio de certificación digital para el año 2025 mantienen la vigencia de los precios públicos del 2024, que han sido aprobados mediante la Orden PRE/238/2024, de 25 de noviembre, por la que se aprueban los precios públicos del Servicio de Certificación Digital del Consorcio Administración Abierta de Cataluña (DOGC núm. 9299, de 27 de noviembre de 2024.
El abono al Consorcio AOC se producirá como contraprestación económica por los certificados emitidos, y se emitirán varias facturas durante el año, en función de los certificados entregados al Departamento de Igualdad y Feminismo. Estas facturas se abonarán después de que la Subdirección General de Organización y Administración Digital las haya conformado.
Anexo 2
Encargo de tratamiento de datos personales derivado del encargo de gestión para la generación, fabricación y entrega de certificados digitales T-CAT del Departamento de Igualdad y Feminismo
Protección de datos
Este servicio implica un encargo del tratamiento entre el Consorcio AOC y el Departamento de Igualdad y Feminismo.
Objeto del encargo de tratamiento
Responsable del tratamiento: Departamento de Igualdad y Feminismo.
Encargado del tratamiento: Consorcio AOC.
Mediante este anexo se habilita al Consorcio AOC a tratar los datos de carácter personal necesarios para prestar los servicios de certificación digital al personal del Departamento de Igualdad y Feminismo.
El sistema de tratamiento de los datos es automatizado y no se prevén comunicaciones de datos a terceros.
Identificación de la información afectada
El tratamiento consiste en el acceso a los datos de nombre, apellidos, NIF, correo electrónico y unidad orgánica de los profesionales a los que se dota de certificado y de los profesionales que ejercen como responsables del servicio, certificadores de datos y operadores. En el caso de los responsables del servicio que entreguen los soportes físicos, adicionalmente se trata la dirección postal del puesto de trabajo.
Duración
La vigencia de este encargo de tratamiento queda vinculada a la vigencia del encargo de gestión.
Una vez finalizado este encargo, ambas partes decidirán de común acuerdo sobre el destino de los datos objeto de tratamiento y resolverán sobre el retorno, la custodia o la destrucción, teniendo en cuenta la regulación específica en materia de certificación digital.
Obligaciones del encargado
El encargado y todo su personal se obligan a:
a) Utilizar los datos personales objeto de tratamiento solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias.
b) No comunicar los datos a terceras personas, a no ser que tenga la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable tiene que identificar, previamente y por escrito, la entidad a la que se tienen que comunicar los datos, los datos a comunicar y las medidas de seguridad que hay que aplicar en la comunicación.
No se prevén transferencias de datos personales a un tercer país o a una organización internacional.
c) No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato y comporten el tratamiento de datos personales, excepto los servicios auxiliares necesarios para el funcionamiento normal de los servicios del encargado.
El subcontratista, que también tiene la condición de encargado, tiene que cumplir las obligaciones que este documento establece para el encargado y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de manera que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, con respecto al tratamiento adecuado de los datos personales y a la garantía de los derechos de las personas afectadas. Si el subencargado las incumple, el encargado inicial sigue siendo plenamente responsable ante el responsable con respecto al cumplimiento de sus deberes.
d) Mantener el deber de secreto respecto de los datos de carácter personal a los cuales haya tenido acceso en virtud de este encargo, incluso después de que finalice el objeto.
e) Garantizar que las personas autorizadas para tratar datos personales se comprometen, de manera expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las cuales tienen que ser informadas convenientemente, y mantener, a disposición del responsable, la documentación que acredita que se cumple la obligación.
f) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
g) Atender el ejercicio de derechos de las personas interesadas.
h) Notificar las violaciones de la seguridad de los datos. El encargado tiene que informar al responsable del tratamiento (la Dirección de Servicios del Departamento de Igualdad y Feminismo), sin dilación indebida y en cualquier caso antes de 48 horas, de las violaciones de la seguridad de los datos personales a su cargo de los cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia.
Si el encargado dispone de la información, hay que facilitar, como mínimo:
1º. Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluidos, cuando sea posible, las categorías y el número aproximado de personas interesadas afectadas y las categorías y el número aproximado de registros de datos personales afectados.
2º. Nombre y datos de contacto del delegado o delegada de protección de datos o de otro punto de contacto donde se pueda obtener más información.
3º. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4º. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluidas, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información precedente al responsable del tratamiento simultáneamente a la notificación de la violación de la seguridad de los datos personales, se tiene que facilitar de manera gradual sin dilación indebida, en la medida en que esta esté disponible.
i) Hacer un análisis de riesgos de sus tratamientos.
j) Implantar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
k) Poner a disposición del responsable toda la información necesaria para demostrar que cumple sus obligaciones y para acreditar el cumplimiento normativo y técnico ante las auditorías o las inspecciones que efectúe el responsable u otro auditor autorizado por él.
Obligaciones del responsable del tratamiento
Corresponde al responsable del tratamiento:
a) Dar cumplimiento al derecho de información de las personas interesadas.
b) Entregar al encargado los datos necesarios para prestar el servicio.
c) Asegurar las medidas de seguridad técnicas en los tratamientos que impliquen interacción entre sistemas de información del responsable y el encargado.
d) Cumplir el Marco de ciberseguridad para la protección de datos de la Generalitat de Catalunya.
e) Velar, antes y durante todo el tratamiento, para que el encargado cumpla la normativa en materia de protección de datos.
f) Supervisar el tratamiento, incluida la ejecución de auditorías de seguridad de la información.