governança

En data 20 de setembre de 2023 es va presentar una reclamació davant l’AEPD pels delegats sindicals del Servei de Prevenció i Extinció d’Incendis (SPEIS) de la Diputació d’Osca, en la qual es denunciava que s’havia pogut accedir a una carpeta compartida utilitzada pel personal administratiu del SPEIS, la qual contenia informació confidencial.

Aquest procediment va portar a tractar un altre assumpte, ja que, a més de la presumpta bretxa de seguretat, es va descobrir que el Delegat de Protecció de Dades (DPD) de la Diputació d’Osca també exercia com a responsable del Sistema Intern d’Informació. Això va conduir a plantejar la idoneïtat de la concurrència d’ambdues funcions en una mateixa persona.

Sobre el primer incident, l’AEPD va resoldre que estimava la vulneració de l’article 5.1.f) del RGPD per l’error de la Diputació en preservar la confidencialitat i la integritat de les dades de les quals era responsable.

Respecte a la segona situació, l’AEPD va valorar que, si bé és cert que el DPD pot exercir altres funcions a més de les assignades al seu càrrec, cal garantir que això no donarà lloc a un conflicte d’interès, de conformitat amb l’art. 38.6 del RGPD. Procedim a analitzar aquesta interpretació:

• El DPD pot exercir altres funcions, sempre que no donin lloc a conflictes d’interessos, circumstància que ha de garantir el responsable del tractament.
• El DPD actua com a assessor i supervisor intern, de manera que no pot ser-ho algú que tingui altres funcions en les quals pugui decidir sobre l’existència de tractaments de dades o sobre com es tracten les dades.
• Per la seva part, el responsable del sistema intern d’informació haurà de desenvolupar les seves funcions de forma independent i autònoma respecte de la resta dels òrgans de l’entitat i respon del correcte funcionament del sistema (art. 8.4 i 9.1 de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció); és a dir, pot tenir accés a les dades personals contingudes en el sistema.
• També s’estableix que tant el responsable del sistema com el DPD poden tenir accés a les dades del Sistema Intern d’Informació (art. 32.1 de la Llei 2/2023); és a dir, s’entén que són dues figures diferents.
• Per tant, es conclou que si una mateixa persona té diferents interessos es pot donar lloc a conflictes d’interès, circumstància que cal evitar perquè puguin realitzar les seves funcions amb les garanties degudes.

Finalment, l’AEPD va resoldre en data 2 de febrer de 2025 la consulta prèvia de la Diputació, concloent que no és possible assignar les funcions de responsable del sistema intern d’informació al DPD. Davant d’això, la Diputació va procedir a substituir el responsable del sistema intern d’informació.

En definitiva, davant el risc de possibles conflictes d’interès, les funcions de DPD i de responsable del sistema intern d’informació no haurien de recaure en una mateixa persona.

Tenir un pla d’igualtat degudament registrat no és només una obligació legal de les empreses de més de 50 treballadors des de l’any 2020, sinó també una necessitat absoluta, ja que no tenir-lo pot tenir conseqüències imprevistes i desproporcionades: multes per incompliment d’obligació legal (que poden arribar a més de 200.000 euros en casos greus), risc reputacional, limitacions en licitacions i concursos i pèrdua de subvencions i ajudes. Com a mostra de les conseqüències que pot tenir la manca d’un pla d’igualtat hi ha el contracte de ciberseguretat de l’Estat, que no s’ha pogut concedir ni a Telefònica ni a MasOrange per culpa que un dels seus socis no tenia pla d’igualtat registrat.

La necessitat absoluta del pla d’igualtat contrasta, tanmateix amb la dificultat que suposa per a moltes empreses emprendre un projecte d’aquest tipus, tal com està previst legalment. No ens podem enganyar i pensar que es tracta d’una simple formalitat. El pla d’igualtat, tal com preveu la legislació, requereix una negociació amb la representació legal dels treballadors que tingui l’empresa (generalment, el Comitè d’Empresa) o amb els sindicats més representatius, si l’empresa no té representants dels treballadors, i implica l’elaboració d’una anàlisi exhaustiva sobre la situació retributiva de l’empresa i la valoració dels llocs de treball, a més d’una diagnosi estructurada sobre diferents aspectes relatius a la igualtat. D’altra banda, el pla negociat ha de contenir mesures detallades amb calendari d’execució, destinació de recursos, persones assignades i previsió de valoració. Sovint es tracta d’un projecte que es pot allargar durant mesos i que, en dependre d’una negociació, pot plantejar problemes seriosos a l’hora de ser aprovat. A tot això hem d’afegir el fet que el registre examina amb molta atenció que s’hagin satisfet totes les formalitats previstes per la llei i, en cas que no sigui així, denega el registre, deixant l’empresa en situació d’incompliment. Per tant, és molt important que tot el projecte tingui en compte aquells aspectes formals més fonamentals.

La normativa vigent sobre plans d’igualtat, en definitiva, planteja un repte important per a totes les empreses, ja que suposa un esforç significatiu en temps, recursos i dedicació, però és un esforç que manifestament no pot deixar de fer-se, tenint en compte que l’incompliment té conseqüències encara més costoses.

La gestió dels projectes finançats a través del Mecanisme de Recuperació i Resiliència (MRR) continua essent un repte rellevant per a les administracions públiques, que han d’operar en un entorn caracteritzat per una elevada exigència normativa i una cultura de control orientada al resultat. Aquest model de gestió obliga a integrar en el dia a dia una metodologia basada en la traçabilitat, la transparència i l’evidència documental, amb procediments molt concrets que garanteixen que els recursos europeus s’utilitzen de manera eficient i conforme als criteris del Pla de Recuperació, Transformació i Resiliència.

Una de les peces centrals d’aquest sistema és el seguiment de fites i objectius, que ha de quedar registrat i validat mitjançant la plataforma CoFFEE, l’eina oficial que permet monitorar l’execució i assegurar que cada actuació avança en la direcció acordada. Aquesta digitalització del seguiment ha suposat un canvi important en la cultura administrativa, ja que requereix introduir dades de forma sistemàtica, acreditar evidències i mantenir actualitzat l’estat de cada projecte. La vinculació entre finançament i compliment objectivable fa que CoFFEE sigui un mecanisme de control essencial i, al mateix temps, un instrument que reforça la planificació estratègica interna.

A aquesta dimensió de seguiment se li suma l’exigència de complir amb els criteris de contribució verda i digital, que obliguen a justificar de manera precisa com cada actuació participa en les transicions ecològica i tecnològica. Aquest etiquetatge, aparentment formal, determina una part substancial de l’elegibilitat de les despeses i condiciona la redacció inicial dels projectes. Les modificacions que puguin alterar aquest impacte han de revisar-se amb cura per evitar desajustos amb els compromisos adquirits.

Un altre dels requisits que vertebra el sistema és el compliment del principi de no causar perjudicis significatius al medi ambient, conegut com a DNSH. Aquesta condició, que s’aplica a tots els projectes finançats amb fons MRR, obliga a incorporar avaluacions ambientals, declaracions responsables i documentació justificativa que permeti acreditar que les actuacions no comprometen els objectius de sostenibilitat fixats per la Unió Europea. Aquest enfocament acompanya les entitats executores durant tot el cicle de vida del projecte i s’estén igualment a contractistes i subcontractistes.

La integritat en la gestió es reforça mitjançant l’aplicació del Pla de mesures antifrau i les declaracions d’absència de conflicte d’interès, que s’han de verificar a través de la plataforma MINERVA, una eina que analitza possibles vincles entre responsables públics i operadors econòmics. MINERVA ha esdevingut un filtre imprescindible per assegurar que no existeixen conflictes que puguin comprometre la imparcialitat del procediment i, alhora, representa un instrument preventiu que contribueix a reforçar la confiança en la gestió dels recursos públics.

Aquest conjunt de requisits es completa amb obligacions estrictes de traçabilitat financera, que inclouen la identificació dels perceptors finals, la comprovació dels titulars reals i la prevenció del doble finançament.

En definitiva, la gestió dels fons MRR requereix una planificació acurada, una documentació exhaustiva i una cultura organitzativa orientada al resultat i la transparència. És un model exigent però, alhora, una oportunitat perquè les administracions reforcin la seva capacitat de gestió i consolidin pràctiques que poden perdurar més enllà del marc temporal del Pla de Recuperació.

El Decret 40/2025 regula el RELIC i el RPC amb novetats per garantir més transparència i eficiència en la contractació pública.

El Diari Oficial de la Generalitat de Catalunya (DOGC) ha publicat el Decret 40/2025, de l’11 de març, que regula el Registre d’empreses licitadores i classificades de Catalunya (RELIC) i el Registre públic de contractes de Catalunya (RPC). Aquesta normativa introdueix diverses millores per optimitzar la qualitat de la informació, afavorir la transparència i avançar en la contractació pública electrònica.

Entre les principals novetats, destaca la inscripció d’ofici al RELIC de la documentació presentada en les sol·licituds de classificació empresarial, així com l’obligació dels òrgans de contractació d’informar sobre canvis en els requisits per contractar o sobre la detecció d’informació falsa. A més, s’estableixen sancions per manca d’actualització de les dades, amb suspensions de cinc anys i cancel·lacions de deu anys.

Pel que fa al RPC, tots els òrgans de contractació de Catalunya hauran de comunicar-hi les dades bàsiques dels contractes sense necessitat de conveni previ. En el cas de l’Administració de la Generalitat i el seu sector públic, també serà obligatori informar sobre el compliment i l’avaluació dels contractes. A més, s’agilitza la comunicació amb la Sindicatura de Comptes i el Registre de contractes estatal a través de la Secretaria Tècnica de la Junta Consultiva de Contractació Pública de Catalunya.

El decret també garanteix l’accés públic a determinada informació durant els últims cinc anys sense necessitat d’identificació prèvia i preveu la interoperabilitat entre el Sistema corporatiu de contractació pública electrònica de Catalunya i el Directori d’empreses de la Llei 18/2020.

Aquesta nova regulació entrarà en vigor el 2 d’abril de 2025 i es completarà amb la posada en marxa d’una nova eina informàtica per a la gestió del RELIC.

A banda de grans empreses cotitzades, és important tenir en compte que també s’apliquen a moltes altres entitats les obligacions previstes a la Llei Orgànica 2/2024, d’1 d’agost, de representació paritària i presència equilibrada de dones i homes (Llei de Paritat). Aquesta llei s’aprova per transposició de la Directiva (UE) 2022/2381 del Parlament Europeu i del Consell de 23 de novembre de 2022 relativa a un millor equilibri de gènere entre els administradors de les societats cotitzades i a mesures connexes. De forma particular, aquesta llei conté obligacions de paritat que han de complir també sindicats, associacions empresarials, fundacions, organitzacions del Tercer Sector d’acció social i entitats de l’economia social a partir del 30/06/2028.

No tots els tipus d’entitats indicats a la llei estan obligats a tenir representacions paritàries en els seus consells d’administració. En alguns casos es requereix que l’entitat tingui un mínim de treballadors (125, en el cas de les fundacions i entitats del tercer sector, per exemple) i un mínim de volum de negoci o nivell pressupostari (20 milions de pressupost en el cas de fundacions i entitats del tercer sector, seguint l’exemple anterior).

Les obligacions previstes en la Llei de Paritat deixen un marge temporal important per al seu compliment, amb terminis previstos de compliment del 33% del gènere menys representat per al 2026 o del 40% del gènere menys representat per a 2029, per exemple. Això no vol dir evidentment que les entitats obligades no hagin de posar-se ja a adoptar les accions adequades per a complir els percentatges de representació obligats. D’altra banda, és important tenir en compte que, en molts casos, està previst que l’entitat pugui justificar documentalment el seu incompliment dels mínims de representació aplicables per motius diversos. En qualsevol cas, la manca de compliment de les representacions o la manca de justificació de l’incompliment pot donar lloc a sancions.

Per tot plegat, és important que les diferents organitzacions valorin si la Llei de Paritat les afecta i, si és el cas, en quina mesura.

Les dades s’han convertit en un actiu empresarial clau per a qualsevol empresa, aquesta afirmació és una realitat indiscutible. Les organitzacions disposen d’una voluminosa quantitat de dades personals d’usuaris, de clients, de proveïdors, de treballadors, i un gran etcètera, que un cop processades i explotades generen un gran valor a l’empresa, però perquè aquestes dades tinguin valor real cal assegurar la qualitat de les dades, així com la seva seguretat i privacitat. Cal ser conscients que l’ús inadequat de les dades pot ocasionar greus danys financers i reputacionals a l’Organització. Per tal de promoure una gestió efectiva és important disposar d’un procés de governança de les dades o data governance. (more…)