El tractament de les dades personals al sector públic

• 6.1 Règim d’infraccions i sancions
  
• 6.2 Dret a reclamar i a denunciar davant l’autoritat de control
  
• 6.3 Dret a la tutela judicial efectiva
  
• 6.4 Dret a indemnització
  

El RGPD aposta clarament per reforçar els poders d’investigació i sanció de les autoritats de control, als quals reconeix una funció preventiva i dissuasiva. Ho fa de manera obligatòria perquè imposa el deure que totes les autoritats de control dels estats membres tinguin poders d’investigació i poders correctius, sens perjudici que disposin d’altres funcions consultives, de promoció i de sensibilització del dret.

Un dels objectius principals del RGPD és harmonitzar el règim sancionador als estats de la Unió i evitar la divergència de règims actual pel que fa a la potestat d’imposar multes. Pretén evitar la manca de poders correctius i augmentar la capacitat coercitiva dels estats que no en tenen, que no és el nostre cas, on ja disposem d’una gran capacitat correctiva.

Deixant de banda els poders correctius, que tractarem més endavant, pel que fa a les funcions d’investigació cal dir que el RGPD atorga a les autoritats de control diversos poders d’investigació perquè puguin portar a terme les seves funcions. D’acord amb l’article 58.1, aquests poders són:

• Requerir informació als responsables i als encarregats de tractament, i als seus representants, si escau.
• Portar a terme investigacions en forma d’auditories.
• Revisar les certificacions expedides.
• Notificar al responsable o a l’encarregat de tractament les presumptes infraccions.
• Accedir a les dades personals, a la informació, als locals, als equips i als mitjans de tractament de dades del responsable i de l’encarregat que siguin necessaris per poder exercir les seves funcions.

L'article 58.4 del RGPD disposa que l'exercici dels poders que l'article 58 atribueix a les autoritats de control, i en particular els d'investigació, està subjecte a les garanties adequades, incloent-hi la tutela judicial efectiva i el respecte de les garanties processals, que estableix el dret de la Unió i dels estats membres, de conformitat amb la Carta.

En el cas de l'APDCAT, en l'exercici de les potestats d’investigació i inspecció que li atribueix el RGPD s'ha d’adequar a les disposicions que estableix a aquest respecte la Llei 39/2015, d’1 d’octubre, del procediment administratiu comú de les administracions públiques, i en particular l'article 55. També cal tenir en compte la Llei 26/2010, de 3 d’agost, de règim jurídic i de procediment de les administracions públiques de Catalunya, sobretot el títol VII, dedicat a les “Potestats d’inspecció i control”. Així mateix, cal tenir en compte el que disposa la legislació sectorial de protecció de dades –al marge del RGPD-, és a dir, la Llei 32/2010. La nova LOPDGDD també es refereix a les potestats d'investigació a la secció 2a del capítol I del títol VII, si bé aquesta regulació es refereix a l'AEPD, i no vincula per tant l'APDCAT.

En relació amb l’exercici de la potestat d’inspecció, cal destacar també que l'article 18 de la Llei 39/2015 imposa el deure general de col·laboració de tota persona respecte dels òrgans d’inspecció, la qual cosa l’obliga a facilitar la informació que se li requereixi, tot i que aquesta contingui dades personals, tret que la revelació de la informació que li sol·licita l’Administració atempti contra l’honor, la intimitat personal o familiar o suposi la comunicació de dades confidencials de tercers de les quals tingui coneixement per prestar serveis professionals de diagnòstic, assessorament o defensa.

Els articles 83.4 i 83.5 del RGPD estableixen un catàleg d’infraccions i sancions molt imprecís, que no sembla ajustar-se als requeriments del principi de tipicitat recollit en l’article 27 de la Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic, ni a les exigències del TC sobre aquest principi que regeix en matèria sancionadora, en virtut del qual s’exigeix que les conductes constitutives d’infracció han de tenir una descripció clara i precisa, i que les sancions, com a reacció a les conductes infractores, han d'estar acotades (lleus, greus i molt greus) perquè els responsables i els encarregats de tractament puguin conèixer quines són les conductes que poden merèixer una sanció, així com la multa que se’ls pot imposar, i evitar crear situacions que provoquin inseguretat jurídica.

El RGPD utilitza un sistema de descripció genèrica de les conductes que es consideren infracció i defineix els tipus infractors a través de la remissió als articles del RGPD que unes conductes determinades puguin vulnerar.

Així, l’article 83.4 estableix una primera llista de conductes que infringeixin les disposicions següents del RGPD:

1. Les obligacions del responsable i de l'encarregat, d’acord amb els articles 8, 11, 25-39, 42 i 43.
2. Les obligacions dels organismes de certificació, d’acord amb els articles 42 i 43.
3. Les obligacions de l'organisme de supervisió, d’acord amb l'article 41, apartat 4.

L’article 83.5 conté una segona llista de conductes que infringeixen les disposicions següents del RGPD:

1. Els principis bàsics per al tractament, incloent-hi les condicions per al consentiment, d’acord amb els articles 5, 6, 7 i 9.
2. Els drets de les persones interessades, d’acord amb els articles 12-22.
3. Les transferències de dades personals a un destinatari en un país tercer o a una organització internacional, d’acord amb els articles 44-49.
4. Qualsevol obligació en virtut del que disposa el dret dels estats membres que s'adopti de conformitat amb el capítol IX.
5. L'incompliment d'una resolució o d'una limitació temporal o definitiva del tractament o la suspensió dels fluxos de dades per part de l'autoritat de control, de conformitat amb l’article 58, apartat 2, o no facilitar-li l’accés, en incompliment de l'article 58, apartat 1.

Sobre la base d'aquest marc ampli del RGPD en la configuració de les infraccions, la nova LOPDGDD fa una descripció molt més detallada de les conductes constitutives d'infracció, i les distingeix en molt greus, greus i lleus en els articles 72, 73 i 74, i pren en consideració la diferenciació que el RGPD estableix quan fixa la quantia màxima de les sancions.

Segons s'exposa en el preàmbul de la LOPDGDD, aquesta categorització de les infraccions en lleus, greus i molt greus s’introdueix només a l’efecte de determinar els terminis de prescripció. Aquests terminis de prescripció de la infracció s'estableixen al principi de cadascun dels articles que contenen les conductes típiques, i es fixen en tres anys (molt greus), dos anys (greus) i un any (lleus). En relació amb els terminis de prescripció de les infraccions, l'article 75 estableix la interrupció del còmput amb motiu de la iniciació del procediment sancionador corresponent, i es reinicia el còmput del termini si es produeix una paralització durant més de sis mesos per causes no imputables al presumpte infractor.

També s'indica en el preàmbul de la LOPDGDD que la descripció de les conductes típiques efectuada en els articles 72-74 té com a únic objecte l’enumeració de manera exemplificadora d’alguns dels actes sancionables que s’han d’entendre inclosos dins dels tipus generals que estableix el RGPD. Així doncs, la tipificació de les infraccions s'ha d'entendre que s'ha efectuat en el RGPD, de manera que la LOPDGDD té només una funció de complement.

A diferència del que feia l'antiga LOPD, el RGPD assenyala com a subjectes responsables als quals es pot aplicar el règim sancionador establert en el RGPD, a més del responsable del tractament i de l’encarregat de tractament, els organismes de certificació i els organismes acreditats de supervisió de codis de conducta, als quals també es pot exigir responsabilitat per la comissió de determinades infraccions.

Sancions

Les autoritats de control han de garantir que la imposició de les multes administratives establertes en el RGPD per a les infraccions siguin, en cada cas individual, efectives, proporcionades i dissuasives (art. 83.1).

Les multes s’han d’imposar en funció de les circumstàncies del cas concret i de manera addicional o substitutiva d’altres mesures correctives. Però la comissió d’una infracció no ha d’implicar necessàriament la imposició d’una multa, perquè el RGPD estableix que es pot substituir la multa per altres mesures correctives. Per tant, és l’autoritat de control qui ha de decidir, sobre la base de les circumstàncies del cas, si correspon imposar una multa o un altre tipus de mesura.

A l’hora de decidir sobre la imposició de la multa i la seva quantia, s’han de tenir en compte les circumstàncies següents (art. 83.2):

1. La naturalesa, la gravetat i la durada de la infracció, segons la naturalesa, l’abast o el propòsit de l'operació de tractament, així com el nombre de persones interessades afectades i el nivell dels danys i perjudicis que hagin sofert.
2. La intencionalitat o la negligència en la infracció.
3. Qualsevol mesura presa pel responsable o l’encarregat del tractament per pal·liar els danys i perjudicis que han sofert les persones interessades.
4. El grau de responsabilitat del responsable o de l'encarregat del tractament, tenint en compte les mesures tècniques o organitzatives que hagin aplicat.
5. Qualsevol infracció anterior que hagi comès el responsable o l'encarregat del tractament.
6. El grau de cooperació amb l'autoritat de control, amb la finalitat de posar remei a la infracció i mitigar-ne els possibles efectes adversos.
7. Les categories de les dades de caràcter personal afectades per la infracció.
8. La manera en què l'autoritat de control s’ha assabentat de la infracció, en particular si el responsable o l'encarregat ha notificat la infracció i, si és així, en quina mesura ho ha fet.
9. El compliment de les mesures correctives ordenades per l’autoritat de control, en cas que s’hagin ordenat prèviament contra el responsable o l'encarregat en relació amb el mateix assumpte.
10. L'adhesió a codis de conducta o a mecanismes de certificació aprovats.
11. Qualsevol altre factor agreujant o atenuant aplicable a les circumstàncies del cas, com els beneficis financers que s’han obtingut o les pèrdues que s’han evitat, directament o indirectament, a través de la infracció.

Entre tots aquests criteris de graduació, difícils de ponderar en cada cas, convé destacar el descrit a l’apartat c, que premia, a l'efecte d’atenuació, la responsabilitat proactiva del responsable o de l’encarregat, és a dir, la voluntat d’adoptar mesures per pal·liar els possibles efectes de la infracció i poder-ho acreditar, i el recollit a l’apartat h, sobre que cal valorar positivament, també a l'efecte d’atenuar la sanció que se l’imposi, el fet que l’autoritat hagi tingut coneixement de la infracció perquè li ha notificat el mateix presumpte infractor.

La llista de circumstàncies que l'article 83.2 del RGPD enumera a l'efecte de graduació de la multa, s'ha de complementar amb el que disposa l'article 76.2 de la LOPDGDD. En aquest precepte s'introdueixen més criteris a tenir en compte, opció establerta en l'article 83.2.k del RGPD. Els criteris de graduació addicionals afegits per la LOPDGDD són els següents:

1. El caràcter continuat de la infracció.
2. La vinculació de l’activitat de l’infractor amb la pràctica de tractaments de dades personals.
3. Els beneficis obtinguts com a conseqüència de la comissió de la infracció.
4. La possibilitat que la conducta de la persona afectada hagi pogut induir a cometre la infracció.
5. L’existència d’un procés de fusió per absorció posterior a la comissió de la infracció, que no es pot imputar a l’entitat absorbent.
6. L’afectació dels drets dels menors.
7. Disposar, quan no sigui obligatori, d’un delegat de protecció de dades.
8. La submissió per part del responsable o l'encarregat, amb caràcter voluntari, a mecanismes de resolució alternativa de conflictes, en els supòsits en què hi hagi controvèrsies entre aquells i qualsevol persona interessada.

El RGPD disposa un sostre en la quantia de la multa en cas de concurrència de diverses infraccions i determina que si un responsable o un encarregat de tractament incompleix en una mateixa operació de tractament o en operacions vinculades diverses disposicions del RGPD, la quantia total de la multa no pot superar la que li correspondria com a màxim per a la infracció més greu de les que ha comès (art. 83.3).

Les infraccions establertes en l'article 83.4 del RGPD se sancionen, tenint en compte els criteris de graduació esmentats, amb multes de 10 M€ com a màxim o, en el cas d’una empresa, d’una quantia equivalent al 2%, com a màxim, del volum de negoci total anual global de l'exercici financer anterior, i entre les dues opcions s’ha d’optar per la de més quantia.

Les infraccions establertes en l'article 83.5 del RGPD se sancionen, tenint en compte els criteris de graduació, amb multes de 20 M€ com a màxim o, en el cas d’una empresa, d'una quantia equivalent al 4%, com a màxim, del volum de negoci total anual global de l'exercici financer anterior, i entre les dues opcions s’ha d’optar per la de més quantia. Aquestes mateixes quanties s'han establert en l'article 83.6 del RGPD per al cas d'incompliment de resolucions de les autoritats de control en les quals exerceixen els seus poders correctius, com seria, per exemple, la desatenció d'un requeriment de cessament d'un tractament de dades determinat.

El RGPD estableix, doncs, un sistema de sancions molt obert, amb una forquilla molt àmplia en no existir quanties mínimes, sinó només unes quanties màximes molt elevades, amb les quals es vol evitar que a l'eventual responsable de la infracció li surti més a compte infringir i pagar la multa que complir el que disposa aquesta norma, en consonància amb el que disposa expressament l’article 29.2 de la Llei 40/2015.

Per altra banda, el RGPD deixa obert el tema de la imposició de multes econòmiques a les entitats públiques i trasllada als estats membres la decisió d’establir normes relatives a la imposició de multes a autoritats i organismes públics que estiguin establerts en aquell estat membre, i en quina mesura (art. 83.7). A aquest respecte, la LOPDGDD ha mantingut l'esquema de la LOPD anterior, en virtut del qual no s’imposa multes a les entitats que formen part del sector públic. En efecte, l'article 77 de la LOPDGDD disposa que si la infracció la comet una de les entitats enumerades (administracions públiques i altres entitats del sector públic), s'ha de dictar una resolució que declari la infracció i estableixi, si escau, les mesures necessàries perquè cessi la conducta o es corregeixin els efectes de la infracció que s’hagi comès, llevat de la mesura prevista a l'article 58.2.i RGPD (multa econòmica).

A més a més, l'article 77.3 de la LOPDGDD es refereix també a dues mesures addicionals. D'una banda, a la possibilitat que l'autoritat proposi la iniciació d'actuacions disciplinàries, si en la comissió de la infracció hi ha intervingut una persona empleada pública i hi ha indicis suficients per proposar aquestes actuacions. D'altra banda, si en la comissió de la infracció hi intervenen autoritats i directius, i s’acrediti l’existència d’informes tècnics o recomanacions per al tractament que no s’hagin atès degudament, en la resolució sancionadora s'ha d'incloure una amonestació específica amb la denominació del càrrec responsable i se n’ha d’ordenar la publicació al butlletí corresponent (el DOGC, en el cas de l'APDCAT).

En tot cas, la intervenció de l’autoritat de control en l’exercici de la potestat sancionadora ha d’estar subjecta a les garanties processals adequades, la qual cosa significa que s’han de respectar els principis i les garanties del procediment administratiu sancionador.

L’article 84 del RGPD estableix la possibilitat que els estats membres puguin determinar altres mecanismes sancionadors, a banda de les multes, i els habilita per establir normativament altres sancions que siguin aplicables a les infraccions establertes en l'RGPD, especialment a les que no se sancionen amb multes administratives. Aquestes normes s’havien de notificar a la CE, com a màxim el 25 de maig de 2018 i, en cas de produir-se modificacions posteriors, aquestes també s’han de notificar a la CE, amb la màxima celeritat.

Altres mesures correctives

L'RGPD preveu també la possibilitat que, de manera addicional o alternativa a la sanció econòmica, es pugui aplicar qualsevol altra de les mesures correctives previstes a l'article 58.2 del mateix Reglament, inclosa la possibilitat de fer una amonestació ("apercibimiento" en la versió castellana). És a dir, la comissió d'una infracció no ha de comportar necessàriament una multa econòmica. El considerant 148 del RGPD disposa que es pot aplicar l'amonestació en casos d’infraccions lleus o si, quan el responsable o l’encarregat sigui una persona física, la multa constitueixi una càrrega desproporcionada. Per a la determinació de les mesures escaients en cada cas, cal tenir en compte les circumstàncies previstes a l'article 83.2 RGPD.

A més de la multa econòmica i l'amonestació, l'article 58.2 preveu les mesures següents:

• Adreçar al responsable o a l’encarregat del tractament una advertència quan les operacions de tractament previstes puguin infringir el que disposa el RGPD. Es pot emprar, per exemple, d'acord amb l’article 36.2, per als casos en què es plantegi una consulta prèvia en casos en què no s'hagi mitigat suficientment el risc.
• Ordenar al responsable o a l’encarregat del tractament que atengui les sol·licituds d'exercici dels drets de la persona interessada, d’acord amb el que disposa el RGPD, quan els drets no s’atenen degudament.
• Ordenar al responsable o a l’encarregat del tractament que les operacions de tractament s'adeqüin al que disposa el RGPD, si escau, d'una determinada manera i dins d'un termini especificat.
• Ordenar al responsable del tractament que comuniqui a la persona interessada les violacions de la seguretat de les dades personals.
• Imposar una limitació temporal o definitiva del tractament, incloent-hi la prohibició.
• Ordenar la rectificació o la supressió de dades personals o la limitació del tractament i la notificació d’aquestes mesures als destinataris als quals s'han comunicat dades personals, d’acord amb el que disposa el RGPD.
• Retirar una certificació o ordenar a l'organisme de certificació que retiri una certificació emesa o ordenar a l'organisme de certificació que no s'emeti si no es compleixen els requisits per a la certificació o si es deixen de complir.
• Ordenar la suspensió dels fluxos de dades cap a un destinatari situat en un país tercer o cap a una organització internacional.

↑ Índex de la unitat

Abans de tot, un aclariment. Fins ara, amb l'anterior LOPD, el RLOPD i la LACPD, s’ha utilitzat el terme "reclamació" per referir-se a l’acció que correspon iniciar davant l’autoritat de control exclusivament en els casos de desatenció dels que es denominaven "drets ARCO" (accés, rectificació, cancel·lació i oposició), i el terme "denúncia", per a l’acció reservada a posar en coneixement de l’autoritat de control qualsevol fet que pugui ser constitutiu d’infracció de la normativa de protecció de dades, excepte la desatenció dels drets esmentats que, com s’ha dit abans, s’havia de vehicular a través de la reclamació. La reclamació de tutela de drets només la podia interposar la persona interessada, mentre que la denúncia és la comunicació d’una presumpta infracció a l’òrgan competent, que pot fer qualsevol persona, sense necessitat que sigui l’afectada (art. 62.1 de la Llei 39/2015).

Una altra cosa és que el procediment a tramitar difereixi segons si la reclamació es presenta per la desatenció de sol·licituds d'exercici de drets de la persona interessada (que anteriorment donava lloc al procediment de tutela de drets), o per qualsevol altra vulneració del que disposa el RGPD (que podia donar lloc a la iniciació d'un procediment sancionador). A aquest respecte, l'article 64 de la nova LOPDGDD manté la distinció entre ambdós procediments, un que s'iniciaria a instància de part per al cas de no haver-se atès degudament els drets establerts en els articles 15-22 del RGPD, i un altre procediment de naturalesa sancionadora i que per tant s'iniciaria d'ofici per al cas de qualsevol altra infracció del que disposa el RGPD, sens perjudici de la possibilitat de tramitar prèviament actuacions d'investigació, a les quals es refereix l'article 67 de la LOPDGDD. Així mateix, l'article 65 de la LOPDGDD ha establert un tràmit d'admissió o inadmissió de les reclamacions, en funció de la concurrència de determinades circumstàncies. Però cal precisar en aquest punt que totes aquestes qüestions procedimentals establertes en la LOPDGDD no vinculen l'APDCAT.

En tot cas, el criteri de l'APDCAT és seguir aplicant també la dualitat dels dos procediments indicats per als dos supòsits diferenciats que s'han esmentat, cosa que es pot continuar fent a l'empara del que disposen els articles 16 i 21 de la Llei 32/2010. Això sens perjudici del que es pugui determinar en l'eventual adequació d'aquesta llei de l'APDCAT al RGPD.

Una determinació de la LOPDGDD que és aplicable també a l'APDCAT és la de l'article 37, en què es regula la intervenció del delegat de protecció de dades amb motiu d'una eventual vulneració del RGPD. D'una banda, l'article 37.1 de la LOPDGDD disposa que la persona interessada pugui adreçar-se al delegat de l'entitat contra la qual es planteja reclamar, abans d'acudir a l'autoritat de control corresponent. En tal cas, el delegat ha de comunicar a la persona afectada la decisió que s'hagi adoptat en el termini màxim de dos mesos des que es va rebre la reclamació. D'altra banda, quan la persona afectada presenti una reclamació davant l'autoritat de control, aquesta pot remetre la reclamació al delegat a fi que respongui en el termini d'un mes i, si no ho fa, l'autoritat ha de dur a terme les actuacions que corresponguin. Cal subratllar que en un cas i en l'altre, és a dir, tant la formulació de la reclamació prèvia davant el delegat com que l'autoritat derivi la reclamació al delegat, és només una possibilitat i no una obligació, de manera que dependrà de les circumstàncies del cas.

Dit això, com hem avançat abans, el RGPD regula el dret a reclamar en l’article 77 i el configura com a un dret de la persona interessada. Així, determina que la persona interessada té dret a presentar una reclamació davant l’autoritat de control en els casos en què s’hagi produït un tractament de les seves dades personals que vulneri el que estableix el RGPD.

En tot cas, del que determina l'article 77 del RGPD no podem concloure que el RGPD reservi la possibilitat de reclamar (en el sentit del que fins ara s’anomenava denunciar) només a la persona afectada, sinó que qualsevol persona pot posar en coneixement de l’autoritat de control la comissió d’uns fets que vulnerin el que disposa el RGPD, conforme al que disposa de manera general l’article 62.1 de la Llei 39/2015.

D’altra banda, el RGPD disposa que l’autoritat de control ha d’informar la persona reclamant sobre el curs i el resultat de la reclamació en el termini màxim de tres mesos, així com sobre la possibilitat d’accedir a la tutela judicial efectiva.

↑ Índex de la unitat

El RGPD reconeix en l'article 78 el dret de tota persona física o jurídica a impugnar davant els tribunals de justícia qualsevol decisió jurídicament vinculant que l'afecti i hagi estat emesa per una autoritat de control, sens perjudici que la pugui recórrer en via administrativa. Aquest dret el podrien exercir els responsables o encarregats de tractament o qualsevol altra entitat respecte dels quals l’autoritat ha dictat una resolució.

Així mateix, l’article 78 del RGPD reconeix específicament també aquest dret a la persona interessada, quan l’autoritat de control no doni curs a la seva reclamació o no l'informi en el termini de tres mesos sobre el curs o el resultat de la reclamació presentada, al marge que pugui fer ús dels recursos administratius corresponents. Així, en el cas de les resolucions dictades per l'APDCAT posen fi a la via administrativa, de manera que es poden impugnar potestativament amb recurs de reposició, abans d'acudir al recurs contenciós administratiu.

Si la decisió que es recorre ha estat precedida d’un dictamen o una decisió del Comitè Europeu de Protecció de Dades, dins el marc del mecanisme de coherència, l’autoritat de control ha de remetre al tribunal aquest dictamen o decisió.

L’article 79 del RGPD recull fins i tot la possibilitat que la persona interessada pugui recórrer directament davant els tribunals de justícia. Això és, que si considera que un responsable o un encarregat ha portat a terme un tractament de les seves dades vulnerant el que disposa el RGPD, pugui iniciar directament accions judicials contra aquest responsable o aquest encarregat.

En relació amb les accions que poden exercir les persones interessades, l’article 80 del RGPD disposa la possibilitat de conferir la seva representació -tant per presentar una reclamació o denúncia com per emprendre accions judicials- a determinades entitats, organitzacions o associacions sense ànim de lucre, legalment constituïdes, que actuïn en l’àmbit de la protecció dels drets i les llibertats de les persones interessades en matèria de protecció de dades personals (art. 80 del RGPD).

↑ Índex de la unitat

El dret a una indemnització no és una novetat, atès que ja l'establia l'anterior LOPD, però el RGPD l’amplia, alhora que reforça les garanties de la persona afectada.

Així, qualsevol persona que hagi sofert danys i perjudicis, materials o immaterials, com a conseqüència d’una infracció del RGPD (o de les normes que el desenvolupen), té dret a rebre del responsable o de l’encarregat del tractament una indemnització pels danys i perjudicis causats. És un dret de la persona interessada a ser indemnitzada i alhora un deure del responsable o de l’encarregat a indemnitzar.

No obstant això, el RGPD diferencia entre la responsabilitat que es pot exigir al responsable i a l’encarregat del tractament, de manera que atribueix al primer una responsabilitat directa i, al segon, una responsabilitat limitada a dos supòsits concrets. Així, determina que qualsevol responsable que participi en una operació de tractament que incompleixi el que disposa el RGPD respon dels danys i perjudicis que ocasioni aquesta operació. En canvi, l’encarregat de tractament només respon dels danys i perjudicis causats pel tractament quan no hagi complert les obligacions que el RGPD adreça específicament als encarregats o quan hagi actuat al marge o en contra de les instruccions legals que li ha donat el responsable.

Tot i així, el RGPD estableix una clàusula d’exempció de responsabilitat en els casos que el responsable o l’encarregat demostrin que de cap manera són responsables del fet que ha ocasionat els danys i perjudicis.

D’altra banda, a fi de garantir que la persona afectada serà realment indemnitzada, estableix un sistema de responsabilitat solidària en casos de responsabilitat concurrent, és a dir, en els supòsits en què la responsabilitat es pugui atribuir a més d’un. En aquest sentit, disposa que quan més d’un responsable o més d’un encarregat o bé un responsable i un encarregat hagin participat en la mateixa operació de tractament que ha ocasionat danys i perjudicis a la persona interessada, cadascun és considerat responsable de tots els danys i perjudicis en el seu conjunt per garantir la indemnització efectiva de la persona interessada. Així, la persona afectada pot exigir la indemnització total pel perjudici ocasionat a qualsevol d’aquests i el responsable o l'encarregat que l’hagi pagat té dret a reclamar als altres responsables o encarregats que hagin participat en l’operació la part de la indemnització corresponent a la seva part de responsabilitat (art. 82 del RGPD).

Portada | ↑ Índex de la unitat