Com sabeu, la normativa de protecció de dades personals imposa moltes obligacions en relació amb els tractaments d’aquestes dades. Aquestes obligacions van adreçades principalment als responsables i encarregats del tractament, però també afecta qualsevol persona empleada pública que tracta dades personals. En aquest sentit, l’article 5.1 de la Llei orgànica 3/2018, de protecció de dades personals i garantia de drets digitals (LOPDGDD), determina que totes les persones que intervinguin en qualsevol fase del tractament estan subjectes al deure de confidencialitat al qual es refereix l’article 5.1.f del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades (RGPD).
En el cas del personal de les entitats del sector públic, aquest deure de confidencialitat es recull també en altres normes, com és el cas de l’article 52 del Reial decret legislatiu 5/2015, pel qual s’aprova el text refós de la Llei de l’Estatut bàsic de l’empleat públic (EBEP), en què sota la rúbrica de “Deures dels empleats públics. Codi de conducta”, imposa el deure d’actuar de conformitat amb diversos principis, entre els quals s’inclou el de confidencialitat. Aquest deure també és imposat per l’article 13 de la Llei 39/2015, de procediment administratiu comú de les administracions públiques (LPAC), que en el catàleg de drets de les persones quan es relacionen amb les administracions públiques inclou, específicament en la lletra h, el dret a la protecció de dades personals i, en particular, a la seguretat i la confidencialitat de les dades, dret que òbviament es constitueix en deure per als empleats i càrrecs públics que tracten aquestes dades.
En aquest apunt faig una primera aproximació al règim sancionador aplicable a les entitats del sector públic, que complementaré amb un segon apunt, en què em referiré també a algunes qüestions procedimentals.
El RGPD va tenir molt present que, per assegurar el compliment dels deures que imposava en el seu articulat i per garantir al màxim la protecció efectiva dels drets i llibertats de les persones físiques pel que fa als tractaments de les seves dades personals, calia reforçar els poders d’investigació i sanció de les autoritats de protecció de dades, poders als quals reconeix una funció preventiva i dissuasiva. Així ho explicita el RGPD, quan afirma que qualsevol infracció del RGPD “ha de ser castigada amb sancions, incloent-hi multes administratives, amb caràcter addicional a mesures imposades per l’autoritat de control en virtut del present Reglament, o en substitució d’aquestes” (considerant 148). El RGPD es refereix també a la divergència prèvia existent en les regulacions del règim sancionador que havien aprovat els estats membres, i expressa que un dels seus objectius principals és l’harmonització, a més de dotar de capacitat o potestat correctiva a totes les autoritats de control de manera equivalent.
En efecte, l’aplicació del règim sancionador en exercici de la potestat correctiva correspon a les autoritats de control, que formen part del contingut essencial del dret fonamental a la protecció de dades, atès que la seva existència és la que garanteix l’efectivitat del dret a reclamar davant les autoritats de control. Com segurament ja sabeu, en cas d’eventuals vulneracions comeses per entitats del sector públic català, la competència recau en l’Autoritat Catalana de Protecció de Dades (APDCAT).
Tornant a l’harmonització del règim sancionador per la qual aposta el RGPD, val a dir que no és absoluta, perquè, precisament per al cas de vulneracions comeses per les entitats del sector públic, l’article 83.7 del RGPD deixa en mans de cada Estat la decisió d’imposar o no multes administratives. A aquest respecte, la decisió de l’Estat espanyol ha estat mantenir el sistema anterior, en virtut del qual no és procedent la imposició de multes a les entitats públiques. En efecte, l'article 77 de la LOPDGDD disposa que si la infracció la comet alguna entitat del sector públic, el procediment sancionador corresponent ha de finalitzar amb una resolució que sancioni l'entitat responsable amb una amonestació, i el requeriment de les mesures que correspongui adoptar per aconseguir el cessament de la conducta o perquè es corregeixin els efectes de la infracció comesa.
Addicionalment, l'article 77.3 de la LOPDGDD es refereix a dues mesures més que es poden incloure en la resolució sancionadora. La primera mesura seria la proposició de l'inici d'actuacions disciplinàries, si en la comissió de la infracció va intervenir una persona empleada pública i hi ha indicis suficients per proposar aquestes actuacions. Aquesta mesura disciplinària es podria aplicar en el cas de vulneració del deure de confidencialitat al qual m’he referit al principi, si per exemple la divulgació indeguda no obeïa a una deficiència en les mesures de seguretat implementades pel responsable del tractament, sinó que era clarament imputable a una persona empleada de l’organització, com ara per haver filtrat conscientment a persones no autoritzades dades personals de salut, econòmiques, etc. En aquest cas, l’APDCAT tramitaria el procediment sancionador en què seria procedent l’amonestació a l’entitat responsable del tractament, a la qual, al seu torn, pertocaria d'iniciar les accions disciplinàries proposades eventualment per l’APDCAT.
La segona mesura que disposa l’article 77.3 de la LOPDGDD es refereix al supòsit que la infracció és imputable a autoritats i directius, si s'acredita l'existència d'informes tècnics o recomanacions per al tractament de dades que no s'haguessin atès degudament. Per exemple, aquesta situació podria donar-se si la persona delegada de protecció de dades de l’organització havia advertit la persona amb la condició d’autoritat o directiu sobre la vulneració en què incorria un determinat tractament, sense que la dita persona hagués reaccionat adequadament davant de l'avís. En aquest cas, en la resolució per la qual l’APDCAT declararia la comissió de la infracció per part de l’entitat, s’hauria d’incloure una amonestació específica amb la denominació del càrrec responsable, i se n’ordenaria la publicació en el Diari Oficial de la Generalitat de Catalunya (DOGC).
Amb la mesura de l'amonestació pública en què s’identifica l’autoritat o directiu que hauria fet cas omís a un avís previ intern sobre la possible vulneració, el legislador de la LOPDGDD ha volgut introduir un element amb efectes dissuasius adreçat específicament a les persones que dirigeixen l’organització, potser per compensar la decisió del legislador mateix de no imposar multes a les entitats del sector públic. També hauria de tenir aquest efecte dissuasiu la circumstància de la publicitat de les resolucions dictades per l’APDCAT en les quals es declara la comissió d’una infracció i en les quals s’identifica la identitat responsable (art. 17.2 de la Llei 32/2010), a banda de la comunicació de la resolució al Síndic de Greuges (art. 77.5 de la LOPDGDD).