En l’apunt anterior, feia una primera aproximació a les conseqüències de la vulneració del dret a la protecció de dades personals. En concret, em vaig referir a la intenció harmonitzadora del Reglament (UE) 679/2016 (Reglament general de protecció de dades -RGPD-) en la regulació de les infraccions i les sancions, que estableix unes multes molt elevades, si bé el RGPD deixava la porta oberta que els estats decidissin si era procedent imposar multes a les entitats del sector públic, opció que va ser rebutjada pel legislador espanyol en la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), amb l’establiment d’un règim sancionador específic en l’article 77.
En virtut d’aquest sistema, explicava en l'apunt que si la infracció la comet una administració pública catalana, l’Autoritat Catalana de Protecció de Dades (APDCAT) ha de dictar una resolució en què imposi una sanció d’amonestació, i en la qual pot ordenar adoptar les mesures correctores escaients. A més, en la resolució sancionadora es pot proposar la iniciació d’actuacions disciplinàries quan hi hagi prou indicis per fer-ho; d’altra banda, si la infracció és imputable a autoritats i directius que hagin desatès advertències prèvies sobre l’incompliment, en la resolució sancionadora de l’APDCAT s’ha d'incloure també una amonestació amb la denominació del càrrec responsable, amb publicitat al Diari Oficial de la Generalitat de Catalunya.
En aquest apunt, abordaré dues qüestions vinculades també al règim sancionador establert en el RGPD i la LOPDGDD. D’una banda, faré unes consideracions sobre la tipificació de les infraccions i, de l’altra, em referiré a alguns aspectes procedimentals a tenir en compte.
1. Tipificació de les infraccions
En relació amb la tipificació de les infraccions, cal partir del que disposa el RGPD, en ser la primera norma a tenir en compte en matèria de protecció de dades personals. El catàleg d’infraccions del RGPD, el trobem en els articles 83.4, 83.5 i 83.6, que contenen uns tipus descrits de manera genèrica i molt imprecisa.
La sistemàtica que segueix el RGPD en la tipificació de les infraccions genera dubtes sobre l'encaix amb els requeriments del principi de tipicitat recollit en l'article 27 de la Llei 40/2015, i amb les exigències de Tribunal Constitucional sobre aquest principi que regeix en matèria sancionadora, en virtut del qual s'imposa que les conductes constitutives d'infracció han de tenir una descripció clara i precisa (STC 129/2006, STC 162/2008 i STC 10/2015). Així mateix, l’article 27 de la Llei 40/2015 estableix que únicament poden ser considerades infraccions les vulneracions de l'ordenament que estan establertes com a tals per una llei, i afegeix que s'han de classificar en infraccions lleus, greus i molt greus, de manera que persegueix assegurar el respecte al que s'ha denominat "principi de taxativitat" (STC 166/2012).
A partir d'aquesta configuració general i imprecisa que fa el RGPD de les infraccions, la LOPDGDD ha dut a terme una descripció molt més detallada de les conductes constitutives d'infracció, amb la intenció d'ajustar-se a les exigències del principi de tipicitat abans indicades. Així, en els articles 72, 73 i 74 de la LOPDGDD s’ha efectuat la classificació que distingeix entre les infraccions molt greus, greus i lleus, la qual cosa s’ha fet prenent com a referència la diferenciació efectuada pel RGPD en els articles 83.4 i 83.5, si bé desglossa en tres classes d'infraccions les que el RGPD havia establert en un sistema de llista doble. A aquest respecte, en el preàmbul de la LOPDGDD s'explica que la descripció de les conductes típiques efectuades en els articles 72-74 té per finalitat l'enumeració de manera exemplificadora d'alguns dels actes sancionables que s'han d'entendre que estan inclosos dins dels tipus generals que estableix el RGPD.
En definitiva, la LOPDGDD ha volgut solucionar la falta de precisió del RGPD en la descripció de les conductes infractores, si bé cal remarcar que la tipificació de les infraccions s’ha d’entendre que la fa el RGPD, i que la LOPDGDD es limita a complementar-la mitjançant l’enumeració a mode d’exemple d’algunes de les conductes que estarien incloses en el catàleg d’infraccions del RGPD.
2. Aspectes procedimentals
Pel que fa al procediment a seguir quan s’observen indicis d’infracció, el RGPD disposa que l'exercici dels poders correctius —és a dir, la potestat sancionadora per part de l’APDCAT en cas d’infraccions comeses per entitats del sector públic català—, està subjecte a les garanties processals corresponents (considerant 129, i art. 58.4 i 83.8 del RGPD).
El títol VIII de la LOPDGDD (art. 63 i s.) conté algunes normes de procediment, adreçades únicament a l'Agència Espanyola de Protecció de Dades (AEPD), de manera que no s'apliquen als procediments administratius que tramita l’APDCAT. Així ho admet l'article 37.3 de la LOPDGDD —que sí que és aplicable també a l’APDCAT— en establir que "les comunitats autònomes han de regular el procediment corresponent davant les seves autoritats autonòmiques de protecció de dades".
Mentre l’APDCAT no disposi de la normativa procedimental adaptada al RGPD, en la tramitació de procediments per la possible vulneració de la legislació de protecció de dades, està sotmesa a la normativa anterior en tot allò que no contradigui el RGPD i la LOPDGDD, així com les normes generals de procediment administratiu, i als principis aplicables quan s'exerceix la potestat sancionadora (art. 25-31 de la Llei 40/2015) quan el procediment tingui aquesta naturalesa.
Una qüestió procedimental que constitueix una novetat a ressaltar, i que s’aplica als procediments tramitats per l’APDCAT, és la que disposa l’article 37 de la LOPDGDD. En l'apartat primer s'ha establert la possibilitat que, amb caràcter previ a la presentació d'una reclamació davant les autoritats de control, la persona afectada pugui acudir a la persona delegada de protecció de dades de l'entitat responsable, figura de designació obligatòria en totes les administracions públiques. En aquest cas, la persona delegada disposa d'un termini de dos mesos per comunicar a la persona interessada la decisió adoptada.
Si la decisió adoptada en aquesta mena de reclamació prèvia davant la persona delegada de protecció de dades no satisfà la persona interessada, o si aquesta renuncia a l’opció que brinda l’article 37.1 de la LOPDGDD i formula directament reclamació davant l'autoritat de control, l'article 37.2 de la LOPDGDD disposa que, en rebre l’autoritat de control la reclamació, "pot” remetre-la a la persona delegada de protecció de dades de l’entitat corresponent, a fi que aquesta respongui en el termini d'un mes. Afegeix el precepte que si transcorre aquest termini sense que s’hagi comunicat a l'autoritat la resposta donada a la reclamació, l'autoritat "ha de continuar el procediment" corresponent, la qual cosa s'ha d'entendre com que implicaria la iniciació del procediment administratiu pertinent, sens perjudici que prèviament l’autoritat obri un període d’informació prèvia, de conformitat amb el que disposa l’article 55 de la Llei 39/2015. Així doncs, aquest sistema que disposa l'article 37.2 de la LOPDGDD es configura com una oportunitat que es concedeix al responsable o l'encarregat de tractament, a fi que mitjançant la intervenció de la persona delegada de protecció de dades es pugui solucionar el conflicte de manera amistosa, sense necessitat d'acudir al procediment corresponent, que podria finalitzar amb l’adopció de mesures correctives.
Cal valorar positivament la introducció d’aquest mecanisme que promou una mena de solució amistosa de conflictes, i que resulta especialment adequat per a les reclamacions referides a la manca d’atenció de drets, ja que la persona delegada de protecció de dades, atesa la seva posició en l’organització, pot facilitar que el responsable o l'encarregat del tractament reaccioni de manera ràpida i adequada i atengui el dret a què es referia la reclamació, la qual cosa evitaria la tramitació del procediment corresponent per part de l’autoritat de control. Per contra, pot generar més dubtes la virtualitat del mecanisme si la reclamació o la denúncia davant l’autoritat de control es refereix a altres incompliments diferents de la manca d’atenció de drets, com serien la vulneració dels principis del tractament, de les mesures de seguretat, etc., que podrien donar lloc a l’obertura d’una informació prèvia, primer, i al consegüent procediment sancionador, després. En efecte, cal ressaltar en aquest punt el caràcter potestatiu del trasllat de la reclamació establert en l’article 37.2 de la LOPDGDD, la qual cosa atorga a l’autoritat de control un marge ampli de valoració de la pertinència d’utilitzar o no aquest mecanisme, en funció de les circumstàncies concurrents en cada cas.