En el primer apunt d’aquesta sèrie dedicada al règim sancionador en matèria de protecció de dades explicava que, malgrat la intenció harmonitzadora del Reglament (UE) 679/2016 (Reglament general de protecció de dades –RGPD–), en la regulació de les infraccions i les sancions permetia que els estats excloguessin la imposició de multes a les entitats del sector públic, opció que va aprofitar la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), per mantenir el sistema anterior, sense sancions econòmiques a les entitats públiques.
D’altra banda, en el segon apunt em referia a la tipificació de les infraccions que ha fet l’RGPD, complementada per la descripció més detallada de la LOPDGDD; i també a una qüestió procedimental introduïda per l’article 37 de la LOPDGDD, que per al cas que hi hagi reclamació estableix la possibilitat que intervingui la persona delegada de protecció de dades, amb la finalitat d’intentar aconseguir una solució amistosa que eviti la tramitació del procediment per part de l’autoritat de control.
Completo aquesta sèrie dedicada al règim sancionador amb aquest tercer apunt, en el qual faig un repàs als drets de les persones en cas de vulneració de la normativa de protecció de dades, i a la distinció entre els dos tipus de procediments a seguir, en funció del tipus d’incompliment, amb alguna consideració sobre la possible intervenció de la persona delegada de protecció de dades.
1. Drets de les persones en cas de vulneració
El capítol VIII de l’RGPD es refereix a diverses accions que les persones poden exercir en cas d’incompliment dels deures que imposa –sobretot als responsables i encarregats del tractament– o dels drets que reconeix a les persones (accés, rectificació, supressió, etc.).
La primera acció que es pot exercir és interposar una reclamació davant l’autoritat de control competent (art. 77 de l'RGPD). En el cas dels tractaments de dades personals efectuats per les entitats del sector públic de Catalunya, la institució competent és l’Autoritat Catalana de Protecció de Dades (APDCAT), segons el que disposa l’article 156 de l’Estatut d'autonomia i l’article 3 de la Llei 32/2010, de l'1 d'octubre, de l'Autoritat Catalana de Protecció de Dades. L’RGPD utilitza en tot moment el mot “reclamació”, que un cop importat a l’ordenament espanyol tindria dos significats: a) reclamació a l’APDCAT davant la desatenció d’algun dels drets establerts als articles 15-22, o b) “denúncia”, regulada a l’article 62 de la Llei 39/2015, que s’entendria com la comunicació a l’APDCAT de qualsevol incompliment de l’RGPD, diferent a la desatenció de drets. En relació amb aquest significat de denúncia, s’ha d’entendre que no es reserva únicament a la persona afectada pel tractament, sinó que qualsevol persona podria formular-la si té coneixement d’uns fets que vulneren l’RGPD.
Un cop rebuda la reclamació, de conformitat amb l’article 77 de l’RGPD, l’APDCAT ha d’informar la persona reclamant sobre el curs i el resultat de la reclamació, i sobre la possibilitat d’accedir a la tutela judicial efectiva. En efecte, per al cas que l’APDCAT no doni curs a la reclamació o no informi sobre el resultat de la reclamació presentada, l’article 78 de l’RGPD reconeix el “dret a la tutela judicial efectiva contra una autoritat de control”, la qual cosa permetria a la persona afectada impugnar davant els jutjats contenciosos administratius la decisió –o manca d’actuació– de l’APDCAT si considera que no és ajustada a dret, sempre que es compleixin els requisits de legitimació exigits. Això sens perjudici de la possibilitat d’interposar prèviament el recurs de reposició davant l’APDCAT. Val a dir que aquest dret a la tutela judicial efectiva que permetria impugnar la decisió de l’APDCAT, també el té, òbviament, l’entitat sancionada si no està conforme amb tal decisió.
L’article 79 de l’RGPD recull una altra manifestació del dret a la tutela judicial efectiva que té la persona interessada. En aquest cas es disposa que pugui acudir directament als tribunals de justícia per exercir accions contra un responsable o un encarregat que hagi vulnerat els seus drets amb motiu d’un tractament de les seves dades personals.
El darrer d’aquest ventall de drets de reacció que té la persona interessada en cas d’incompliment, és el dret a rebre una indemnització (art. 82 de l'RGPD). Així, si una persona pateix algun perjudici, material o immaterial, com a conseqüència d’una infracció de l’RGPD, té dret a rebre del responsable o de l’encarregat del tractament una indemnització. Per tant, es configura com un dret de la persona interessada a ser indemnitzada i, al seu torn, com un deure del responsable o de l’encarregat a indemnitzar. En el cas de les entitats del sector públic, aquest dret d’indemnització s’ha de vehicular a través del procediment de responsabilitat patrimonial, mentre que en la resta de subjectes caldria acudir a la via judicial civil.
2. Procediment a seguir segons el tipus d’incompliment i alguna consideració sobre la possible intervenció de la persona delegada de protecció de dades
Tal com explicava en la segona entrega d’aquesta sèrie sobre el règim sancionador, l’article 37 de l’LOPDGDD estableix la possibilitat que la persona afectada, abans de dirigir la seva queixa a l’APDCAT, pugui acudir en primera instància a la persona delegada de protecció de dades de l’entitat que actua com a responsable o encarregat del tractament. Però si no s’utilitza aquesta opció i es formula directament la reclamació, l’APDCAT “pot” remetre-la a la persona delegada de protecció de dades de l’entitat corresponent, a fi que aquesta respongui en el termini d'un mes.
Vull subratllar el caràcter potestatiu d’aquest trasllat de la reclamació a l’entitat, de manera que l’APDCAT no està obligada a fer-ho, sinó que tindria un cert marge de discrecionalitat per decidir la pertinència de fer-ho o no, en funció de les circumstàncies concurrents en cada cas. Val a dir que aquesta opció del trasllat pot resultar especialment adequada en les reclamacions que es basen exclusivament en la desatenció dels drets dels articles 15-22 de l’RGPD (accés, rectificació, etc.). En efecte, en el cas de remissió d’aquest tipus de reclamació a la persona delegada, la seva posició d'independència i funcions assignades en l'organització pot facilitar una reacció ràpida i adequada i que s'atengui el dret a què es referia la reclamació.
Per contra, no sembla aconsellable el trasllat de les reclamacions que es fonamenten en un altre tipus d’incompliments, si més no amb caràcter general. Imaginem un supòsit en què una persona posa en coneixement de l’APDCAT un tractament deslleial de les dades efectuat per un responsable. Si la reclamació es trasllada a la persona delegada, no sembla que es pugui descartar la possibilitat de destrucció o alteració de les proves, cosa que podria convertir en estèril i inefectiva qualsevol actuació d’investigació posterior de l’APDCAT. A més, hi ha hagut uns quants casos en què persones empleades comuniquen eventuals vulneracions comeses en l’organització on presta serveis. Doncs bé, l’eventualitat que el responsable del tractament pogués inferir la identitat de la persona reclamant, i atès que estaríem davant d’una relació de dependència o desigualtat, afegiria un argument addicional a la idea de no traslladar la reclamació.
Tant si l’APDCAT considera que no és adequat el trasllat de la reclamació, com si es dona aquesta mena de tràmit d’audiència i no se soluciona la controvèrsia, la reclamació s'ha de tramitar seguint el procediment corresponent, que difereix en funció del tipus de reclamació.
En efecte, l’article 64 de la LOPDGDD ha distingit dos tipus de procediments, en una regulació que en principi no vincula l’APDCAT, però aquesta institució de facto manté també la dualitat, a l’empara del que disposen els articles 16 i 21 de la Llei 32/2010, de l’APDCAT. D’una banda, si la reclamació es basa exclusivament en la desatenció d’una sol·licitud d’exercici dels drets establerts als articles del 15-22 de l’RGPD, donarà lloc a un procediment que no té naturalesa sancionadora sinó que es considera iniciat a instància de la persona reclamant, que en la legislació anterior rebia la denominació de "procediment de tutela de drets". De l’altra, si la reclamació o denúncia es refereix a qualsevol altra vulneració del que disposa l’RGPD, pot donar lloc a un procediment sancionador, iniciat sempre d’ofici per part de l’òrgan competent –la direcció de l’APDCAT–, sens perjudici de la possibilitat de tramitar prèviament actuacions d'investigació, en les quals correspon a l’APDCAT d'exercir la seva potestat inspectora.
A mode de conclusió dels tres apunts relatius al règim sancionador en matèria de protecció de dades, sembla clar que l’RGPD ha volgut dotar les autoritats de control –entre aquestes l’APDCAT– dels poders suficients per garantir que els tractaments de dades personals respectin els drets i llibertats de les persones físiques. Per aconseguir aquest objectiu, l’RGPD ha optat per reforçar els drets de reclamació de les persones i també per reforçar i harmonitzar els poders d'investigació i correctius de les autoritats de control, a les quals reconeix una funció preventiva i dissuasiva.