Què passa si una administració pública vulnera el dret a la protecció de dades personals? (part II)

Abstract

En l’apunt anterior, feia una primera aproximació a les conseqüències de la vulneració del dret a la protecció de dades personals. En concret, em vaig referir a la intenció harmonitzadora del Reglament (UE) 679/2016 (Reglament general de protecció de dades -RGPD-) en la regulació de les infraccions i les sancions, que estableix unes multes molt elevades, si bé el RGPD deixava la porta oberta que els estats decidissin si era procedent imposar multes a les entitats del sector públic, opció que va ser rebutjada pel legislador espanyol en la Llei orgànica 3/2018, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), amb l’establiment d’un règim sancionador específic en l’article 77. En virtut d’aquest sistema, explicava en l'apunt que si la infracció la comet una administració pública catalana, l’Autoritat Catalana de Protecció de Dades (APDCAT) ha de dictar una resolució en què imposi una sanció d’amonestació, i en la qual pot ordenar adoptar les mesures correctores escaients. A més, en la resolució sancionadora es pot proposar la iniciació d’actuacions disciplinàries quan hi hagi prou indicis per fer-ho; d’altra banda, si la infracció és imputable a autoritats i directius que hagin desatès advertències prèvies sobre l’incompliment, en la resolució sancionadora de l’APDCAT s’ha d'incloure també una amonestació amb la denominació del càrrec responsable, amb publicitat al Diari Oficial de la Generalitat de Catalunya.