5. Incompliments

Davant qualsevol eventual vulneració dels deures imposats pel Reglament General de Protecció de Dades europeu o dels drets reconeguts a les persones, es pot presentar una reclamació davant l’autoritat de control competent.

• En relació amb els tractaments efectuats per les entitats del sector públic català, com els ajuntaments, els consells comarcals o les diputacions, l’autoritat de control competent és l’Autoritat Catalana de Protecció de Dades (APDCAT).
• Si el responsable del tractament és una persona física, una empresa privada o l’Administració de l’Estat, l’autoritat competent és l’Agència Espanyola de Protecció de Dades (AEPD).

En funció de la vulneració de la normativa de protecció de dades, la llei orgànica de protecció de dades distingeix dos tipus de procediments.

• En el cas d’una reclamació per desatenció d’una sol·licitud d’exercici dels drets (accés, rectificació, supressió, etc.), hi haurà un procediment que es coneix com de tutela de drets i que no és un procediment sancionador.
• Qualsevol altra vulneració podrà donar lloc a un procediment sancionador (per exemple, si es publiquen dades personals excessives i, per tant, es vulnera el principi de minimització).

Si una persona pateix danys i perjudicis a conseqüència d’una infracció del reglament europeu, té dret a rebre una indemnització per part del responsable o de l’encarregat del tractament. En el cas de les administracions públiques, aquest dret es tramita per mitjà del procediment de responsabilitat patrimonial.

El reglament europeu estableix dues llistes d’infraccions, les quals es poden sancionar amb multes de 10 o 20 milions d’euros com a màxim o d’una quantia equivalent al 2 % o el 4 % del volum de negoci. Les multes han de ser proporcionades i dissuasives.

La llei orgànica de protecció de dades també preveu dues mesures addicionals per al cas d’infraccions comeses per entitats del sector públic.

1. La possibilitat que l’autoritat de protecció de dades proposi la iniciació d’actuacions disciplinàries, si en la comissió de la infracció hi ha intervingut una persona empleada pública i hi ha indicis suficients. Aquesta mesura està pensada per a casos en què la persona empleada actua amb dol o negligència greu (per exemple, si un empleat públic accedeix a dades d’un expedient d’un veí per xafardejar).
2. La segona mesura es reserva per a aquells supòsits en què intervenen autoritats o directius del sector públic en la comissió de la infracció, i s’acrediti l’existència prèvia d’informes tècnics o recomanacions que l’advertien que aquell tractament de dades no era correcte, però que no s’havien atès degudament.