EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0453

Sentencia del Tribunal de Justicia (Sala Sexta) de 9 de febrero de 2023.
X-FAB Dresden GmbH & Co. KG contra FC.
Petición de decisión prejudicial planteada por el Bundesarbeitsgericht.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3 — Delegado de protección de datos — Prohibición de destitución por el desempeño de sus funciones — Exigencia de independencia funcional — Normativa nacional que prohíbe la destitución de un delegado de protección de datos sin causa grave — Artículo 38, apartado 6 — Conflicto de intereses — Criterios.
Asunto C-453/21.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:79

 SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Sexta)

de 9 de febrero de 2023 ( *1 )

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3 — Delegado de protección de datos — Prohibición de destitución por el desempeño de sus funciones — Exigencia de independencia funcional — Normativa nacional que prohíbe la destitución de un delegado de protección de datos sin causa grave — Artículo 38, apartado 6 — Conflicto de intereses — Criterios»

En el asunto C‑453/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 27 de abril de 2021, recibida en el Tribunal de Justicia el 21 de julio de 2021, en el procedimiento entre

X-FAB Dresden GmbH & Co. KG

y

FC,

EL TRIBUNAL DE JUSTICIA (Sala Sexta),

integrado por el Sr. P. G. Xuereb, Presidente de Sala, y el Sr. A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. J. Richard de la Tour;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 26 de septiembre de 2022;

consideradas las observaciones presentadas:

en nombre de X-FAB Dresden GmbH & Co. KG, por el Sr. S. Leese, Rechtsanwalt;

en nombre de FC, por los Sres. R. Buschmann y T. Heller, Prozessbevollmächtigte;

en nombre del Gobierno alemán, por los Sres. J. Möller, D. Klebs y P.‑L. Krüger, en calidad de agentes;

en nombre del Parlamento Europeo, por las Sras. O. Hrstková Šolcová y B. Schäfer, en calidad de agentes;

en nombre del Consejo de la Unión Europea, por la Sra. T. Haas y el Sr. K. Pleśniak, en calidad de agentes;

en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. K. Herrmann y el Sr. H. Kranenborg, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

1

La petición de decisión prejudicial tiene por objeto la interpretación y la validez del artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, y corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, «RGPD»), así como sobre la interpretación del artículo 38, apartado 6, de dicho Reglamento.

2

Esta petición se ha presentado en el contexto de un litigio entre X-FAB Dresden GmbH & Co. KG (en lo sucesivo, «X-FAB») y FC, su empleado, en relación con la destitución de FC como delegado de protección de datos, dictada por X‑FAB.

Marco jurídico

Derecho de la Unión

3

Los considerandos 10 y 97 del RGPD señalan:

«(10)

Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(97)

[…] Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.»

4

El artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», dispone, en sus apartados 5 y 6:

«5.   El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6.   El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.»

5

El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3, 5 y 6:

«3.   El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

[…]

5.   El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

6.   El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.»

6

El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», tiene el siguiente tenor:

«1.   El delegado de protección de datos tendrá como mínimo las siguientes funciones:

a)

informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b)

supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c)

ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d)

cooperar con la autoridad de control;

e)

actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.»

Derecho alemán

BDSG

7

El artículo 6 de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 20 de diciembre de 1990 (BGBl. 1990 I, p. 2954), en la versión en vigor de 25 de mayo de 2018 a 25 de noviembre de 2019 (BGBl. 2017 I, p. 2097) (en lo sucesivo, «BDSG»), titulado «Posición», dispone, en su apartado 4:

«El delegado de protección de datos solo podrá ser destituido de conformidad con lo dispuesto, mutatis mutandis, por el artículo 626 del Bürgerliches Gesetzbuch [(Código Civil), en su versión publicada el 2 de enero de 2002 (BGBl. 2002 I, p. 42, y correcciones de errores en BGBl. 2002 I, p. 2909, y BGBl. 2003 I, p. 738)]. El despido de un delegado de protección de datos será ilegal, a no ser que concurran circunstancias que autoricen al organismo público a adoptar tal medida por causa grave sin necesidad de respetar un plazo de preaviso. Una vez concluida la actividad como delegado de protección de datos, el despido será ilegal durante un año, a no ser que concurra causa grave que autorice al organismo público a adoptar tal medida sin necesidad de respetar un plazo de preaviso.»

8

El artículo 38 del BDSG, titulado «Delegado de protección de datos de organismos no públicos», establece:

«1.   Con carácter complementario a lo dispuesto en el artículo 37, apartado 1, letras b) y c), del [RGPD], el responsable y el encargado del tratamiento nombrarán a un delegado de protección de datos siempre que, por regla general, haya al menos diez personas empleadas de forma permanente en el tratamiento automatizado de datos personales. […]

2.   Será de aplicación el artículo 6, apartados 4, 5, segunda frase, y 6, si bien solo será aplicable el apartado 4 cuando resulte obligatorio el nombramiento de delegado de protección de datos.»

Código Civil

9

El artículo 626 del Código Civil, bajo el epígrafe «Resolución sin preaviso por causa grave», dispone:

«1.   Cualquiera de las partes podrá resolver la relación laboral por causa grave sin necesidad de respetar un plazo de preaviso si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación laboral hasta el final del período de preaviso o hasta la fecha de conclusión acordada contractualmente resulte excesivamente gravosa para la parte interesada en la resolución.

2.   La resolución solo podrá tener lugar en el plazo de dos semanas. El plazo comenzará a contar a partir del momento en que la parte que pueda proceder a la resolución tenga conocimiento de los hechos pertinentes para la resolución. […]».

Litigio principal y cuestiones prejudiciales

10

FC trabaja para X-FAB desde el 1 de noviembre de 1993.

11

Desempeña en dicha sociedad las funciones de presidente del comité de empresa y, como tal, está parcialmente dispensado de trabajar. Ocupa además el cargo de vicepresidente del comité central de empresa constituido para tres empresas del grupo de sociedades al que pertenece X-FAB, que están establecidas en Alemania.

12

Con efectos a partir del 1 de junio de 2015, FC fue designado, por cada empresa por separado, como delegado de protección de datos de X-FAB, de la sociedad matriz de esta y de sus demás filiales establecidas en Alemania. Según el órgano jurisdiccional remitente, el objetivo de esta designación paralela de FC como delegado de protección de datos de todas esas empresas era garantizar un nivel uniforme de protección de datos en dichas empresas.

13

A petición del delegado de protección de datos y de libertad de información de Turingia (Alemania), X-FAB y las empresas mencionadas en el apartado 12 de la presente sentencia destituyeron, mediante escritos de 1 de diciembre de 2017, con efecto inmediato a FC como delegado de protección de datos. Mediante escritos separados de 25 de mayo de 2018, estas empresas, a todos los efectos pertinentes, repitieron su actuación, sobre la base del artículo 38, apartado 3, segunda frase, del RGPD, que había pasado a ser aplicable entretanto, invocando motivos relacionados con el grupo de sociedades al que pertenece X-FAB.

14

La acción ejercitada por FC ante los tribunales alemanes tiene por objeto que se declare que aún tiene la condición de delegado de protección de datos de X-FAB. Esta alega que existe un riesgo de conflicto de intereses si FC desempeña al mismo tiempo las funciones de delegado de protección de datos y de presidente del comité de empresa, por entender que ambos puestos son incompatibles. Por consiguiente, alega que existe un motivo grave que justifica que FC sea destituido como delegado de protección de datos.

15

Los órganos jurisdiccionales de primera instancia y apelación estimaron la acción ejercitada por FC. Mediante el recurso de casación interpuesto por X-FAB ante el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), que es el órgano jurisdiccional remitente, se pretende la desestimación de esta acción.

16

El órgano jurisdiccional remitente observa que el resultado del mencionado recurso depende de la interpretación del Derecho de la Unión. En particular, se plantea, por una parte, la cuestión de si el artículo 38, apartado 3, segunda frase, del RGPD se opone a que la normativa de un Estado miembro supedite la destitución de un delegado de protección de datos a requisitos más estrictos que los previstos en el Derecho de la Unión y, en caso afirmativo, si esta disposición tiene una base jurídica suficiente. Entiende que, en el supuesto de que el Tribunal de Justicia considerara que los requisitos a los que la BDSG somete la destitución son conformes con el Derecho de la Unión, habría que determinar si las funciones de presidente del comité de empresa y de delegado de protección de datos de esa misma empresa pueden ser desempeñadas por una misma persona o si ello da lugar a un conflicto de intereses en el sentido del artículo 38, apartado 6, segunda frase, del RGPD.

17

En estas circunstancias, el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Debe interpretarse el artículo 38, apartado 3, segunda frase, del [RGPD] en el sentido de que se opone a una disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, primera frase, de la [BDSG], en virtud de la cual se supedita la destitución del delegado de protección de datos por el responsable del tratamiento, que es su empresario, a los requisitos establecidos en dicha disposición, con independencia de que se produzca en el marco del desempeño de sus funciones?

En caso de respuesta afirmativa a la primera cuestión:

2)

¿Se opone el artículo 38, apartado 3, segunda frase, del RGPD a tal disposición de Derecho nacional también en el caso de que la designación del delegado de protección de datos no venga impuesta por el artículo 37, apartado 1, del RGPD, sino únicamente por el Derecho del Estado miembro?

En caso de respuesta afirmativa a la primera cuestión:

3)

¿Existe base jurídica suficiente para la disposición contenida en el artículo 38, apartado 3, segunda frase, del RGPD, en particular por lo que se refiere a su aplicación a los delegados de protección de datos vinculados al responsable del tratamiento en virtud de una relación laboral?

En caso de respuesta negativa a la primera cuestión:

4)

¿Existe un conflicto de intereses en el sentido del artículo 38, apartado 6, segunda frase, del RGPD cuando el delegado de protección de datos ostenta a la vez el cargo de presidente del comité de empresa constituido en el organismo responsable? Para concluir que existe tal conflicto de intereses, ¿es necesario que se le hayan atribuido funciones particulares en el seno del comité de empresa?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

18

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado.

19

Como se desprende de reiterada jurisprudencia, para interpretar una disposición del Derecho de la Unión, deben tenerse en cuenta no solo su tenor literal conforme a su sentido habitual en el lenguaje corriente, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 18 y jurisprudencia citada).

20

En primer lugar, por lo que respecta a la redacción de la disposición controvertida, procede señalar que el artículo 38, apartado 3, del RGPD dispone, en su segunda frase, que el delegado de protección de datos «no será destituido ni sancionado por el responsable o el encargado [del tratamiento] por desempeñar sus funciones».

21

A este respecto, en su sentencia de 22 de junio de 2022, Leistritz (C‑534/20, EU:C:2022:495), apartados 2021, el Tribunal de Justicia, tras declarar que el RGPD no define los conceptos «destituido», «sancionado» y «por desempeñar sus funciones», que figuran en ese artículo 38, apartado 3, segunda frase, subrayó, en primer término, que, conforme a su sentido habitual en el lenguaje corriente, la prohibición impuesta al responsable o encargado del tratamiento de destituir a un delegado de protección de datos o de sancionarlo significa que dicho delegado debe estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción.

22

Pues bien, puede constituir tal decisión una medida de destitución de un delegado de protección de datos adoptada por su empleador y que tendría como consecuencia relevar al delegado de sus funciones en el seno del responsable del tratamiento o de su encargado.

23

En segundo término, como también ha señalado el Tribunal de Justicia, el artículo 38, apartado 3, segunda frase, del RGPD se aplica indistintamente tanto al delegado de protección de datos que forma parte de la plantilla del responsable o del encargado del tratamiento como a quien desempeña sus funciones en el marco de un contrato de servicio celebrado con estos últimos, de conformidad con el artículo 37, apartado 6, del RGPD, de modo que dicho artículo 38, apartado 3, segunda frase, está destinado a aplicarse a las relaciones entre un delegado de protección de datos y un responsable o encargado del tratamiento, con independencia de la naturaleza de la relación laboral que une a dicho delegado con estos últimos (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartados 2324).

24

En tercer término, esta última disposición establece un límite que consiste en prohibir la destitución de un delegado de protección de datos por un motivo basado en el desempeño de sus funciones, que comprenden, en particular, en virtud del artículo 39, apartado 1, letra b), del RGPD, la supervisión del cumplimiento de las disposiciones del Derecho de la Unión o del Derecho de los Estados miembros en materia de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales (véase, en este sentido, la sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 25).

25

En segundo lugar, por lo que respecta al objetivo perseguido por el artículo 38, apartado 3, segunda frase, del RGPD, en primer término, el considerando 97 de este enuncia que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. A este respecto, tal independencia debe necesariamente permitirles ejercer estas funciones de conformidad con el objetivo del RGPD, que tiene como finalidad, en particular, tal y como se desprende de su considerando 10, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión y, a tal efecto, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 26 y jurisprudencia citada).

26

En segundo término, el objetivo de garantizar la independencia funcional del delegado de protección de datos, tal como se desprende del artículo 38, apartado 3, segunda frase, del RGPD, se deduce asimismo de ese artículo 38, apartado 3, frases primera y tercera, de este, que exige que el delegado no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y rinda cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento, así como del artículo 38, apartado 5, del RGPD, que establece que el mencionado delegado está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 27).

27

De este modo, el artículo 38, apartado 3, segunda frase, del RGPD, al amparar al delegado de protección de datos contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción, cuando tal decisión esté relacionada con el desempeño de sus funciones, debe considerarse dirigido esencialmente a preservar la independencia funcional del delegado de protección de datos y, por lo tanto, a garantizar la efectividad de las disposiciones del RGPD (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 28).

28

Como también ha declarado el Tribunal de Justicia, esta interpretación se ve corroborada, en tercer lugar, por el contexto en el que se inscribe esta disposición y, en particular, por el fundamento jurídico sobre cuya base el legislador de la Unión adoptó el RGPD (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 29).

29

En efecto, de la exposición de motivos del RGPD se desprende que este se adoptó sobre la base del artículo 16 TFUE, cuyo apartado 2 dispone, en particular, que el Parlamento Europeo y el Consejo de la Unión Europea establecerán, con arreglo al procedimiento legislativo ordinario, las normas, por una parte, sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y, por otra parte, sobre la libre circulación de estos datos (sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 30).

30

A este respecto, la fijación de normas relativas a la protección contra la destitución de un delegado de protección de datos empleado por un responsable o encargado del tratamiento solo está comprendida en el ámbito de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la estricta medida en que tales normas tengan por objeto preservar la independencia funcional de este último, de conformidad con el artículo 38, apartado 3, segunda frase, del RGPD (véase, en este sentido, la sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 31).

31

De ello se desprende que cada Estado miembro tiene libertad, en el ejercicio de su competencia reservada, para establecer disposiciones específicas más protectoras en materia de destitución del delegado de protección de datos, siempre que dichas disposiciones sean compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD y, en concreto, su artículo 38, apartado 3, segunda frase (véase, en este sentido, la sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 34).

32

En particular, tal protección reforzada no ha de poner en peligro la consecución de los objetivos del RGPD. Pues bien, así sucedería si esta impidiera cualquier destitución, por parte de un responsable o de un encargado del tratamiento, de un delegado de protección de datos que ya no tuviera las cualidades profesionales requeridas para ejercer sus funciones, de conformidad con el artículo 37, apartado 5, del RGPD, o que no las cumpliera conforme a las disposiciones de ese Reglamento (véase, en este sentido, la sentencia de 22 de junio de 2022, Leistritz, C‑534/20, EU:C:2022:495, apartado 35).

33

A este respecto, procede recordar, como se ha señalado en el apartado 25 de la presente sentencia, que el RGPD tiene por objeto garantizar un nivel elevado de protección de las personas físicas dentro de la Unión por lo que respecta al tratamiento de sus datos personales, y que, para lograr ese objetivo, el delegado de protección de datos debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

34

Así pues, una protección reforzada del delegado de protección de datos que impidiera toda destitución de este en el supuesto de que no estuviera o hubiera dejado de estar en condiciones de desempeñar sus cometidos de manera independiente debido a la existencia de un conflicto de intereses pondría en peligro la consecución de ese objetivo.

35

Corresponde al juez nacional cerciorarse de que disposiciones específicas como las mencionadas en el apartado 31 de la presente sentencia son compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD.

36

Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos del RGPD.

Sobre las cuestiones prejudiciales segunda y tercera

37

En vista de la respuesta dada a la primera cuestión prejudicial, no ha lugar a responder a las cuestiones prejudiciales segunda y tercera.

Cuarta cuestión prejudicial

38

Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, en qué condiciones puede constatarse la existencia de un «conflicto de intereses», en el sentido del artículo 38, apartado 6, del RGPD.

39

Por lo que respecta, en primer lugar, a la redacción de la disposición en cuestión, procede señalar que, a tenor del artículo 38, apartado 6, segunda frase, del RGPD, «el delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses».

40

Así pues, de la redacción de esta disposición se desprende, en primer término, que el RGPD no establece ninguna incompatibilidad de principio entre, por un lado, el desempeño de las funciones de delegado de protección de datos y, por otro lado, el de otras funciones en el seno del responsable o encargado del tratamiento. En efecto, el artículo 38, apartado 6, de este Reglamento establece específicamente que se podrá encomendar al delegado de protección de datos la ejecución de otras funciones y cometidos distintos de los que le incumben en virtud del artículo 39 del RGPD.

41

En segundo término, no es menos cierto que el responsable del tratamiento o su encargado deben velar por que esas otras funciones y cometidos no impliquen un «conflicto de intereses». Habida cuenta del significado de esos términos en el lenguaje corriente, procede considerar que, conforme al objetivo perseguido por el artículo 38, apartado 6, del RGPD, no se puede encomendar al delegado de protección de datos la ejecución de funciones o de cometidos que puedan perjudicar el desempeño de las funciones que ejerce como delegado de protección de datos.

42

Por lo que respecta a ese objetivo, es preciso señalar, en segundo lugar, que esa disposición pretende esencialmente, al igual que las demás disposiciones mencionadas en el apartado 25 de la presente sentencia, preservar la independencia funcional del delegado de protección de datos y, por lo tanto, garantizar la efectividad de las disposiciones del RGPD.

43

En tercer lugar, por lo que respecta al contexto en el que se inscribe el artículo 38, apartado 6, del RGPD, ha de señalarse que, según el artículo 39, apartado 1, letra b), del RGPD, el delegado de protección de datos tiene por función, en particular, supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

44

De ello se deduce, en particular, que no se pueden encomendar a un delegado de protección de datos funciones o cometidos que le lleven a determinar los fines y los medios del tratamiento de datos personales del responsable del tratamiento o de su encargado. En efecto, conforme al Derecho de la Unión o al Derecho de los Estados miembros en materia de protección de datos, el control de esos fines y medios debe ser efectuado de manera independiente por dicho delegado.

45

La determinación de la existencia de un conflicto de intereses, en el sentido del artículo 38, apartado 6, del RGPD, debe efectuarse caso por caso, sobre la base de una apreciación del conjunto de las circunstancias pertinentes, en particular, de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

46

Habida cuenta de todas las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial que el artículo 38, apartado 6, del RGPD debe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

Costas

47

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

 

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Sexta) declara:

 

1)

El artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.

 

2)

El artículo 38, apartado 6, del Reglamento 2016/679 debe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

 

Firmas


( *1 ) Lengua de procedimiento: alemán.

Top