CONCLUSIONES DEL ABOGADO GENERAL
SR. JEAN RICHARD DE LA TOUR
presentadas el 27 de enero de 2022 ( 1 )
Asunto C‑534/20
Leistritz AG
contra
LH
[Petición de decisión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania)]
«Procedimiento prejudicial — Protección de las personas físicas en relación con el tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3, segunda frase — Delegado de protección de datos — Prohibición de destitución por el desempeño de sus funciones — Base jurídica — Artículo 16 TFUE — Validez — Exigencia de independencia funcional — Alcance de la armonización — Normativa nacional que prohíbe el despido de un delegado de protección de datos sin causa grave — Delegado de protección de datos designado con carácter obligatorio en virtud del Derecho nacional»
I. Introducción
|
1. |
La petición de decisión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania) versa sobre la interpretación y la validez del artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). ( 2 ) |
|
2. |
Esta petición se ha presentado en el contexto de un litigio entre LH y su empleador, Leistritz AG, en relación con la resolución del contrato de trabajo de LH motivada por una reorganización de los servicios de Leistritz, cuando, según la normativa alemana aplicable, LH, debido a su designación como delegada de protección de datos, solo puede ser despedida con carácter extraordinario por causa grave. |
|
3. |
En las presentes conclusiones expondré los motivos por los que considero que la prohibición de destituir al delegado de protección de datos, establecida en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, no resulta de una armonización de las normas materiales del Derecho laboral, lo que permite a los Estados miembros reforzar la protección de dicho delegado de protección de datos en sus normativas nacionales en diversos ámbitos, de conformidad con el objetivo perseguido por el citado Reglamento. |
II. Marco jurídico
A. Reglamento 2016/679
|
4. |
Los considerandos 10, 13 y 97 del Reglamento 2016/679 exponen lo siguiente:
[…]
[…]
|
|
5. |
El artículo 1 de este Reglamento, que lleva por epígrafe «Objeto», dispone en su apartado 1: «El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.» |
|
6. |
El artículo 37 de dicho Reglamento, cuyo epígrafe es «Designación del delegado de protección de datos», establece lo siguiente en sus apartados 1 y 4 a 6: «1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
[…] 4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados. 5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.» |
|
7. |
El artículo 38 del mismo Reglamento, bajo el epígrafe «Posición del delegado de protección de datos», preceptúa lo siguiente: «1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. […] 3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado. 4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento. 5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. 6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.» |
|
8. |
El artículo 39 del Reglamento 2016/679 enuncia las principales funciones del delegado de protección de datos. |
B. Derecho alemán
|
9. |
El artículo 6 de la Bundesdatenschutzgesetz (Ley federal de protección de datos), de 20 de diciembre de 1990, ( 3 ) en su versión vigente entre el 25 de mayo de 2018 y el 25 de noviembre de 2019, ( 4 ) titulado «Posición», dispone lo siguiente en su apartado 4: «El delegado de protección de datos solo podrá ser destituido de conformidad con lo dispuesto, mutatis mutandis, por el artículo 626 del Bürgerliches Gesetzbuch [Código Civil]. La resolución de la relación laboral será nula, a no ser que concurran circunstancias que autoricen al organismo público a tal medida por causa grave sin necesidad de respetar un plazo de preaviso. Una vez concluida la actividad como delegado de protección de datos, no podrá resolverse la relación laboral antes de que transcurra un año, a no ser que exista causa grave que permita al organismo público proceder a la resolución sin respetar un plazo de preaviso.» |
|
10. |
El artículo 38 de la BDSG, que lleva por epígrafe «Delegado de protección de datos de organismos privados», establece: «1. Con carácter complementario a lo dispuesto en el artículo 37, apartado 1, letras b) y c), del Reglamento […] 2016/679, el responsable y el encargado del tratamiento nombrarán a un delegado de protección de datos siempre que, por regla general, haya al menos diez personas [ ( 5 )] empleadas de forma permanente en el tratamiento automatizado de datos personales […] 2. Será de aplicación el artículo 6, apartados 4, 5, segunda frase, y 6, si bien solo será aplicable el apartado 4 cuando resulte obligatorio el nombramiento de delegado de protección de datos.» |
|
11. |
El artículo 134 del Código Civil, en su versión publicada el 2 de enero de 2002, ( 6 ) titulado «Prohibición legal», está redactado en los siguientes términos: «Los actos jurídicos que infrinjan una prohibición establecida por ley serán nulos, salvo que la ley disponga otra cosa para el caso de contravención.» |
|
12. |
El artículo 626 de dicho Código, bajo el epígrafe «Resolución sin preaviso por causa grave», dispone lo siguiente: «1. Cualquiera de las partes podrá resolver la relación laboral por causa grave sin respetar un plazo de preaviso, si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación jurídica hasta el final del período de preaviso o hasta la fecha de conclusión acordada contractualmente resulte excesivamente gravosa para la parte interesada en la resolución. 2. La resolución de la relación laboral solo podrá tener lugar en el plazo de dos semanas, que comenzará a correr en el momento en que la parte facultada para ello tenga conocimiento de los hechos pertinentes […]» |
III. Procedimiento principal y cuestiones prejudiciales
|
13. |
Leistritz es una sociedad de Derecho privado obligada a designar un delegado de protección de datos en virtud del Derecho alemán. LH trabajó como directora del equipo jurídico y como delegada de protección de datos de la empresa, respectivamente, a partir del 15 de enero de 2018 y del 1 de febrero de 2018. |
|
14. |
Mediante escrito de 13 de julio de 2018, Leistritz procedió a la resolución ordinaria de la relación laboral, con efectos a partir del 15 de agosto de 2018, remitiéndose a medidas de reestructuración que implicaban la externalización de la actividad interna de asesoramiento jurídico y del servicio de protección de datos. |
|
15. |
Las instancias inferiores ante las que LH impugnó la validez de su despido resolvieron que, con arreglo al artículo 38, apartado 2, en relación con el artículo 6, apartado 4, segunda frase, de la BDSG, LH solo puede ser despedida con carácter extraordinario por causa grave, dada su condición de delegada de protección de datos. Pues bien, la medida de reestructuración invocada por Leistritz no constituye una causa grave que justifique un despido extraordinario. |
|
16. |
El órgano jurisdiccional remitente, que conoce del recurso de casación interpuesto por Leistritz, señala que, en virtud del Derecho alemán, el despido de LH es nulo, con arreglo a lo dispuesto en el artículo 134 del Código Civil. ( 7 ) Sin embargo, indica que la aplicabilidad de tales disposiciones depende de si es compatible con el Derecho de la Unión, en particular, con el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, una normativa de un Estado miembro que somete el despido de un delegado de protección de datos a requisitos más estrictos que los impuestos por el Derecho de la Unión. De no ser así, afirma que estaría obligado a estimar el recurso de casación. |
|
17. |
En estas circunstancias, el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:
|
|
18. |
LH, Leistritz, los Gobiernos alemán y rumano, el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea presentaron observaciones escritas. Estas partes, con la excepción de los Gobiernos alemán y rumano, formularon sus observaciones orales en la vista que se celebró el 18 de noviembre de 2021. |
IV. Análisis
A. Sobre la primera cuestión prejudicial
|
19. |
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, al Tribunal de Justicia si el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 debe interpretarse en el sentido de que se opone a una normativa nacional que establece que el empleador de un delegado de protección de datos solo puede despedir a este por causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de las funciones del delegado despedido. |
|
20. |
La respuesta a este interrogante supone precisar, en primer lugar, el alcance de la expresión «destituido […] por desempeñar sus funciones» empleada por el legislador de la Unión en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679. En segundo lugar, será preciso determinar si los Estados miembros tienen la facultad de ampliar las garantías de que goza el delegado de protección de datos con arreglo a dicha disposición. |
1. Sobre la protección del delegado de protección de datos prevista en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679
|
21. |
El artículo 38 del Reglamento 2016/679 figura en el capítulo IV de este Reglamento, relativo al «Responsable del tratamiento y encargado del tratamiento», en particular en la sección 4, que lleva por epígrafe «Delegado de protección de datos». Esta sección contiene tres artículos relativos, respectivamente, a la designación del delegado de protección de datos, ( 8 ) a su posición ( 9 ) y a sus funciones, que consisten, esencialmente, en proporcionar asesoramiento personal sobre el tratamiento de datos y en supervisar el cumplimiento de las normas relativas a la protección de datos. ( 10 ) |
|
22. |
Para la interpretación del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 procede tener en cuenta, según reiterada jurisprudencia del Tribunal de Justicia, no solo el tenor de esta disposición, sino también su contexto y los objetivos perseguidos por la normativa de la que forma parte. ( 11 ) |
|
23. |
Por lo que respecta al tenor del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, cabe observar que expresa una obligación en términos negativos. En efecto, establece que «[el delegado de protección de datos] no será destituido ni sancionado por el responsable o el encargado [del tratamiento] por desempeñar sus funciones». ( 12 ) |
|
24. |
Así pues, esta disposición determina los confines de la protección del delegado de protección de datos. Este está protegido, por una parte, contra cualquier decisión que ponga fin a sus funciones o le sea desfavorable cuando, por otra parte, tal decisión guarde relación con el desempeño de sus funciones. |
|
25. |
En cuanto a la distinción entre la destitución y la sanción del delegado de protección de datos, ha de señalarse, en primer lugar, que ninguna disposición del Reglamento 2016/679 define explícita o implícitamente tales medidas. ( 13 ) |
|
26. |
Al término del análisis comparativo de otras versiones lingüísticas, cabe considerar que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se refiere a dos tipos de medidas, a saber, las que ponen fin a las funciones del delegado de protección de datos y las que constituyen sanciones o son desfavorables para ese delegado, independientemente de su contexto. Por consiguiente, estas definiciones pueden comprender los despidos mediante los cuales el empleador resuelve un contrato de trabajo. ( 14 ) |
|
27. |
Los resultados de las investigaciones relativas a la génesis legislativa del artículo 38 del Reglamento 2016/679 que he podido consultar no permiten, a falta de datos pormenorizados, obtener aclaraciones sobre las intenciones precisas del legislador de la Unión en cuanto al alcance del término «destituido». Únicamente cabe comprobar que la adición textual relativa a la destitución tuvo lugar en una fase avanzada del proceso legislativo ( 15 ) durante la cual, de forma concomitante, se suprimió, tras el pasaje «el responsable o el encargado del tratamiento velarán por que el delegado de protección de datos», el fragmento siguiente: «desempeñe sus funciones y tareas con independencia». ( 16 ) De lo anterior cabe deducir que el legislador deseó concretar la obligación de no destituir al delegado de protección de datos por el desempeño de sus funciones. |
|
28. |
He de señalar también que el legislador de la Unión optó por reproducir literalmente el tenor del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 en el artículo 44, apartado 3, segunda frase, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE. ( 17 ) No obstante, no se puede extraer precisión alguna de los documentos relativos a la elaboración del Reglamento 2018/1725, lo que está justificado, en mi opinión, por la adición en el artículo 44, apartado 8, de otra garantía esencial concedida al delegado de protección de datos, a saber, que «en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, […] podrá ser destituido de su cargo por la institución u organismo de la Unión que le haya designado solo previo consentimiento del Supervisor Europeo de Protección de Datos». |
|
29. |
En segundo lugar, cabe señalar que en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 no se establece distinción alguna según que el delegado de protección de datos forme parte o no de la plantilla del responsable o del encargado del tratamiento. ( 18 ) En efecto, el citado Reglamento no contiene ninguna disposición relativa a la interdependencia entre las decisiones adoptadas por el empleador en el ámbito de la relación laboral y las relativas a las funciones del delegado de protección de datos. El único límite establecido se refiere al motivo por el que no puede ponerse fin a las funciones del delegado de protección de datos, a saber, cualquier motivo basado en el desempeño de sus funciones. |
|
30. |
En cuanto al objetivo perseguido por el legislador de la Unión, este justifica la redacción en términos generales del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 y la decisión de fijar este límite. |
|
31. |
En efecto, en el proyecto de la exposición de motivos del Consejo se precisa que la designación de un delegado de protección de datos tiene por objeto mejorar la observancia del Reglamento 2016/679. ( 19 ) Esta es la razón por la que el artículo 38, apartado 3, segunda frase, de dicho Reglamento establece obligaciones destinadas a garantizar la independencia del delegado. En este sentido, en ese mismo artículo se establece que el delegado de protección de datos no debe recibir instrucción alguna en lo que respecta al desempeño de sus funciones y que debe rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento. ( 20 ) Asimismo, está obligado a mantener el secreto o la confidencialidad en el ámbito profesional. ( 21 ) |
|
32. |
Por consiguiente, se hace hincapié en el rigor del encuadramiento de las funciones del delegado de protección de datos, que está particularmente justificado cuando este último es designado por un responsable del tratamiento que es su empleador. Así pues, mediante la prohibición que figura en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, se garantizan las prerrogativas de que goza dicho delegado de protección de datos para el desempeño de sus funciones, que, en determinados casos, pueden ser difícilmente conciliables con las establecidas por el empleador en el ámbito de la relación laboral. |
|
33. |
El análisis según el cual la única finalidad de esta disposición es organizar el desempeño de las funciones de delegado de protección de datos de manera independiente queda corroborado por el contexto en el que fue adoptada. |
|
34. |
A este respecto, ha de señalarse que el Reglamento 2016/679 tiene por objeto, según su artículo 1, establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. Así, fue adoptado sobre la base del artículo 16 TFUE, apartado 2, ( 22 ) lo que induce a considerar, como ya he expuesto en conclusiones presentadas con anterioridad, que, aunque la protección de los datos personales sea, por su propia naturaleza, transversal, la armonización efectuada por el citado Reglamento está limitada a los aspectos específicamente cubiertos por este Reglamento en dicho ámbito. ( 23 ) |
|
35. |
Por todos estos motivos, no cabe duda, en mi opinión, de que la protección específica del delegado de protección de datos, prevista en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, es propia del objeto de este Reglamento, en la medida en que refuerza la autonomía de dicho delegado de protección de datos. Por consiguiente, no se inscribe en el ámbito más amplio de la protección de los trabajadores. ( 24 ) |
|
36. |
En consecuencia, se plantea de nuevo la cuestión de si, fuera de estos aspectos específicamente cubiertos por el Reglamento n.o 2016/679, los Estados miembros siguen siendo libres de legislar, siempre y cuando no menoscaben el contenido ni los objetivos de dicho Reglamento. ( 25 ) |
2. Sobre la facultad de los Estados miembros de ampliar las garantías que brinda al delegado de protección de datos el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679
|
37. |
En mi opinión, el objetivo del Reglamento 2016/679, enunciado en su considerando 13, con arreglo al cual el legislador de la Unión garantiza la independencia del delegado de protección de datos en términos generales en el artículo 38, apartado 3, segunda frase, del citado Reglamento, ( 26 ) justifica que los Estados miembros puedan adoptar cualesquiera otras medidas destinadas a reforzar la autonomía del delegado en el desempeño de sus funciones. |
|
38. |
Este análisis no contradice los efectos de los reglamentos, tal como se definen en el artículo 288 TFUE, párrafo segundo, ni la obligación subsiguiente que incumbe a los Estados miembros de no establecer excepciones a un reglamento obligatorio en todos sus elementos y directamente aplicable o completarlo, a menos que las disposiciones de ese reglamento reconozcan a los Estados miembros un margen de maniobra que, según los supuestos, puede o debe ser utilizado por estos en las condiciones y con los límites previstos en estas disposiciones. ( 27 ) |
|
39. |
Por consiguiente, reitero mi opinión de que el alcance de la armonización efectuada por el Reglamento n.o 2016/679 varía en función de las disposiciones consideradas. La determinación del alcance normativo de dicho Reglamento exige un examen caso por caso. ( 28 ) |
|
40. |
A este respecto, he de señalar que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se refiere a la destitución del delegado de protección de datos en la medida en que esté relacionada exclusivamente con el desempeño de sus funciones, que se presume correcto, ( 29 ) en forma de prohibición, sin incluir un nivel de gravedad del motivo invocado ni contemplar los diversos aspectos de la relación de subordinación con su empleador que puedan repercutir en su designación. En este sentido, no se han contemplado, por ejemplo, la duración del contrato de trabajo, o los motivos personales o económicos de su resolución, que en su caso puede negociarse, ni la suspensión de la relación laboral por enfermedad, formación o vacaciones anuales o de larga duración. |
|
41. |
Por otro lado, la intención del legislador de la Unión de dejar que sean los Estados miembros los que completen las disposiciones protectoras de la independencia del delegado de protección de datos sobre la base de un marco normativo mínimo relativo al desempeño de sus funciones, definido con arreglo a los objetivos del Reglamento 2016/679, también se manifiesta por la falta de prescripción relativa a la duración del mandato de dicho delegado de protección de datos —contrariamente a lo que prevé el artículo 44, apartado 8, primera frase, del Reglamento 2018/1725— ( 30 ) o relativa a la reestructuración de una empresa, como en el presente asunto, que tiene como resultado la externalización de las funciones del delegado de protección de datos por razones que nada tienen que ver con el desempeño de su cometido. |
|
42. |
En consecuencia, los Estados miembros pueden decidir reforzar la independencia del delegado de protección de datos, en la medida en que contribuye a la consecución de los objetivos del Reglamento 2016/679, más concretamente en materia de despido, puesto que no existe disposición alguna en el Derecho de la Unión que pueda servir de base para otorgar a dicho delegado de protección de datos una protección especial y concreta frente a tal medida por una causa ajena al desempeño de sus funciones, cuando la resolución de la relación laboral tiene necesariamente como consecuencia la cesación en dichas funciones. |
|
43. |
A este respecto, procede recordar que, en el ámbito de la protección de los trabajadores, en caso de rescisión del contrato laboral, el artículo 153 TFUE, apartado 1, letra d), precisa que la Unión apoyará y completará la acción de los Estados miembros, y que, con carácter más general, en el ámbito de la política social, la Unión y los Estados miembros disponen, en virtud del artículo 4 TFUE, apartado 2, letra b), en los aspectos definidos en el Tratado FUE, de una competencia compartida en el sentido del artículo 2 TFUE, apartado 2. |
|
44. |
En estas circunstancias, los Estados miembros pueden establecer disposiciones específicas en materia de despido del delegado de protección de datos, siempre que sean compatibles con el régimen de protección establecido en favor de este por el Reglamento 2016/679. ( 31 ) |
|
45. |
Como resulta del limitado examen de la normativa de los Estados miembros que he podido consultar, ( 32 ) la mayoría de ellos no ha adoptado disposiciones específicas relativas al despido, limitándose a la prohibición establecida en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, directamente aplicable. ( 33 ) |
|
46. |
No obstante, otros Estados miembros han optado por completar este artículo. ( 34 ) |
|
47. |
A este respecto, he de observar que el Grupo de Trabajo del artículo 29 consideró que, «como norma general de gestión y como sería el caso para cualquier otro empleado o contratista sujeto al derecho contractual, laboral y penal aplicable en cada país, un [delegado de protección de datos] podría ser destituido legítimamente por motivos distintos del desempeño de sus funciones como [delegado de protección de datos] (por ejemplo, en caso de robo, acoso físico, psicológico o sexual o falta grave similar)». ( 35 ) |
|
48. |
Al margen de la opción que escojan los Estados miembros, el órgano administrativo o jurisdiccional encargado en cada uno de ellos de controlar la legalidad del motivo de destitución del delegado de protección de datos también contribuye, en mi opinión, a garantizar la independencia de este. |
|
49. |
En efecto, dado que es altamente probable que el vínculo con el desempeño satisfactorio de las funciones del delegado de protección de datos no resulte expresamente de la decisión de destituirlo, ( 36 ) cabe concebir una protección general basada únicamente en la condición de delegado de protección de datos. En el presente asunto, de las explicaciones proporcionadas por el órgano jurisdiccional remitente resulta que es el concepto de «causa grave», según se interpreta en Derecho alemán, el que lleva a considerar, en aras de una protección reforzada, que, en caso de reestructuración, no está permitido cesar al delegado de protección de datos. ( 37 ) En este mismo sentido, podría considerarse además que, en caso de dificultades económicas de la empresa que tiene la obligación de designar a un delegado de protección de datos y ha escogido para este cargo a uno de sus trabajadores, las funciones de este deben seguir desempeñándose, en atención al objetivo del Reglamento 2016/679 y a la contribución de tal delegado a su consecución, mientras el empleador siga operativo. |
|
50. |
No obstante, la prohibición establecida en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 lleva necesariamente aparejados ciertos límites en caso de que existan deficiencias objetivas en el ejercicio de las funciones del delegado de protección de datos habida cuenta de sus obligaciones. Estos límites deben fijarse de conformidad con el objetivo perseguido por el citado Reglamento. ( 38 ) |
|
51. |
Así pues, una interpretación igualmente compatible con el objetivo del Reglamento n.o 2016/679 debe conducir, en mi opinión, a que se admita que un delegado de protección de datos pueda ser destituido cuando deje de cumplir los criterios cualitativos necesarios para el desempeño de sus funciones, como los enunciados en el artículo 37, apartado 5, de dicho Reglamento, cuando incumpla las obligaciones establecidas en el artículo 38, apartados 3, frases primera y tercera, 5 y 6, del mismo Reglamento, ( 39 ) o cuando su nivel de conocimientos especializados resulte insuficiente. ( 40 ) |
|
52. |
En consecuencia, considero que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que el empleador de un delegado de protección de datos solo puede despedir a este por causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de las funciones del delegado de protección de datos despedido. |
|
53. |
No obstante, para el caso de que el Tribunal de Justicia no comparta esta opinión y decida responder afirmativamente a la primera cuestión planteada por el órgano jurisdiccional remitente, procede dar respuesta a las otras dos cuestiones prejudiciales. |
B. Sobre la segunda cuestión prejudicial
|
54. |
Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente desea saber si el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se opone a una normativa nacional que declara nulo el despido del delegado de protección de datos por su empleador sin que exista una causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de sus funciones, cuando la designación del delegado de protección de datos no venga impuesta por el artículo 37, apartado 1, de dicho Reglamento, sino únicamente por el Derecho nacional, tal como prevé el artículo 37, apartado 4, de dicho Reglamento. |
|
55. |
Ha de observarse que ni el artículo 38, apartado 3, del Reglamento 2016/679 ni las demás disposiciones de la sección 4 del Reglamento, relativa al delegado de protección de datos, establecen una distinción en función del carácter obligatorio o facultativo de la designación de dicho delegado de protección de datos. |
|
56. |
Por consiguiente, en mi opinión, procede responder al órgano jurisdiccional remitente que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se aplica sin que proceda efectuar distinción alguna en función de que la designación del delegado de protección de datos venga impuesta por el Derecho de la Unión o por el Derecho nacional. |
C. Sobre la tercera cuestión prejudicial
|
57. |
Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente se pregunta sobre la validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 y, en particular, sobre la cuestión de si existe una base jurídica suficiente para lo dispuesto en el citado artículo, en particular por lo que se refiere a su aplicación a los delegados de protección de datos ligados al responsable del tratamiento en virtud de una relación laboral. |
|
58. |
Propongo al Tribunal de Justicia que considere que existe una base jurídica suficiente para lo dispuesto en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, en la medida en que, por un lado, esta disposición únicamente tiene por objeto proteger al delegado de protección de datos frente a cualquier obstáculo en el desempeño de sus funciones y, por otro, esta garantía, independientemente de la existencia de una relación laboral, contribuye a la consecución efectiva de los objetivos del citado Reglamento. |
|
59. |
En efecto, por una parte, como he expuesto en el análisis de la primera cuestión prejudicial, ( 41 ) el artículo 16 TFUE es la base jurídica en la que se fundamenta dicho Reglamento. Además, el Tribunal de Justicia ha declarado que este artículo constituye, sin perjuicio del artículo 39 TUE, una base jurídica adecuada cuando la protección de los datos personales es una de las finalidades o uno de los componentes esenciales de las normas adoptadas por el legislador de la Unión. ( 42 ) |
|
60. |
Por otra parte, una de estas condiciones, en mi opinión, se cumple en todos los aspectos por lo que se refiere al papel del delegado de protección de datos y su encuadramiento, tal como los define el Reglamento 2016/679. La garantía de la independencia funcional del delegado de protección de datos, que tiene por objeto cumplir la exigencia de garantizar, en un nivel elevado, el respeto de los derechos fundamentales de las personas afectadas por el tratamiento de datos personales, ( 43 ) quedó reflejada, en el artículo 38, apartado 3, segunda frase, del citado Reglamento, en la prohibición de separar al delegado de su cargo por causas inherentes al desempeño de sus funciones. Dado que esta disposición no exige armonización alguna en el ámbito del Derecho laboral, el legislador de la Unión no se ha extralimitado en las facultades normativas que le han sido conferidas por el artículo 16 TFUE, apartado 2. |
|
61. |
En cuanto al respeto de los principios de subsidiariedad y proporcionalidad, sobre el que también se pregunta el órgano jurisdiccional remitente, procede señalar, en primer lugar, que la intensificación del tratamiento transfronterizo de datos personales justifica que la protección de tales datos a la luz de los derechos fundamentales se aplique dentro de la Unión, ( 44 ) garantizando, en particular, las prerrogativas del delegado de protección de datos considerado un «participante clave» de esta protección. ( 45 ) En segundo lugar, no me parece que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 vaya más allá de lo necesario para garantizar la independencia funcional del delegado de protección de datos. Ciertamente, la garantía de no ser destituido, prevista en la citada disposición, incide necesariamente en la relación laboral. No obstante, esta incidencia solo está destinada a preservar el efecto útil del cometido del delegado de protección de datos. |
|
62. |
Por consiguiente, considero que debe responderse al órgano jurisdiccional remitente que el examen de la tercera cuestión prejudicial no pone de manifiesto elemento alguno que pueda afectar a la validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679. |
V. Conclusión
|
63. |
Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a las cuestiones prejudiciales planteadas por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania): «Con carácter principal:
Con carácter subsidiario, para el caso de que el Tribunal de Justicia responda afirmativamente a la primera cuestión prejudicial:
|
( 1 ) Lengua original: francés.
( 2 ) DO 2016, L 119, p. 1; en su versión modificada por DO 2018, L 127, p. 2.
( 3 ) BGBl. 1990 I, p. 2954.
( 4 ) BGBl. 2017 I, p. 2097; en lo sucesivo, «BDSG».
( 5 ) En el artículo 38, apartado 1, primera frase, de la BDSG, en su versión vigente desde el 26 de noviembre de 2019, el número de empleados se elevó a «veinte».
( 6 ) BGBl. 2002 I, p. 42, corrección de errores en la p. 2909, y BGBl. 2003 I, p. 738.
( 7 ) El órgano jurisdiccional remitente añade que, según su jurisprudencia, el hecho de que, a raíz de un cambio organizativo, la protección de los datos pase a ser desempeñada por un delegado de protección de datos externo no constituye causa grave que justifique la destitución [véase la sentencia del Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) n.o 10 AZR 562/09, de 23 de marzo de 2011, apartado 18, disponible en la dirección de Internet siguiente: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562‑09/].
( 8 ) Artículo 37 de dicho Reglamento.
( 9 ) Artículo 38 del citado Reglamento.
( 10 ) Artículo 39 del mismo Reglamento.
( 11 ) Véase, en particular, la sentencia de 12 de mayo de 2021, Bundesrepublik Deutschland (Notificación roja de Interpol) (C‑505/19, EU:C:2021:376), apartado 77.
( 12 ) El subrayado es mío.
( 13 ) A este respecto, en el documento «Directrices sobre los delegados de protección de datos (DPD)» (en lo sucesivo, «Directrices sobre los DPD»), aprobadas el 13 de diciembre de 2016 y revisadas el 5 de abril de 2017 —disponibles en la siguiente dirección de Internet: https://ec.europa.eu/newsroom/article29/items/612048/en—, el Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 13) (en lo sucesivo, «Grupo de Trabajo del artículo 29»), precisó que «las sanciones pueden adoptar formas diversas y pueden ser directas o indirectas. Podrían consistir, por ejemplo, en la falta de ascensos o su dilación, en el impedimento de la promoción profesional o en la denegación de prestaciones que otros empleados reciben. No es necesario que dichas sanciones se impongan realmente, una simple amenaza es suficiente siempre que se utilice para penalizar al [delegado de protección de datos] por motivos relacionados con el desarrollo de sus actividades» (pp. 18 y 19). Desde la entrada en vigor del Reglamento 2016/679, el referido Grupo de Trabajo fue sustituido por el Comité Europeo de Protección de Datos (CEPD). Este aprobó las Directrices sobre los DPD durante su primera sesión plenaria, el 25 de mayo de 2018 (véase https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp. 29_documents_en_0.pdf.
( 14 ) Como señala LH, además de la versión en lengua alemana del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 («abberufen»), ciertas versiones lingüísticas, como la española («destituido»), la francesa («relevé») o la portuguesa («destituido»), indican claramente que el citado Reglamento se refiere al hecho de poner fin a la misión del delegado de protección de datos y no a la «relación laboral» («kündigen» en lengua alemana). Véanse asimismo las versiones en lengua inglesa («dismissed»), italiana («rimosso»), polaca («odwoływany») y rumana «demis».
( 15 ) Véase la nota de la Presidencia del Consejo de la Unión Europea, de 3 de octubre de 2014, relativa a la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) [Primera lectura] — Capítulo IV, disponible en la dirección de Internet siguiente: https://data.consilium.europa.eu/doc/document/ST-13772‑2014-INIT/es/pdf, relativa a la adición, en el artículo 36, apartado 3, de esta Propuesta, de la mención de que el delegado de protección de datos no puede ser sancionado por desempeñar sus tareas (p. 34). Véase, asimismo, la Posición del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de 6 de abril de 2016, disponible en la siguiente dirección de Internet: https://eur-lex.europa.eu/legal-content/es/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=es, por la que se adopta la redacción actual del artículo 38 del Reglamento 2016/679.
( 16 ) La expresión «de manera independiente» figura en la última frase del considerando 97 del Reglamento 2016/679.
( 17 ) DO 2018, L 295, p. 39.
( 18 ) Véase el artículo 37, apartado 6, del Reglamento 2016/679.
( 19 ) Véase la Posición del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) — Proyecto de exposición de motivos del Consejo en la siguiente dirección de Internet: https://eur-lex.europa.eu/legal-content/es/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=es (p. 22). En cuanto al principal cometido del delegado de protección de datos en la aplicación del Reglamento 2016/679, véase el considerando 97 del citado Reglamento y sus funciones definidas en el artículo 39 de este mismo Reglamento. A este respecto, el Grupo de Trabajo del artículo 29 recordó, en las Directrices sobre los DPD, que, antes de la adopción del Reglamento 2016/679, había argumentado que el delegado de protección de datos es «la piedra angular de la rendición de cuentas y que el nombramiento de un [delegado de protección de datos] puede facilitar el cumplimiento» de las normas (p. 5). Dicho Grupo de Trabajo también señaló que el citado Reglamento reconoce al delegado de protección de datos «como participante clave en el nuevo sistema de gestión de los datos» (p. 6). Véase, a título ilustrativo en cuanto a las necesidades de información del responsable o del encargado del tratamiento que debe atender el delegado de protección de datos, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems (C‑311/18, EU:C:2020:559), apartado 134.
( 20 ) Véase el artículo 38, apartado 3, frases primera y tercera, del Reglamento 2016/679.
( 21 ) Véase el artículo 38, apartado 5, del Reglamento 2016/679.
( 22 ) Véanse los considerandos del Reglamento 2016/679, en particular su considerando 12, y la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 44.
( 23 ) Véanse mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto 51.
( 24 ) En este contexto, considero que no cabe invocar las disposiciones del artículo 88, apartado 1, del referido Reglamento para considerar que constituyen una cláusula de apertura.
( 25 ) Véanse mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto 51.
( 26 ) Véase el punto 31 de las presentes conclusiones.
( 27 ) Véanse, en particular, en relación con el Reglamento 2016/679, mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto 52.
( 28 ) Véanse mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto 52. Además, en el punto 55 de estas, ya llamé la atención del Tribunal de Justicia sobre el hecho de que en el Reglamento 2016/679 figuran numerosas cláusulas de apertura mediante las cuales el Reglamento transfiere expresamente la competencia normativa a los Estados miembros, lo que permite distinguirlo de un reglamento clásico y lo aproxima a una directiva.
( 29 ) A este respecto, como señalan Bielak-Jomaa, E.: «Artykuł 38. Status inspektora ochrony danych», en Bielak-Jomaa, E., y Lubasz, D.: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varsovia, 2018, pp. 794 a 806, en particular el punto 5, párrafo cuarto, el Grupo de Trabajo del artículo 29 no indicó ningún criterio útil para determinar si el delegado de protección de datos desempeña correcta o incorrectamente su cometido. Del mismo modo, Foret, O.: «Le rôle du DPO», en Bensamoun, A., y Bertrand, B.: Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, París, 2020, pp. 233 a 239, en particular pp. 235 y 236, señala que «el CEPD precisa en sus Directrices que […] “el nivel de conocimientos requerido [para el nombramiento como delegado de protección de datos] no está definido estrictamente pero debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata”» [véanse las Directrices sobre los DPD (p. 13)]. Véase, asimismo, la página 14 de dichas Directrices. Véanse además los puntos 50 y 51 de las presentes conclusiones.
( 30 ) Véase Bergt, M.: «Art 38. Stellung des Datenschutzbeauftragten», en Kühling, J., y Buchner, B.: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3.a ed., C. H. Beck, Múnich, 2020, en particular el punto 29. Este autor señala que «contrariamente a los proyectos de la Comisión y del Parlamento, el artículo 38 no prevé una duración mínima del mandato del delegado de protección de datos designado».
( 31 ) Véanse los puntos 31 y 32 de las presentes conclusiones. Cabe añadir que el legislador de la Unión escogió deliberadamente esta opción al no aceptar la propuesta del Comité Económico y Social Europeo, en el contexto de los trabajos legislativos relativos al Reglamento n.o 2016/679, dirigida a precisar mejor «las condiciones asociadas a [la] función [de delegado de protección de datos], en particular la protección contra el despido, que debe definirse con claridad y extenderse más allá del período durante el cual la persona afectada desempeñe esta función»: véase el punto 4.11.1 del Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)» (DO 2012, C 229, p. 90).
( 32 ) Véase, en particular, la información disponible en las siguientes direcciones de Internet: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= y https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.
( 33 ) Es el caso del Reino de Dinamarca, Irlanda, la República de Croacia, la República Italiana, la República de Chipre, la República de Malta, el Reino de los Países Bajos, la República de Austria, la República de Polonia, la República Portuguesa, Rumanía y la República de Finlandia. En las Repúblicas de Croacia, Malta y Polonia, al igual que en la República de Bulgaria, la destitución o la sustitución del delegado debe comunicarse a la autoridad nacional de protección de datos personales. En algunos Estados miembros, como la República Francesa y el Gran Ducado de Luxemburgo, se ha precisado que el delegado de protección de datos no goza del estatuto de trabajador por cuenta ajena protegido que le otorgaría una garantía adicional a la prevista por el Reglamento 2016/679.
( 34 ) Véase, en la normativa belga, el artículo 6, párrafo tercero, del arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015 (Real Decreto, de 6 de diciembre de 2015, relativo a los asesores en materia de seguridad y de protección de la intimidad y a la plataforma de seguridad y de protección de datos; Moniteur belge de 28 de diciembre de 2015, p. 79268), anterior a la entrada en vigor del Reglamento 2016/679, a tenor del cual «el empleador o la autoridad competente solo podrán resolver el contrato del asesor, poner fin a la actividad estatutaria del asesor o cesar a este en su cargo por causas ajenas a la independencia de su cargo o por causas que demuestren su incompetencia para el desempeño de sus funciones». El subrayado es mío. Véase, asimismo, en la normativa española, el artículo 36, apartado 2, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE n.o 294, de 6 de diciembre de 2018, p. 119788), según el cual «cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio». El subrayado es mío.
( 35 ) Véanse las Directrices sobre los DPD (p. 19). El subrayado es mío.
( 36 ) Véase, en este sentido, Fajgielski, P.: «Artykuł 38. Status inspektora ochrony danych», Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varsovia, 2018, pp. 430 a 437, en particular el punto 5, párrafo quinto. Véanse, asimismo, Kremer, S.: «§ 6 Datenschutzbeauftragter», en Laue, P., Nink, J., y Kremer, S.: Das neue Datenschutzrecht in der betrieblichen Praxis, 2.a ed., Nomos, Baden-Baden, 2019, en particular el punto 36, y Bergt, M.: «Art 38. Stellung des Datenschutzbeauftragten», op. cit., en particular el punto 30, y Bussche, A.: «Art. 38 DSGVO», en Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3.a ed., Otto Schmidt, Colonia, 2018, en particular el punto 19.
( 37 ) Véase la nota 7 de las presentes conclusiones.
( 38 ) Véanse los puntos 31, 60 y 61 de las presentes conclusiones.
( 39 ) Véase el punto 31 de las presentes conclusiones. Véanse asimismo los asuntos X-FAB Dresden (C‑453/21) y KISA (C‑560/21), actualmente pendientes de resolución, en los que dos Salas distintas del Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) han planteado al Tribunal de Justicia las mismas cuestiones prejudiciales, si bien en el contexto de la destitución por conflicto de intereses. En el primero de estos asuntos se plantea una cuestión adicional relativa a los criterios de determinación de tal conflicto de intereses.
( 40 ) Véase, en este sentido, Kremer, S.: «§ 6 Datenschutzbeauftragter», op. cit., en particular el punto 35, y Bussche, A.: «Art. 38 DSGVO», op. cit., en particular el punto 17.
( 41 ) Véase el punto 34 de las presentes conclusiones.
( 42 ) Dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 96.
( 43 ) Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartados 44, 45 y 91.
( 44 ) Véase, en este sentido, la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 45 y, por analogía, apartado 47.
( 45 ) Véase la nota 19, cuarta frase, de las presentes conclusiones.