Processo C‑534/20

Leistritz AG

contra

LH

(pedido de decisão prejudicial apresentado pelo Bundesarbeitsgericht)

Acórdão do Tribunal de Justiça (Primeira Secção) de 22 de junho de 2022

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 38.o, n.o 3, segundo período — Encarregado da proteção de dados — Proibição imposta a um responsável pelo tratamento ou a um subcontratante de destituir ou de penalizar um encarregado da proteção de dados pelo exercício das suas funções — Base jurídica — Artigo 16.o TFUE — Exigência de independência funcional — Regulamentação nacional que proíbe o despedimento de um encarregado da proteção de dados sem justa causa»

Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Encarregado da proteção de dados — Função — Proibição imposta a um responsável pelo tratamento ou a um subcontratante de destituir ou de penalizar um encarregado da proteção de dados pelo exercício das suas funções — Regulamentação nacional que proíbe o despedimento do encarregado da proteção de dados sem justa causa — Despedimento não relacionado com o exercício das funções desse encarregado — Admissibilidade — Requisito — Respeito dos objetivos previstos neste regulamento

(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 38.o, n.o 3, segundo período)

(cf. n.os 21‑36 e disp.)

Resumo

LH exerce, desde 1 de fevereiro de 2018, a função de encarregada da proteção de dados na sociedade Leistritz AG. Esta sociedade está obrigada, nos termos da regulamentação alemã, a designar um encarregado da proteção de dados. Em julho de 2018, a Leistritz despediu LH com pré‑aviso, invocando uma medida de reestruturação das suas atividades, por força da qual o serviço de proteção de dados seria contratado externamente.

Chamados por LH a pronunciar‑se sobre a validade do seu despedimento, os juízes que conheceram do mérito da causa decidiram que esse despedimento era inválido. Com efeito, em conformidade com o disposto na regulamentação federal alemã, LH, na sua qualidade de encarregada da proteção de dados, só podia ser despedida sem aviso prévio por justa causa. Ora, a reestruturação das atividades da Leistritz não constitui uma causa dessa natureza.

Na sequência do recurso interposto pela Leistritz para o Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha), este órgão jurisdicional interroga‑se sobre se o Regulamento Geral sobre a Proteção de Dados ( 1 ) autoriza uma regulamentação de um Estado‑Membro que sujeita o despedimento de um encarregado da proteção de dados a condições mais restritivas do que as previstas no direito da União.

Com o seu acórdão, o Tribunal de Justiça declara que o artigo 38.o, n.o 3, segundo período, do RGPD ( 2 ) não se opõe a uma regulamentação nacional que prevê que um responsável pelo tratamento ou um subcontratante só pode despedir um encarregado da proteção de dados que seja um elemento do seu pessoal com justa causa. Este raciocínio é aplicável mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado, desde que essa regulamentação não comprometa a realização dos objetivos do RGPD.

Apreciação do Tribunal de Justiça

Em primeiro lugar, o Tribunal de Justiça sublinha que, em conformidade com o disposto no artigo 38.o, n.o 3, segundo período, do RGPD, a proibição imposta ao responsável pelo tratamento ou ao subcontratante de destituir ou de penalizar um encarregado da proteção de dados significa que esse encarregado deve ser protegido de toda e qualquer decisão pela qual seja destituído, pela qual sofra uma desvantagem ou que constitua uma sanção. Assim, uma medida de despedimento de um encarregado da proteção de dados tomada pelo seu empregador e que ponha termo à relação laboral existente entre esse encarregado e esse empregador é suscetível de constituir uma decisão desse tipo. No que diz respeito a esta relação laboral, o Tribunal de Justiça precisa que o artigo 38.o, n.o 3, segundo período, do RGPD é aplicável indistintamente tanto ao encarregado da proteção de dados, que é um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, como àquele que exerce as suas funções com base num contrato de prestação de serviços celebrado com estes. Esta disposição visa, portanto, ser aplicada às relações entre um encarregado da proteção de dados e um responsável pelo tratamento ou um subcontratante, independentemente da natureza da relação laboral que vincula esse encarregado a estes. Além disso, esta mesma disposição fixa um limite que consiste em proibir o despedimento de um encarregado da proteção de dados por uma causa relacionada com o exercício das suas funções ( 3 ).

Em segundo lugar, no que respeita ao objetivo prosseguido pelo artigo 38.o, n.o 3, segundo período, do RGPD, este regulamento ( 4 ) enuncia que os encarregados da proteção de dados, sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência, em conformidade com o objetivo do RGPD ( 5 ). Assim, o objetivo que visa garantir a independência funcional do encarregado da proteção de dados ( 6 ), impõe que este não receba instruções relativamente ao exercício das suas funções, que informe diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante e que esteja vinculado à obrigação de sigilo ou de confidencialidade. Por conseguinte, o artigo 38.o, n.o 3, segundo período, do RGPD, visa preservar a independência do encarregado da proteção de dados, na medida em que esta disposição o protege de toda e qualquer decisão relacionada com o exercício das suas funções e que ponha termo à relação laboral existente, lhe cause uma desvantagem ou constitua uma sanção. Todavia, esta disposição não visa regular globalmente as relações laborais entre um responsável pelo tratamento ou um subcontratante e os elementos do seu pessoal.

Em terceiro e último lugar, no que se refere ao contexto em que se insere o artigo 38.o, n.o 3, segundo período, do RGPD, o Tribunal de Justiça precisa que, com exceção da proteção específica do encarregado da proteção de dados prevista nesta disposição, a proteção contra o despedimento de um encarregado da proteção de dados empregado por um responsável pelo tratamento ou por um subcontratante não está abrangida pelas normas que possam ser adotadas com base no RGPD ( 7 ), mas pelo domínio da política social. Ora, a União e os Estados‑Membros dispõem de uma competência partilhada ( 8 ) neste domínio. Com efeito, a União apoia e completa a ação dos Estados‑Membros no domínio da proteção dos trabalhadores em caso de cessação do contrato de trabalho, adotando prescrições mínimas a este respeito. Por conseguinte, cada Estado‑Membro pode, no exercício da sua competência, prever disposições específicas mais protetoras em matéria de despedimento do encarregado da proteção de dados, desde que essas disposições sejam compatíveis com as disposições do RGPD. Em especial, essa proteção acrescida não pode comprometer a realização dos objetivos do RGPD. Ora, seria esse o caso se impedisse qualquer despedimento, por um responsável pelo tratamento ou por um subcontratante, de um encarregado da proteção de dados que já não tivesse as qualidades profissionais exigidas para exercer as suas funções ou que não as desempenhasse em conformidade com as disposições do RGPD.

( 1 ) V., nomeadamente, artigo 38.o, n.o 3, segundo período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

( 2 ) Nos termos do artigo 38.o, n.o 3, segundo período, do RGPD, o encarregado da proteção de dados não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções.

( 3 ) Por força do artigo 39.o, n.o 1, alínea b), do RGPD, as suas funções compreendem, designadamente, o controlo da conformidade com as disposições do direito da União ou do direito dos Estados‑Membros em matéria de proteção dos dados e das políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais.

( 4 ) E, designadamente, o considerando 97 do RGPD.

( 5 ) O RGPD, como resulta do seu considerando 10, visa nomeadamente assegurar um nível de proteção elevado das pessoas singulares na União.

( 6 ) Como decorre do artigo 38.o, n.o 3, primeiro, segundo e terceiro períodos, e do artigo 38.o, n.o 5, do RGPD.

( 7 ) O artigo 16.o, n.o 2, TFUE, base jurídica do RGPD, permite a adoção de normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

( 8 ) Por força do artigo 4.o, n.o 2, alínea b), TFUE.