1.

O pedido de decisão prejudicial do Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha) tem por objeto a interpretação e a validade do artigo 38.o, n.o 3, segundo período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) ( 2 ).

2.

Este pedido foi apresentado no âmbito de um litígio que opõe LH à sua entidade patronal, a Leistritz AG, a propósito da cessação do seu contrato de trabalho em consequência da reorganização dos seus serviços, quando, segundo a lei alemã aplicável, LH só pode ser despedida com fundamento grave, sem cumprimento do prazo de pré‑aviso, devido à sua designação como encarregada da proteção de dados.

3.

Nestas conclusões, exporei as razões por que considero que a proibição de destituição do encarregado da proteção de dados das suas funções, prevista no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, não resulta de uma harmonização das regras materiais do direito do trabalho, o que dá aos Estados‑Membros a possibilidade de reforçarem a proteção deste encarregado nas suas regulamentações nacionais em diversos domínios, em conformidade com o objetivo prosseguido por este regulamento.

4.

Os considerandos 10, 13 e 97 do Regulamento 2016/679 enunciam:

[…]

[…]

5.

O artigo 1.o deste regulamento, com a epígrafe «Objeto e objetivos», dispõe, no seu n.o 1:

«O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.»

6.

O artigo 37.o do referido regulamento, com a epígrafe «Designação do encarregado da proteção de dados», enuncia, nos seus n.os 1 e 4 a 6:

«1.   O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

[…]

4.   Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados‑Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5.   O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o

6.   O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.»

7.

O artigo 38.o do mesmo regulamento, com a epígrafe «Posição do encarregado da proteção de dados», prevê:

«1.   O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

[…]

3.   O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4.   Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5.   O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados‑Membros.

6.   O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.»

8.

O artigo 39.o do Regulamento 2016/679 enuncia as principais funções do encarregado da proteção de dados.

9.

O § 6 da Bundesdatenschutzgesetz (Lei Federal sobre a Proteção de Dados), de 20 de dezembro de 1990 ( 3 ), na versão em vigor de 25 de maio de 2018 a 25 de novembro de 2019 ( 4 ), com a epígrafe «Função», dispõe, no seu n.o 4:

«O encarregado da proteção de dados só pode ser destituído das suas funções por aplicação analógica do § 626 do Bürgerliches Gesetzbuch [Código Civil]. O despedimento do encarregado da proteção de dados é ilegal, a menos que os factos permitam ao organismo público proceder ao seu despedimento por justa causa, sem cumprimento do prazo de pré‑aviso. Após a cessação das funções de encarregado da proteção de dados, o despedimento é ilegal durante um ano, a menos que o organismo público seja autorizado a proceder ao despedimento por justa causa, sem cumprimento do prazo de pré‑aviso.»

10.

O § 38 da BDSG, com a epígrafe «Encarregados da proteção de dados de organismos não públicos», prevê:

«(1)   Adicionalmente ao artigo 37.o, n.o 1, alíneas b) e c), do Regulamento […] 2016/679, o responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados quando empreguem habitualmente pelo menos dez pessoas [ ( 5 )] afetas permanentemente ao tratamento automatizado de dados pessoais […]

(2)   É aplicável o § 6, n.os 4, 5, segundo período, e 6; no entanto, o § 6, n.o 4, só é aplicável quando a designação de um encarregado da proteção de dados for obrigatória.»

11.

O § 134 do Código Civil, na sua versão publicada em 2 de janeiro de 2002 ( 6 ), com a epígrafe «Proibição legal», tem a seguinte redação:

«O ato jurídico contrário a uma proibição legal é nulo, salvo disposição legal em contrário.»

12.

O § 626 deste código, com a epígrafe «Resolução por justa causa sem pré‑aviso», dispõe:

«(1)   Qualquer das partes contratantes pode fazer cessar a relação laboral por justa causa, sem cumprimento do prazo de pré‑aviso, quando, devido a determinados factos, tendo em consideração todas as circunstâncias do caso concreto e ponderados os interesses das duas partes, seja impossível a subsistência da relação laboral até ao termo do prazo de pré‑aviso ou do acordado no contrato.

(2)   A resolução só pode ter lugar no prazo de duas semanas. O prazo começa a correr a partir do momento em que a parte que tem direito à resolução toma conhecimento dos factos relevantes para a mesma […]»

13.

A Leistritz é uma sociedade de direito privado, legalmente obrigada a designar um encarregado da proteção de dados nos termos do direito alemão. LH exerceu aí as funções de chefe do serviço jurídico e de encarregada interna da proteção de dados, respetivamente, a partir de 15 de janeiro de 2018 e de 1 de fevereiro de 2018.

14.

Por carta de 13 de julho de 2018, a Leistritz despediu LH com pré‑aviso, com efeitos a partir de 15 de agosto de 2018, invocando uma medida de reestruturação da empresa, no âmbito da qual os serviços internos de assessoria jurídica e o serviço de proteção de dados eram contratados externamente.

15.

Os juízes que conhecem do mérito, chamados por LH a pronunciar‑se sobre a contestação da validade do seu despedimento, decidiram que, em conformidade com as disposições conjugadas do § 38, n.o 2, e do § 6, n.o 4, segundo período, da BDSG, LH só pode ser despedida por justa causa, sem pré‑aviso, atendendo à sua qualidade de encarregada da proteção de dados. Ora, a medida de reestruturação descrita pela Leistritz não constitui fundamento grave de despedimento sem pré‑aviso.

16.

O órgão jurisdicional de reenvio, chamado a pronunciar‑se em sede de recurso de «Revision» interposto pela Leistritz, observa que, nos termos do direito alemão, o despedimento de LH é nulo por força dessas disposições e do § 134 do Código Civil ( 7 ). Todavia, salienta que a aplicabilidade dessas disposições depende da questão de saber se o direito da União, e, especificamente, o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, autoriza uma regulamentação de um Estado‑Membro que sujeita o despedimento de um encarregado da proteção de dados a condições mais restritivas que as previstas no direito da União. Se não for esse o caso, cabe‑lhe dar provimento ao recurso de «Revision».

17.

Nestas circunstâncias, o Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

18.

LH, a Leistritz, os Governos alemão e romeno, o Parlamento Europeu, o Conselho da União Europeia e a Comissão Europeia apresentaram observações escritas. Estas partes, com exceção dos Governos alemão e romeno, apresentaram observações orais na audiência que teve lugar em 18 de novembro de 2021.

19.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, ao Tribunal de Justiça se o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que prevê que o empregador de um encarregado da proteção de dados só o pode despedir com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado.

20.

A resposta a esta questão pressupõe que, em primeiro lugar, se precise o alcance da expressão «ser destituído […] pelo facto de exercer as suas funções» empregue pelo legislador da União no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679. Em segundo lugar, há que determinar se os Estados‑Membros têm a possibilidade de alargar as garantias de que beneficia o encarregado da proteção de dados ao abrigo desta disposição.

21.

O artigo 38.o do Regulamento 2016/679 figura no capítulo IV deste regulamento, relativo ao «[r]esponsável pelo tratamento e subcontratante», em especial na secção 4, intitulada «Encarregado da proteção de dados». Esta secção contém três artigos relativos, respetivamente, à designação do encarregado da proteção de dados ( 8 ), à sua posição ( 9 ) e às suas funções, que, no essencial, consistem em prestar aconselhamento pessoal sobre o tratamento de dados e em controlar a conformidade das regras de proteção de dados ( 10 ).

22.

Para a interpretação do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, há que ter em conta, segundo jurisprudência constante do Tribunal de Justiça, não só os termos dessa disposição mas também o seu contexto e os objetivos prosseguidos pela regulamentação de que faz parte ( 11 ).

23.

Relativamente à redação do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, observo que exprime uma obrigação em termos negativos. Com efeito, enuncia que «[o] encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções» ( 12 ).

24.

Assim, esta disposição estabelece o perímetro da proteção do encarregado da proteção de dados. Está protegido, por um lado, contra qualquer decisão que ponha termo às suas funções ou que o sujeite a uma desvantagem, quando, por outro, essa decisão esteja relacionada com o exercício das suas funções.

25.

No que respeita à distinção entre a medida de destituição das funções do encarregado da proteção de dados e a medida que o penaliza, constato, em primeiro lugar, que nenhuma disposição do Regulamento 2016/679 define expressa ou implicitamente essas medidas ( 13 ).

26.

No termo do exame comparado de outras versões linguísticas, pode‑se considerar que estão previstos no artigo 38.o, n.o 3, segundo período, do Regulamento n.o 2016/679 dois tipos de medidas, a saber, as que põem termo às funções do encarregado da proteção de dados e as que constituem sanções ou desfavorecem esse encarregado qualquer que seja o seu âmbito. Por conseguinte, essas definições podem abranger os despedimentos através dos quais o empregador põe termo a um contrato de trabalho ( 14 ).

27.

Os resultados das pesquisas sobre o historial legislativo do artigo 38.o do Regulamento 2016/679 a que pude ter acesso não permitem, por falta de elementos detalhados, ficar esclarecido sobre as precisas intenções do legislador da União quanto ao alcance do termo «destituído». Pode‑se constatar apenas que o aditamento de redação relativo à destituição de funções ocorreu tardiamente no processo legislativo ( 15 ), durante o qual, concomitantemente, foi suprimido o seguinte trecho, que constava a seguir «O responsável pelo tratamento ou o subcontratante asseguram que o encarregado da proteção de dados»«possa agir com independência no desempenho das suas funções» ( 16 ). Pode‑se deduzir daqui que esse legislador quis concretizar a obrigação de não destituir o encarregado da proteção de dados pelo facto de exercer as suas funções.

28.

Observo também que o legislador da União optou por reproduzir de forma idêntica a redação do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 no artigo 44.o, n.o 3, segundo período, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE ( 17 ). No entanto, não é possível retirar nenhum esclarecimento dos documentos relativos à elaboração do Regulamento 2018/1725, o que, na minha opinião, se justifica pelo aditamento ao artigo 44.o, n.o 8, de uma outra garantia essencial dada ao encarregado da proteção de dados, a saber, que o encarregado da proteção de dados «pode ser destituído pela instituição ou pelo órgão da União que o nomeou se tiver deixado de preencher as condições exigidas para o exercício das suas funções, e unicamente com o acordo da Autoridade Europeia para a Proteção de Dados».

29.

Em segundo lugar, saliento que não distinguiu, no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, entre o encarregado da proteção de dados ser ou não membro do pessoal do responsável pelo tratamento ou do subcontratante ( 18 ). Com efeito, este regulamento não contém nenhuma disposição relativa à interdependência entre as decisões que sejam tomadas pelo empregador no âmbito da relação laboral e as relativas às funções desse encarregado. O único limite fixado diz respeito ao motivo pelo qual não pode ser posto termo às funções do encarregado da proteção de dados, a saber, qualquer motivo relativo ao exercício das suas funções.

30.

Relativamente ao objetivo prosseguido pelo legislador da União, este justifica a redação em termos gerais do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, e a opção por esse limite.

31.

Com efeito, consta do projeto de nota justificativa do Conselho que a designação de um encarregado da proteção de dados pretende melhorar o cumprimento do Regulamento 2016/679 ( 19 ). É por isso que o artigo 38.o, n.o 3, segundo período, deste regulamento estabelece obrigações que possam assegurar a independência desse encarregado. Assim, prevê‑se nesse mesmo artigo que o encarregado da proteção de dados não deve receber instruções relativamente ao exercício das suas funções e que deve informar diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante ( 20 ). Também está vinculado à obrigação de sigilo ou de confidencialidade ( 21 ).

32.

A tónica é posta, portanto, no rigor do enquadramento das funções do encarregado da proteção de dados, que é especialmente justificado quando esse encarregado é designado por um responsável pelo tratamento que é o seu empregador. Por conseguinte, através da proibição enunciada no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, são garantidas as prerrogativas de que o referido encarregado beneficia para o exercício das suas funções, que podem, em certos casos, ser dificilmente conciliáveis com as que foram fixadas pelo empregador no âmbito da relação laboral.

33.

A análise segundo a qual esta disposição tem por único objetivo organizar o exercício das funções de encarregado da proteção de dados com total independência é corroborada pelo contexto em que foi adotada.

34.

A este respeito, deve‑se sublinhar que, segundo o seu artigo 1.o, o Regulamento 2016/679 tem por objeto estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e as relativas à livre circulação desses dados. Assim, foi adotado com base no artigo 16.o, n.o 2, TFUE ( 22 ), o que leva a considerar, como já referi em conclusões anteriores, que, embora a proteção dos dados pessoais seja transversal por natureza, a harmonização operada por este regulamento está limitada aos aspetos especificamente abrangidos pelo referido regulamento neste domínio ( 23 ).

35.

Por todas estas razões, não há dúvida, na minha opinião, de que a proteção específica do encarregado da proteção de dados, prevista no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, é adequada ao objeto deste regulamento, na medida em que vem reforçar a autonomia desse encarregado. Por conseguinte, não se inscreve no âmbito mais amplo da proteção dos trabalhadores ( 24 ).

36.

Consequentemente, coloca‑se novamente a questão de saber se, fora dos aspetos especificamente abrangidos pelo Regulamento 2016/679, os Estados‑Membros são livres de legislar, desde que não prejudiquem o conteúdo e os objetivos deste regulamento ( 25 ).

37.

Na minha opinião, o objetivo do Regulamento 2016/679 enunciado no seu considerando 13, em aplicação do qual o legislador da União garante a independência do encarregado da proteção de dados em termos gerais no artigo 38.o, n.o 3, segundo período, deste regulamento ( 26 ), justifica que qualquer outra medida que vise reforçar a autonomia desse encarregado no exercício das suas funções deve poder ser tomada por um Estado‑Membro.

38.

Esta análise não está em contradição com os efeitos de um regulamento, tal como são definidos no artigo 288.o, segundo parágrafo, TFUE, nem com a obrigação subsequente de os Estados‑Membros não derrogarem um regulamento obrigatório em todos os seus elementos e diretamente aplicável ou o completarem, a menos que as disposições desse regulamento reconheçam aos Estados‑Membros uma margem de manobra que deve ou pode, consoante os casos, ser utilizada por estes últimos nas condições e nos limites previstos nessas disposições ( 27 ).

39.

Por conseguinte, reitero a minha opinião segundo a qual o alcance da harmonização efetuada pelo Regulamento 2016/679 varia consoante as disposições em causa. A determinação do alcance normativo deste regulamento exige, portanto, um exame casuístico ( 28 ).

40.

A este respeito, observo que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 trata da destituição das funções do encarregado da proteção de dados na medida em que esteja apenas vinculado ao exercício das suas funções, o que se presume correto ( 29 ), sob a forma de proibição, sem introduzir um nível de gravidade do motivo invocado ou considerar os diversos aspetos do vínculo de subordinação com o seu empregador que podem ter efeitos na sua designação. Assim, não foram consideradas, por exemplo, a duração do contrato de trabalho, nem a razão pessoal ou económica da sua rutura, que pode eventualmente ser negociada, ou ainda a suspensão da relação laboral por motivo de doença, de formação, de férias anuais ou de longa duração.

41.

Por outro lado, a intenção do legislador da União de deixar aos Estados‑Membros o cuidado de completar as disposições protetoras da independência do encarregado da proteção de dados com base num quadro legislativo mínimo relativo ao exercício das suas funções, definido segundo os objetivos do Regulamento 2016/679, também se manifesta pela falta de prescrição relativa à duração do mandato desse encarregado — contrariamente ao que prevê o artigo 44.o, n.o 8, primeiro período, do Regulamento 2018/1725 ( 30 ) — ou relativa ao caso, como neste processo, de reorganização de uma empresa que tenha por efeito contratar externamente as funções de encarregado da proteção de dados por razões que não se prendem com o cumprimento das suas funções.

42.

Por conseguinte, os Estados‑Membros podem decidir reforçar a independência do encarregado da proteção de dados, na medida em que participe na realização dos objetivos do Regulamento 2016/679, mais especificamente em matéria de despedimento, uma vez que não existe nenhuma disposição no direito da União suscetível de servir de fundamento a uma proteção especial e concreta contra o despedimento por um motivo alheio ao exercício das suas funções, ao passo que a rutura da relação laboral tem necessariamente por efeito pôr‑lhes termo.

43.

A este respeito, há que recordar que, no domínio da proteção dos trabalhadores, em caso de rescisão do contrato de trabalho, o artigo 153.o, n.o 1, alínea d), TFUE precisa que a União apoiará e completará a ação dos Estados‑Membros, e que, mais genericamente, no domínio da política social, a União e os Estados‑Membros dispõem, por força do artigo 4.o, n.o 2, alínea b), TFUE, quanto aos aspetos definidos no Tratado FUE, de uma competência partilhada, na aceção do artigo 2.o, n.o 2, TFUE.

44.

Nestas condições, cada Estado‑Membro pode prever disposições específicas em matéria de despedimento do encarregado da proteção de dados, desde que essas disposições sejam compatíveis com o seu regime de proteção previsto no Regulamento 2016/679 ( 31 ).

45.

Como resulta do exame sucinto da regulamentação dos Estados‑Membros que pude consultar ( 32 ), a maior parte deles não adotaram disposições específicas relativas ao despedimento, limitando‑se à proibição enunciada no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, diretamente aplicável ( 33 ).

46.

No entanto, outros Estados‑Membros optaram por completar este artigo ( 34 ).

47.

A este respeito, observo que o grupo de trabalho «Artigo 29.o» considerou que, «[n]o âmbito de uma gestão normal, e como acontece com qualquer outro trabalhador ou subcontratante em conformidade com o direito dos contratos ou com o direito do trabalho e com o direito penal aplicáveis a nível nacional, e segundo as condições aí fixadas, um [encarregado da proteção de dados] pode sempre ser despedido legitimamente por motivos diferentes do exercício das suas funções de [encarregado da proteção de dados,] (por exemplo, em caso de furto, de assédio psicológico, moral ou sexual ou de outras faltas graves semelhantes)» ( 35 ).

48.

Qualquer que seja a opção dos Estados‑Membros, o órgão administrativo ou jurisdicional responsável em cada um deles por fiscalizar a legalidade do motivo de destituição das funções do encarregado da proteção de dados também contribui, na minha opinião, para garantir a independência deste encarregado.

49.

Com efeito, uma vez que é altamente provável que a relação com o exercício satisfatório das funções do encarregado da proteção de dados não resulte expressamente da decisão de o destituir das suas funções ( 36 ), é concebível uma proteção geral baseada apenas na qualidade de encarregado da proteção de dados. No caso em apreço, resulta das explicações do órgão jurisdicional de reenvio que é o conceito de «justa causa», conforme interpretado no direito alemão, que leva a considerar, por razões de proteção adicional, que não se pode pôr termo às funções do encarregado da proteção de dados em caso de reestruturação ( 37 ). No mesmo sentido, pode‑se, aliás, considerar que, em caso de dificuldades económicas da empresa que tem a obrigação de designar um encarregado da proteção de dados e escolheu para esse efeito um dos seus trabalhadores, as funções deste devem, devido ao objetivo do Regulamento 2016/679 e da contribuição desse encarregado para dar cumprimento a este último, continuar a ser exercidas enquanto a atividade do empregador perdurar.

50.

No entanto, a proibição enunciada no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 tem necessariamente limites em caso de disfunções objetivas no exercício das funções do encarregado da proteção de dados, tendo em conta as suas obrigações. Estes limites devem ser fixados em conformidade com o objetivo prosseguido por este regulamento ( 38 ).

51.

Assim, uma interpretação igualmente conforme com o objetivo do Regulamento 2016/679 deve, na minha opinião, levar a admitir que um encarregado da proteção de dados possa ser destituído das suas funções quando deixe de preencher os critérios qualitativos necessários ao exercício das suas funções, como os enunciados no artigo 37.o, n.o 5, deste regulamento, ou deixe de cumprir as obrigações fixadas no artigo 38.o, n.o 3, primeiro e terceiro períodos, e n.os 5 e 6, do referido regulamento ( 39 ), ou ainda quando o seu nível de conhecimento se revele insuficiente ( 40 ).

52.

Por conseguinte, considero que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que prevê que o empregador de um encarregado da proteção de dados só o pode despedir com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado.

53.

Se, no entanto, o Tribunal de Justiça não partilhar deste entendimento e decidir responder pela afirmativa à primeira questão do órgão jurisdicional de reenvio, haverá que responder às duas outras questões prejudiciais.

54.

Com a sua segunda questão, o órgão jurisdicional de reenvio pretende saber se o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 se opõe a uma regulamentação nacional que declara ilegal o despedimento do encarregado da proteção de dados pelo seu empregador sem justa causa, ainda que esse despedimento não esteja relacionado com o exercício das suas funções, se a designação do encarregado da proteção de dados for obrigatória, não por força do artigo 37.o, n.o 1, deste regulamento, mas apenas por força do direito nacional, conforme prevê o artigo 37.o, n.o 4, do referido regulamento.

55.

Observo que nem o artigo 38.o, n.o 3, do Regulamento 2016/679 nem as outras disposições da secção 4 deste regulamento, relativa ao encarregado da proteção de dados, fazem distinção entre a designação obrigatória ou facultativa desse encarregado.

56.

Por conseguinte, considero que se deve responder ao órgão jurisdicional de reenvio que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 é aplicável, sem que haja que distinguir entre o encarregado da proteção de dados ser obrigatoriamente designado por força do direito da União ou por força do direito nacional.

57.

Com a sua terceira questão, o órgão jurisdicional de reenvio interroga‑se sobre a validade do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 e, em especial, sobre a questão de saber se esta disposição assenta numa base jurídica suficiente, nomeadamente na medida em que se refira aos encarregados da proteção de dados que estão vinculados ao responsável pelo tratamento por um contrato de trabalho.

58.

Proponho ao Tribunal de Justiça que considere que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 assenta numa base jurídica suficiente, na medida em que tem unicamente por objeto precaver o encarregado da proteção de dados contra qualquer entrave no cumprimento das suas funções e que esta garantia, independentemente da existência de uma relação laboral, contribui para a realização efetiva dos objetivos deste regulamento.

59.

Com efeito, por um lado, como já referi no âmbito da análise da primeira questão prejudicial ( 41 ), o artigo 16.o TFUE constitui a base jurídica em que assenta o referido regulamento. Além disso, o Tribunal de Justiça declarou que, sem prejuízo do artigo 39.o TUE, este artigo constitui uma base jurídica adequada quando a proteção dos dados pessoais seja uma das finalidades ou das componentes essenciais das regras adotadas pelo legislador da União ( 42 ).

60.

Por outro lado, uma dessas condições está, na minha opinião, plenamente preenchida no que respeita ao papel do encarregado da proteção de dados e do seu enquadramento, conforme definidos no Regulamento 2016/679. A garantia da independência funcional desse encarregado, que visa assegurar, a um nível elevado, o respeito pelos direitos fundamentais das pessoas afetadas pelo tratamento dos dados pessoais ( 43 ), traduziu‑se, no artigo 38.o, n.o 3, segundo período, deste regulamento, no enunciado de uma proibição de destituição por razões inerentes às suas funções. Uma vez que esta disposição não impõe nenhuma harmonização em direito do trabalho, o legislador da União não excedeu os poderes normativos que lhe foram conferidos pelo artigo 16.o, n.o 2, TFUE.

61.

Relativamente ao respeito pelos princípios da subsidiariedade e da proporcionalidade, sobre o qual o órgão jurisdicional de reenvio também se interroga, saliento, em primeiro lugar, que a intensificação dos tratamentos transfronteiriços de dados pessoais justifica que a proteção destes, tendo em conta os direitos fundamentais, seja implementada a nível da União ( 44 ), garantindo nomeadamente as prerrogativas do encarregado da proteção de dados, considerado um «ator chave» dessa proteção ( 45 ). Em segundo lugar, não me parece que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 vá além do necessário para garantir a independência funcional desse encarregado. É certo que a garantia de não ser destituído das suas funções, prevista nesta disposição, tem necessariamente incidência na relação laboral. No entanto, esta incidência visa apenas preservar o efeito útil da função do encarregado da proteção de dados.

62.

Por conseguinte, considero que se deve responder ao órgão jurisdicional de reenvio que o exame da terceira questão prejudicial não revelou nenhum elemento suscetível de afetar a validade do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679.

63.

Tendo em conta todas as considerações que precedem, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha), do seguinte modo:

A título principal:

A título subsidiário, caso o Tribunal de Justiça responda pela afirmativa à primeira questão prejudicial: