EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62020CC0534

Conclusões do advogado-geral J. Richard de la Tour apresentadas em 27 de janeiro de 2022.
Leistritz AG contra LH.
Pedido de decisão prejudicial apresentado pelo Bundesarbeitsgericht.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 38.o, n.o 3, segundo período — Encarregado da proteção de dados — Proibição imposta a um responsável pelo tratamento ou a um subcontratante de destituir ou de penalizar um encarregado da proteção de dados pelo exercício das suas funções — Base jurídica — Artigo 16.o TFUE — Exigência de independência funcional — Regulamentação nacional que proíbe o despedimento do encarregado da proteção de dados sem justa causa.
Processo C-534/20.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:62

  The document is unavailable in your User interface language.

 CONCLUSÕES DO ADVOGADO‑GERAL

JEAN RICHARD DE LA TOUR

apresentadas em 27 de janeiro de 2022 ( 1 )

Processo C‑534/20

Leistritz AG

contra

LH

[pedido de decisão prejudicial apresentado pelo Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha)]

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 38.o, n.o 3, segundo período — Encarregado da proteção de dados — Proibição de destituição pelo facto de exercer as suas funções — Base jurídica — Artigo 16.o TFUE — Validade — Exigência de independência funcional — Alcance da harmonização — Regulamentação nacional que proíbe o despedimento do encarregado da proteção de dados sem justa causa — Encarregado da proteção de dados designado obrigatoriamente por força do direito nacional»

I. Introdução

1.

O pedido de decisão prejudicial do Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha) tem por objeto a interpretação e a validade do artigo 38.o, n.o 3, segundo período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) ( 2 ).

2.

Este pedido foi apresentado no âmbito de um litígio que opõe LH à sua entidade patronal, a Leistritz AG, a propósito da cessação do seu contrato de trabalho em consequência da reorganização dos seus serviços, quando, segundo a lei alemã aplicável, LH só pode ser despedida com fundamento grave, sem cumprimento do prazo de pré‑aviso, devido à sua designação como encarregada da proteção de dados.

3.

Nestas conclusões, exporei as razões por que considero que a proibição de destituição do encarregado da proteção de dados das suas funções, prevista no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, não resulta de uma harmonização das regras materiais do direito do trabalho, o que dá aos Estados‑Membros a possibilidade de reforçarem a proteção deste encarregado nas suas regulamentações nacionais em diversos domínios, em conformidade com o objetivo prosseguido por este regulamento.

II. Quadro jurídico

A.   Regulamento 2016/679

4.

Os considerandos 10, 13 e 97 do Regulamento 2016/679 enunciam:

«(10)

A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União [Europeia], o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais […]

[…]

(13)

A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados‑Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados‑Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados‑Membros […]

[…]

(97)

[…] [Os] encarregados da proteção de dados, sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência.»

5.

O artigo 1.o deste regulamento, com a epígrafe «Objeto e objetivos», dispõe, no seu n.o 1:

«O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.»

6.

O artigo 37.o do referido regulamento, com a epígrafe «Designação do encarregado da proteção de dados», enuncia, nos seus n.os 1 e 4 a 6:

«1.   O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a)

O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b)

As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c)

As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o

[…]

4.   Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados‑Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5.   O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o

6.   O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.»

7.

O artigo 38.o do mesmo regulamento, com a epígrafe «Posição do encarregado da proteção de dados», prevê:

«1.   O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

[…]

3.   O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4.   Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5.   O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados‑Membros.

6.   O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.»

8.

O artigo 39.o do Regulamento 2016/679 enuncia as principais funções do encarregado da proteção de dados.

B.   Direito alemão

9.

O § 6 da Bundesdatenschutzgesetz (Lei Federal sobre a Proteção de Dados), de 20 de dezembro de 1990 ( 3 ), na versão em vigor de 25 de maio de 2018 a 25 de novembro de 2019 ( 4 ), com a epígrafe «Função», dispõe, no seu n.o 4:

«O encarregado da proteção de dados só pode ser destituído das suas funções por aplicação analógica do § 626 do Bürgerliches Gesetzbuch [Código Civil]. O despedimento do encarregado da proteção de dados é ilegal, a menos que os factos permitam ao organismo público proceder ao seu despedimento por justa causa, sem cumprimento do prazo de pré‑aviso. Após a cessação das funções de encarregado da proteção de dados, o despedimento é ilegal durante um ano, a menos que o organismo público seja autorizado a proceder ao despedimento por justa causa, sem cumprimento do prazo de pré‑aviso.»

10.

O § 38 da BDSG, com a epígrafe «Encarregados da proteção de dados de organismos não públicos», prevê:

«(1)   Adicionalmente ao artigo 37.o, n.o 1, alíneas b) e c), do Regulamento […] 2016/679, o responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados quando empreguem habitualmente pelo menos dez pessoas [ ( 5 )] afetas permanentemente ao tratamento automatizado de dados pessoais […]

(2)   É aplicável o § 6, n.os 4, 5, segundo período, e 6; no entanto, o § 6, n.o 4, só é aplicável quando a designação de um encarregado da proteção de dados for obrigatória.»

11.

O § 134 do Código Civil, na sua versão publicada em 2 de janeiro de 2002 ( 6 ), com a epígrafe «Proibição legal», tem a seguinte redação:

«O ato jurídico contrário a uma proibição legal é nulo, salvo disposição legal em contrário.»

12.

O § 626 deste código, com a epígrafe «Resolução por justa causa sem pré‑aviso», dispõe:

«(1)   Qualquer das partes contratantes pode fazer cessar a relação laboral por justa causa, sem cumprimento do prazo de pré‑aviso, quando, devido a determinados factos, tendo em consideração todas as circunstâncias do caso concreto e ponderados os interesses das duas partes, seja impossível a subsistência da relação laboral até ao termo do prazo de pré‑aviso ou do acordado no contrato.

(2)   A resolução só pode ter lugar no prazo de duas semanas. O prazo começa a correr a partir do momento em que a parte que tem direito à resolução toma conhecimento dos factos relevantes para a mesma […]»

III. Litígio no processo principal e questões prejudiciais

13.

A Leistritz é uma sociedade de direito privado, legalmente obrigada a designar um encarregado da proteção de dados nos termos do direito alemão. LH exerceu aí as funções de chefe do serviço jurídico e de encarregada interna da proteção de dados, respetivamente, a partir de 15 de janeiro de 2018 e de 1 de fevereiro de 2018.

14.

Por carta de 13 de julho de 2018, a Leistritz despediu LH com pré‑aviso, com efeitos a partir de 15 de agosto de 2018, invocando uma medida de reestruturação da empresa, no âmbito da qual os serviços internos de assessoria jurídica e o serviço de proteção de dados eram contratados externamente.

15.

Os juízes que conhecem do mérito, chamados por LH a pronunciar‑se sobre a contestação da validade do seu despedimento, decidiram que, em conformidade com as disposições conjugadas do § 38, n.o 2, e do § 6, n.o 4, segundo período, da BDSG, LH só pode ser despedida por justa causa, sem pré‑aviso, atendendo à sua qualidade de encarregada da proteção de dados. Ora, a medida de reestruturação descrita pela Leistritz não constitui fundamento grave de despedimento sem pré‑aviso.

16.

O órgão jurisdicional de reenvio, chamado a pronunciar‑se em sede de recurso de «Revision» interposto pela Leistritz, observa que, nos termos do direito alemão, o despedimento de LH é nulo por força dessas disposições e do § 134 do Código Civil ( 7 ). Todavia, salienta que a aplicabilidade dessas disposições depende da questão de saber se o direito da União, e, especificamente, o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, autoriza uma regulamentação de um Estado‑Membro que sujeita o despedimento de um encarregado da proteção de dados a condições mais restritivas que as previstas no direito da União. Se não for esse o caso, cabe‑lhe dar provimento ao recurso de «Revision».

17.

Nestas circunstâncias, o Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)

Deve o artigo 38.o, n.o 3, segunda frase, do Regulamento [2016/679] ser interpretado no sentido de que se opõe a uma disposição de direito nacional — como, no caso em apreço, o § 38, n.os 1 e 2, conjugado com o § 6, n.o 4, segunda frase, da [BDSG] — que considera ilegal a resolução ordinária do contrato de trabalho do encarregado da proteção de dados pelo responsável pelo tratamento, que é o seu empregador, independentemente de a resolução se verificar pelo facto de o encarregado exercer as suas funções?

2)

Em caso de resposta afirmativa à primeira questão:

O artigo 38.o, n.o 3, segunda frase, do [Regulamento 2016/679] também se opõe a uma tal disposição de direito nacional quando a designação do encarregado da proteção de dados não é obrigatória por força do artigo 37.o, n.o 1, [deste regulamento] mas apenas por força do direito do Estado‑Membro?

3)

Em caso de resposta afirmativa à primeira questão:

O artigo 38.o, n.o 3, segunda frase, do [Regulamento 2016/679] assenta numa base jurídica suficiente, em particular atendendo ao facto de abranger encarregados da proteção de dados que são parte num contrato de trabalho com o responsável pelo tratamento?»

18.

LH, a Leistritz, os Governos alemão e romeno, o Parlamento Europeu, o Conselho da União Europeia e a Comissão Europeia apresentaram observações escritas. Estas partes, com exceção dos Governos alemão e romeno, apresentaram observações orais na audiência que teve lugar em 18 de novembro de 2021.

IV. Análise

A.   Quanto à primeira questão prejudicial

19.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, ao Tribunal de Justiça se o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que prevê que o empregador de um encarregado da proteção de dados só o pode despedir com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado.

20.

A resposta a esta questão pressupõe que, em primeiro lugar, se precise o alcance da expressão «ser destituído […] pelo facto de exercer as suas funções» empregue pelo legislador da União no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679. Em segundo lugar, há que determinar se os Estados‑Membros têm a possibilidade de alargar as garantias de que beneficia o encarregado da proteção de dados ao abrigo desta disposição.

1. Quanto à proteção do encarregado da proteção de dados prevista no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679

21.

O artigo 38.o do Regulamento 2016/679 figura no capítulo IV deste regulamento, relativo ao «[r]esponsável pelo tratamento e subcontratante», em especial na secção 4, intitulada «Encarregado da proteção de dados». Esta secção contém três artigos relativos, respetivamente, à designação do encarregado da proteção de dados ( 8 ), à sua posição ( 9 ) e às suas funções, que, no essencial, consistem em prestar aconselhamento pessoal sobre o tratamento de dados e em controlar a conformidade das regras de proteção de dados ( 10 ).

22.

Para a interpretação do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, há que ter em conta, segundo jurisprudência constante do Tribunal de Justiça, não só os termos dessa disposição mas também o seu contexto e os objetivos prosseguidos pela regulamentação de que faz parte ( 11 ).

23.

Relativamente à redação do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, observo que exprime uma obrigação em termos negativos. Com efeito, enuncia que «[o] encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções» ( 12 ).

24.

Assim, esta disposição estabelece o perímetro da proteção do encarregado da proteção de dados. Está protegido, por um lado, contra qualquer decisão que ponha termo às suas funções ou que o sujeite a uma desvantagem, quando, por outro, essa decisão esteja relacionada com o exercício das suas funções.

25.

No que respeita à distinção entre a medida de destituição das funções do encarregado da proteção de dados e a medida que o penaliza, constato, em primeiro lugar, que nenhuma disposição do Regulamento 2016/679 define expressa ou implicitamente essas medidas ( 13 ).

26.

No termo do exame comparado de outras versões linguísticas, pode‑se considerar que estão previstos no artigo 38.o, n.o 3, segundo período, do Regulamento n.o 2016/679 dois tipos de medidas, a saber, as que põem termo às funções do encarregado da proteção de dados e as que constituem sanções ou desfavorecem esse encarregado qualquer que seja o seu âmbito. Por conseguinte, essas definições podem abranger os despedimentos através dos quais o empregador põe termo a um contrato de trabalho ( 14 ).

27.

Os resultados das pesquisas sobre o historial legislativo do artigo 38.o do Regulamento 2016/679 a que pude ter acesso não permitem, por falta de elementos detalhados, ficar esclarecido sobre as precisas intenções do legislador da União quanto ao alcance do termo «destituído». Pode‑se constatar apenas que o aditamento de redação relativo à destituição de funções ocorreu tardiamente no processo legislativo ( 15 ), durante o qual, concomitantemente, foi suprimido o seguinte trecho, que constava a seguir «O responsável pelo tratamento ou o subcontratante asseguram que o encarregado da proteção de dados»«possa agir com independência no desempenho das suas funções» ( 16 ). Pode‑se deduzir daqui que esse legislador quis concretizar a obrigação de não destituir o encarregado da proteção de dados pelo facto de exercer as suas funções.

28.

Observo também que o legislador da União optou por reproduzir de forma idêntica a redação do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 no artigo 44.o, n.o 3, segundo período, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE ( 17 ). No entanto, não é possível retirar nenhum esclarecimento dos documentos relativos à elaboração do Regulamento 2018/1725, o que, na minha opinião, se justifica pelo aditamento ao artigo 44.o, n.o 8, de uma outra garantia essencial dada ao encarregado da proteção de dados, a saber, que o encarregado da proteção de dados «pode ser destituído pela instituição ou pelo órgão da União que o nomeou se tiver deixado de preencher as condições exigidas para o exercício das suas funções, e unicamente com o acordo da Autoridade Europeia para a Proteção de Dados».

29.

Em segundo lugar, saliento que não distinguiu, no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, entre o encarregado da proteção de dados ser ou não membro do pessoal do responsável pelo tratamento ou do subcontratante ( 18 ). Com efeito, este regulamento não contém nenhuma disposição relativa à interdependência entre as decisões que sejam tomadas pelo empregador no âmbito da relação laboral e as relativas às funções desse encarregado. O único limite fixado diz respeito ao motivo pelo qual não pode ser posto termo às funções do encarregado da proteção de dados, a saber, qualquer motivo relativo ao exercício das suas funções.

30.

Relativamente ao objetivo prosseguido pelo legislador da União, este justifica a redação em termos gerais do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, e a opção por esse limite.

31.

Com efeito, consta do projeto de nota justificativa do Conselho que a designação de um encarregado da proteção de dados pretende melhorar o cumprimento do Regulamento 2016/679 ( 19 ). É por isso que o artigo 38.o, n.o 3, segundo período, deste regulamento estabelece obrigações que possam assegurar a independência desse encarregado. Assim, prevê‑se nesse mesmo artigo que o encarregado da proteção de dados não deve receber instruções relativamente ao exercício das suas funções e que deve informar diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante ( 20 ). Também está vinculado à obrigação de sigilo ou de confidencialidade ( 21 ).

32.

A tónica é posta, portanto, no rigor do enquadramento das funções do encarregado da proteção de dados, que é especialmente justificado quando esse encarregado é designado por um responsável pelo tratamento que é o seu empregador. Por conseguinte, através da proibição enunciada no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, são garantidas as prerrogativas de que o referido encarregado beneficia para o exercício das suas funções, que podem, em certos casos, ser dificilmente conciliáveis com as que foram fixadas pelo empregador no âmbito da relação laboral.

33.

A análise segundo a qual esta disposição tem por único objetivo organizar o exercício das funções de encarregado da proteção de dados com total independência é corroborada pelo contexto em que foi adotada.

34.

A este respeito, deve‑se sublinhar que, segundo o seu artigo 1.o, o Regulamento 2016/679 tem por objeto estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e as relativas à livre circulação desses dados. Assim, foi adotado com base no artigo 16.o, n.o 2, TFUE ( 22 ), o que leva a considerar, como já referi em conclusões anteriores, que, embora a proteção dos dados pessoais seja transversal por natureza, a harmonização operada por este regulamento está limitada aos aspetos especificamente abrangidos pelo referido regulamento neste domínio ( 23 ).

35.

Por todas estas razões, não há dúvida, na minha opinião, de que a proteção específica do encarregado da proteção de dados, prevista no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, é adequada ao objeto deste regulamento, na medida em que vem reforçar a autonomia desse encarregado. Por conseguinte, não se inscreve no âmbito mais amplo da proteção dos trabalhadores ( 24 ).

36.

Consequentemente, coloca‑se novamente a questão de saber se, fora dos aspetos especificamente abrangidos pelo Regulamento 2016/679, os Estados‑Membros são livres de legislar, desde que não prejudiquem o conteúdo e os objetivos deste regulamento ( 25 ).

2. Quanto à possibilidade de os Estados‑Membros alargarem as garantias oferecidas ao encarregado da proteção de dados pelo artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679

37.

Na minha opinião, o objetivo do Regulamento 2016/679 enunciado no seu considerando 13, em aplicação do qual o legislador da União garante a independência do encarregado da proteção de dados em termos gerais no artigo 38.o, n.o 3, segundo período, deste regulamento ( 26 ), justifica que qualquer outra medida que vise reforçar a autonomia desse encarregado no exercício das suas funções deve poder ser tomada por um Estado‑Membro.

38.

Esta análise não está em contradição com os efeitos de um regulamento, tal como são definidos no artigo 288.o, segundo parágrafo, TFUE, nem com a obrigação subsequente de os Estados‑Membros não derrogarem um regulamento obrigatório em todos os seus elementos e diretamente aplicável ou o completarem, a menos que as disposições desse regulamento reconheçam aos Estados‑Membros uma margem de manobra que deve ou pode, consoante os casos, ser utilizada por estes últimos nas condições e nos limites previstos nessas disposições ( 27 ).

39.

Por conseguinte, reitero a minha opinião segundo a qual o alcance da harmonização efetuada pelo Regulamento 2016/679 varia consoante as disposições em causa. A determinação do alcance normativo deste regulamento exige, portanto, um exame casuístico ( 28 ).

40.

A este respeito, observo que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 trata da destituição das funções do encarregado da proteção de dados na medida em que esteja apenas vinculado ao exercício das suas funções, o que se presume correto ( 29 ), sob a forma de proibição, sem introduzir um nível de gravidade do motivo invocado ou considerar os diversos aspetos do vínculo de subordinação com o seu empregador que podem ter efeitos na sua designação. Assim, não foram consideradas, por exemplo, a duração do contrato de trabalho, nem a razão pessoal ou económica da sua rutura, que pode eventualmente ser negociada, ou ainda a suspensão da relação laboral por motivo de doença, de formação, de férias anuais ou de longa duração.

41.

Por outro lado, a intenção do legislador da União de deixar aos Estados‑Membros o cuidado de completar as disposições protetoras da independência do encarregado da proteção de dados com base num quadro legislativo mínimo relativo ao exercício das suas funções, definido segundo os objetivos do Regulamento 2016/679, também se manifesta pela falta de prescrição relativa à duração do mandato desse encarregado — contrariamente ao que prevê o artigo 44.o, n.o 8, primeiro período, do Regulamento 2018/1725 ( 30 ) — ou relativa ao caso, como neste processo, de reorganização de uma empresa que tenha por efeito contratar externamente as funções de encarregado da proteção de dados por razões que não se prendem com o cumprimento das suas funções.

42.

Por conseguinte, os Estados‑Membros podem decidir reforçar a independência do encarregado da proteção de dados, na medida em que participe na realização dos objetivos do Regulamento 2016/679, mais especificamente em matéria de despedimento, uma vez que não existe nenhuma disposição no direito da União suscetível de servir de fundamento a uma proteção especial e concreta contra o despedimento por um motivo alheio ao exercício das suas funções, ao passo que a rutura da relação laboral tem necessariamente por efeito pôr‑lhes termo.

43.

A este respeito, há que recordar que, no domínio da proteção dos trabalhadores, em caso de rescisão do contrato de trabalho, o artigo 153.o, n.o 1, alínea d), TFUE precisa que a União apoiará e completará a ação dos Estados‑Membros, e que, mais genericamente, no domínio da política social, a União e os Estados‑Membros dispõem, por força do artigo 4.o, n.o 2, alínea b), TFUE, quanto aos aspetos definidos no Tratado FUE, de uma competência partilhada, na aceção do artigo 2.o, n.o 2, TFUE.

44.

Nestas condições, cada Estado‑Membro pode prever disposições específicas em matéria de despedimento do encarregado da proteção de dados, desde que essas disposições sejam compatíveis com o seu regime de proteção previsto no Regulamento 2016/679 ( 31 ).

45.

Como resulta do exame sucinto da regulamentação dos Estados‑Membros que pude consultar ( 32 ), a maior parte deles não adotaram disposições específicas relativas ao despedimento, limitando‑se à proibição enunciada no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679, diretamente aplicável ( 33 ).

46.

No entanto, outros Estados‑Membros optaram por completar este artigo ( 34 ).

47.

A este respeito, observo que o grupo de trabalho «Artigo 29.o» considerou que, «[n]o âmbito de uma gestão normal, e como acontece com qualquer outro trabalhador ou subcontratante em conformidade com o direito dos contratos ou com o direito do trabalho e com o direito penal aplicáveis a nível nacional, e segundo as condições aí fixadas, um [encarregado da proteção de dados] pode sempre ser despedido legitimamente por motivos diferentes do exercício das suas funções de [encarregado da proteção de dados,] (por exemplo, em caso de furto, de assédio psicológico, moral ou sexual ou de outras faltas graves semelhantes)» ( 35 ).

48.

Qualquer que seja a opção dos Estados‑Membros, o órgão administrativo ou jurisdicional responsável em cada um deles por fiscalizar a legalidade do motivo de destituição das funções do encarregado da proteção de dados também contribui, na minha opinião, para garantir a independência deste encarregado.

49.

Com efeito, uma vez que é altamente provável que a relação com o exercício satisfatório das funções do encarregado da proteção de dados não resulte expressamente da decisão de o destituir das suas funções ( 36 ), é concebível uma proteção geral baseada apenas na qualidade de encarregado da proteção de dados. No caso em apreço, resulta das explicações do órgão jurisdicional de reenvio que é o conceito de «justa causa», conforme interpretado no direito alemão, que leva a considerar, por razões de proteção adicional, que não se pode pôr termo às funções do encarregado da proteção de dados em caso de reestruturação ( 37 ). No mesmo sentido, pode‑se, aliás, considerar que, em caso de dificuldades económicas da empresa que tem a obrigação de designar um encarregado da proteção de dados e escolheu para esse efeito um dos seus trabalhadores, as funções deste devem, devido ao objetivo do Regulamento 2016/679 e da contribuição desse encarregado para dar cumprimento a este último, continuar a ser exercidas enquanto a atividade do empregador perdurar.

50.

No entanto, a proibição enunciada no artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 tem necessariamente limites em caso de disfunções objetivas no exercício das funções do encarregado da proteção de dados, tendo em conta as suas obrigações. Estes limites devem ser fixados em conformidade com o objetivo prosseguido por este regulamento ( 38 ).

51.

Assim, uma interpretação igualmente conforme com o objetivo do Regulamento 2016/679 deve, na minha opinião, levar a admitir que um encarregado da proteção de dados possa ser destituído das suas funções quando deixe de preencher os critérios qualitativos necessários ao exercício das suas funções, como os enunciados no artigo 37.o, n.o 5, deste regulamento, ou deixe de cumprir as obrigações fixadas no artigo 38.o, n.o 3, primeiro e terceiro períodos, e n.os 5 e 6, do referido regulamento ( 39 ), ou ainda quando o seu nível de conhecimento se revele insuficiente ( 40 ).

52.

Por conseguinte, considero que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que prevê que o empregador de um encarregado da proteção de dados só o pode despedir com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado.

53.

Se, no entanto, o Tribunal de Justiça não partilhar deste entendimento e decidir responder pela afirmativa à primeira questão do órgão jurisdicional de reenvio, haverá que responder às duas outras questões prejudiciais.

B.   Quanto à segunda questão prejudicial

54.

Com a sua segunda questão, o órgão jurisdicional de reenvio pretende saber se o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 se opõe a uma regulamentação nacional que declara ilegal o despedimento do encarregado da proteção de dados pelo seu empregador sem justa causa, ainda que esse despedimento não esteja relacionado com o exercício das suas funções, se a designação do encarregado da proteção de dados for obrigatória, não por força do artigo 37.o, n.o 1, deste regulamento, mas apenas por força do direito nacional, conforme prevê o artigo 37.o, n.o 4, do referido regulamento.

55.

Observo que nem o artigo 38.o, n.o 3, do Regulamento 2016/679 nem as outras disposições da secção 4 deste regulamento, relativa ao encarregado da proteção de dados, fazem distinção entre a designação obrigatória ou facultativa desse encarregado.

56.

Por conseguinte, considero que se deve responder ao órgão jurisdicional de reenvio que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 é aplicável, sem que haja que distinguir entre o encarregado da proteção de dados ser obrigatoriamente designado por força do direito da União ou por força do direito nacional.

C.   Quanto à terceira questão prejudicial

57.

Com a sua terceira questão, o órgão jurisdicional de reenvio interroga‑se sobre a validade do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 e, em especial, sobre a questão de saber se esta disposição assenta numa base jurídica suficiente, nomeadamente na medida em que se refira aos encarregados da proteção de dados que estão vinculados ao responsável pelo tratamento por um contrato de trabalho.

58.

Proponho ao Tribunal de Justiça que considere que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 assenta numa base jurídica suficiente, na medida em que tem unicamente por objeto precaver o encarregado da proteção de dados contra qualquer entrave no cumprimento das suas funções e que esta garantia, independentemente da existência de uma relação laboral, contribui para a realização efetiva dos objetivos deste regulamento.

59.

Com efeito, por um lado, como já referi no âmbito da análise da primeira questão prejudicial ( 41 ), o artigo 16.o TFUE constitui a base jurídica em que assenta o referido regulamento. Além disso, o Tribunal de Justiça declarou que, sem prejuízo do artigo 39.o TUE, este artigo constitui uma base jurídica adequada quando a proteção dos dados pessoais seja uma das finalidades ou das componentes essenciais das regras adotadas pelo legislador da União ( 42 ).

60.

Por outro lado, uma dessas condições está, na minha opinião, plenamente preenchida no que respeita ao papel do encarregado da proteção de dados e do seu enquadramento, conforme definidos no Regulamento 2016/679. A garantia da independência funcional desse encarregado, que visa assegurar, a um nível elevado, o respeito pelos direitos fundamentais das pessoas afetadas pelo tratamento dos dados pessoais ( 43 ), traduziu‑se, no artigo 38.o, n.o 3, segundo período, deste regulamento, no enunciado de uma proibição de destituição por razões inerentes às suas funções. Uma vez que esta disposição não impõe nenhuma harmonização em direito do trabalho, o legislador da União não excedeu os poderes normativos que lhe foram conferidos pelo artigo 16.o, n.o 2, TFUE.

61.

Relativamente ao respeito pelos princípios da subsidiariedade e da proporcionalidade, sobre o qual o órgão jurisdicional de reenvio também se interroga, saliento, em primeiro lugar, que a intensificação dos tratamentos transfronteiriços de dados pessoais justifica que a proteção destes, tendo em conta os direitos fundamentais, seja implementada a nível da União ( 44 ), garantindo nomeadamente as prerrogativas do encarregado da proteção de dados, considerado um «ator chave» dessa proteção ( 45 ). Em segundo lugar, não me parece que o artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 vá além do necessário para garantir a independência funcional desse encarregado. É certo que a garantia de não ser destituído das suas funções, prevista nesta disposição, tem necessariamente incidência na relação laboral. No entanto, esta incidência visa apenas preservar o efeito útil da função do encarregado da proteção de dados.

62.

Por conseguinte, considero que se deve responder ao órgão jurisdicional de reenvio que o exame da terceira questão prejudicial não revelou nenhum elemento suscetível de afetar a validade do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679.

V. Conclusão

63.

Tendo em conta todas as considerações que precedem, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha), do seguinte modo:

A título principal:

O artigo 38.o, n.o 3, segundo período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que prevê que o empregador de um encarregado da proteção de dados só o pode despedir com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado.

A título subsidiário, caso o Tribunal de Justiça responda pela afirmativa à primeira questão prejudicial:

O artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 é aplicável, sem que haja que distinguir entre o encarregado da proteção de dados ser obrigatoriamente designado por força do direito da União ou por força do direito nacional.

O exame da terceira questão prejudicial não revelou nenhum elemento suscetível de afetar a validade do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679.


( 1 ) Língua original: francês.

( 2 ) JO 2016, L 119, p. 1; conforme alterado pelo JO 2018, L 127, p. 2.

( 3 ) BGBl. 1990 I, p. 2954.

( 4 ) BGBl. 2017 I, p. 2097; a seguir «BDSG».

( 5 ) No § 38, n.o 1, primeiro período, da BDSG, na versão em vigor desde 26 de novembro de 2019, o número de empregados foi aumentado para «20».

( 6 ) BGBl. 2002 I, p. 42, retificação na p. 2909, e BGBl. 2003 I, p. 738.

( 7 ) O órgão jurisdicional de reenvio acrescentou que, segundo a sua jurisprudência, o facto de, devido a uma alteração organizacional, a proteção dos dados na empresa ser assegurada, no futuro, por um encarregado externo da proteção de dados não constitui justa causa de despedimento [v. Acórdão do Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal) 10 AZR 562/09, de 23 de março de 2011, n.o 18, disponível no seguinte endereço Internet: https://www.bundesarbeitsgericht.de/entscheidung/10‑azr‑562‑09/].

( 8 ) Artigo 37.o deste regulamento.

( 9 ) Artigo 38.o do referido regulamento.

( 10 ) Artigo 39.o do mesmo regulamento.

( 11 ) V., nomeadamente, Acórdão de 12 de maio de 2021, Bundesrepublik Deutschland (Alerta vermelho da Interpol) (C‑505/19, EU:C:2021:376, n.o 77).

( 12 ) O sublinhado é meu.

( 13 ) A este respeito, no documento intitulado «Orientações relativas aos encarregados da proteção de dados (EPD)» (a seguir «Orientações sobre os EPD»), adotadas em 13 de dezembro de 2016 e revistas em 5 de abril de 2017, disponíveis no seguinte endereço Internet: https://ec.europa.eu/newsroom/article29/items/612048/en, o grupo de trabalho para a proteção das pessoas no que diz respeito ao tratamento de dados pessoais, instituído pelo artigo 29.o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 13) (a seguir «grupo de trabalho “Artigo 29.o”»), precisou que «[a]s sanções podem assumir formas diversas e podem ser diretas ou indiretas. Pode tratar‑se, por exemplo, de não promoção ou de atraso na promoção, de dificuldades na progressão na carreira ou da recusa de concessão de vantagens de que beneficiam outros trabalhadores. Não é necessário que essas sanções sejam efetivamente aplicadas, basta uma simples ameaça, desde que seja utilizada para punir o [encarregado para a proteção de dados] por motivos relacionados com as suas atividades de [encarregado da proteção de dados]» (pp. 18 e 19). Após a entrada em vigor do Regulamento 2016/679, este grupo de trabalho foi substituído pelo Comité Europeu para a Proteção de Dados (CEPD). Este aprovou as Orientações sobre os EPD no decurso da sua primeira sessão plenária, em 25 de maio de 2018 (v. https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).

( 14 ) Como salienta LH, além da versão em língua alemã do artigo 38.o, n.o 3, segundo período, do Regulamento 2016/679 («abberufen»), versões linguísticas como a espanhola («destituido»), a francesa («relevé») ou a portuguesa («destituído») indicam claramente que este regulamento trata do facto de pôr termo à função do encarregado da proteção de dados e não da «relação laboral» («kündigen» em língua alemã). V., também, versões em língua inglesa («dismissed»), italiana («rimosso»), polaca («odwoływany») e romena «demis».

( 15 ) V. nota da Presidência do Conselho da União Europeia, de 3 de outubro de 2014, relativa à proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) [primeira leitura] — capítulo IV, disponível no seguinte endereço Internet: https://data.consilium.europa.eu/doc/document/ST‑13772‑2014‑INIT/pt/pdf, relativo ao aditamento dessa proposta ao artigo 36.o, n.o 3, pelo facto de o encarregado da proteção de dados não poder ser penalizado pelo cumprimento das suas funções (p. 34). V., também, posição do Conselho em primeira leitura com vista à adoção do Regulamento do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), de 6 de abril de 2016, disponível no seguinte endereço Internet:https://eur‑lex.europa.eu/legal‑content/PT/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, que adota a atual redação do artigo 38.o do Regulamento 2016/679.

( 16 ) A expressão «com independência» figura na última frase do considerando 97 do Regulamento 2016/679.

( 17 ) JO 2018, L 295, p. 39.

( 18 ) V. artigo 37.o, n.o 6, do Regulamento 2016/679.

( 19 ) V. posição do Conselho em primeira leitura com vista à adoção do Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) e que revoga a Diretiva 95/46/CE — Projeto de Nota justificativa do Conselho, de 31 de março de 2016, disponível no seguinte endereço Internet: https://eur‑lex.europa.eu/legal‑content/PT/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (p. 22). Em relação ao importante papel do encarregado da proteção de dados na aplicação do Regulamento 2016/679, v. considerando 97 deste regulamento, bem como as suas funções definidas no artigo 39.o do referido regulamento. A este respeito, o grupo de trabalho «Artigo 29.o» recordou, nas Orientações sobre os EPD, que, antes da adoção do Regulamento 2016/679, tinha alegado que o encarregado da proteção de dados era «uma das pedras angulares do regime de responsabilidade e que a designação de um [encarregado da proteção de dados] podia facilitar o respeito das regras» (p. 5). Este grupo de trabalho salientou igualmente que este regulamento reconhece o encarregado da proteção de dados «como ator chave no novo sistema de gestão de dados» (p. 6). V., a título de exemplo das necessidades de informação do responsável pelo tratamento ou do seu subcontratante a que o encarregado da proteção de dados deveria responder, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, n.o 134).

( 20 ) V. artigo 38.o, n.o 3, primeiro e terceiro períodos, do Regulamento 2016/679.

( 21 ) V. artigo 38.o, n.o 5, do Regulamento 2016/679.

( 22 ) V. preâmbulo e considerando 12 do Regulamento 2016/679, bem como Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.o 44).

( 23 ) V. Conclusões que apresentei no processo Facebook Ireland (C‑319/20, EU:C:2021:979, n.o 51).

( 24 ) Neste contexto, considero que não se podem retirar argumentos das disposições do artigo 88.o, n.o 1, do referido regulamento por considerar que constituem uma cláusula de abertura.

( 25 ) V. Conclusões que apresentei no processo Facebook Ireland (C‑319/20, EU:C:2021:979, n.o 51).

( 26 ) V. n.o 31 das presentes conclusões.

( 27 ) V., nomeadamente, quanto ao Regulamento 2016/679, as Conclusões que apresentei no processo Facebook Ireland (C‑319/20, EU:C:2021:979, n.o 52).

( 28 ) V. as Conclusões que apresentei no processo Facebook Ireland (C‑319/20, EU:C:2021:979, n.o 52). Além disso, no n.o 55 das mesmas, já chamei a atenção do Tribunal de Justiça para o facto de o Regulamento 2016/679 conter numerosas cláusulas de abertura pelas quais transfere explicitamente a competência normativa para os Estados‑Membros, o que permite distingui‑lo de um regulamento clássico e o aproxima de uma diretiva.

( 29 ) A este propósito, conforme sublinha Bielak‑Jomaa, E., «Artykuł 38. Status inspektora ochrony danych», em Bielak‑Jomaa, E., e Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varsóvia, 2018, pp. 794 a 806, em especial n.o 5, quarto parágrafo, o grupo de trabalho «Artigo 29.o» não indicou nenhum critério que seja útil para determinar a execução correta ou incorreta das tarefas do encarregado da proteção de dados. Do mesmo modo, Foret, O., «Le rôle du DPO», em Bensamoun, A., e Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, pp. 233 a 239, em especial pp. 235 e 236, salienta que «o CEPD precisa nas suas orientações que […] “o nível de competência exigível [para ser designado encarregado da proteção de dados] não está estritamente definido, [mas] deve […] ser proporcionado à sensibilidade, à complexidade e ao volume dos dados tratados por um organismo”» [v. Orientações sobre os EPD (p. 13)]. V., também, p. 14 dessas orientações. V., além disso, n.os 50 e 51 das presentes conclusões.

( 30 ) V. Bergt, M., «Art. 38. Stellung des Datenschutzbeauftragten», em Kühling, J., e Buchner, B., Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3.a ed., C. H. Beck, Munique, 2020, em especial n.o 29. Este autor salienta que, «[c]ontrariamente aos projetos da Comissão e do Parlamento, o artigo 38.o não prevê uma duração mínima de mandato para o qual o encarregado da proteção de dados deva ser designado» (tradução livre).

( 31 ) V. n.os 31 e 32 das presentes conclusões. Pode‑se acrescentar que legislador da União tomou deliberadamente esta opção ao não adotar a proposta do Comité Económico e Social Europeu, no âmbito dos trabalhos legislativos relativos ao Regulamento n.o 2016/679, com vista a que sejam melhor especificadas «as condições relativas à função [de encarregado da proteção de dados], nomeadamente a proteção contra despedimento que deve estar claramente definida e alargar‑se para além do período durante o qual a pessoa em causa assume essa função»: v. n.o 4.11.1 do parecer do Comité Económico e Social Europeu sobre a «Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)» (JO 2012, C 229, p. 90).

( 32 ) V., nomeadamente, informações disponíveis nos seguintes endereços Internet: https://www.dlapiperdataprotection.com/index.html?t=data‑protection‑officers&c=HR&c2= e https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.

( 33 ) É o caso do Reino da Dinamarca, da Irlanda, da República da Croácia, da República Italiana, da República de Chipre, da República de Malta, do Reino dos Países Baixos, da República da Áustria, da República da Polónia, da República Portuguesa, da Roménia e da República da Finlândia. Nas Repúblicas da Croácia, de Malta e da Polónia, como na República da Bulgária, a destituição ou a substituição do encarregado deve ser comunicada à Autoridade Nacional para a Proteção de Dados Pessoais. Em alguns Estados‑Membros, como a República Francesa e o Grão‑Ducado do Luxemburgo, foi esclarecido que o encarregado da proteção de dados não beneficia do estatuto de trabalhador dependente protegido que dê uma garantia suplementar à prevista no Regulamento 2016/679.

( 34 ) V., na lei belga, artigo 6.o, terceiro parágrafo, do arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate‑forme de la sécurité et de la protection des données (Decreto Real Relativo aos Consultores em Segurança e Proteção da Vida Privada e à Plataforma da Segurança e da Proteção de Dados), de 6 de dezembro de 2015 (Moniteur belge de 28 de dezembro de 2015, p. 79268), anterior à entrada em vigor do Regulamento 2016/679, nos termos do qual «[o] empregador ou a autoridade competente só pode pôr termo ao contrato do consultor ou à ocupação estatutária do consultor ou afastá‑lo das suas funções por motivos alheios à sua independência ou por motivos que demonstrem a sua incompetência para o exercício das suas funções» (o sublinhado é meu). V., também, na lei espanhola, artigo 36.o, n.o 2, da Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (Lei Orgânica n.o 3/2018, Relativa à Proteção de Dados Pessoais e à Garantia dos Direitos Digitais), de 5 de dezembro de 2018 (BOE n.o 294, de 6 de dezembro de 2018, p. 119788), segundo o qual, «[q]uando o encarregado da proteção de dados é uma pessoa singular numa organização do responsável pelo tratamento ou do subcontratante, estes não o podem destituir nem responsabilizar pelo exercício das suas funções, exceto em caso de dolo ou de negligência grave no seu exercício» (o sublinhado é meu).

( 35 ) V. Orientações sobre os EPD (p. 19) (o sublinhado é meu).

( 36 ) V., neste sentido, Fajgielski, P., «Artykuł 38. Status inspektora ochrony danych», Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varsóvia, 2018, pp. 430 a 437, em especial n.o 5, quinto parágrafo. V., também, Kremer, S., «§ 6 Datenschutzbeauftragter», em Laue, P., Nink, J., e Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2.a ed., Nomos, Baden‑Baden, 2019, em especial n.o 36, e Bergt, M., «Art. 38. Stellung des Datenschutzbeauftragten», op. cit., em especial n.o 30, e Bussche, A., «Art. 38 DSGVO», em Plath, K.‑U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3.a ed., Otto Schmidt, Colónia, 2018, em especial n.o 19.

( 37 ) V. nota 7 das presentes conclusões.

( 38 ) V. n.os 31, 60 e 61 das presentes conclusões.

( 39 ) V. n.o 31 das presentes conclusões. V., igualmente, processos X‑FAB Dresden (C‑453/21) e KISA (C‑560/21), atualmente pendentes, nos quais o Tribunal de Justiça é chamado a pronunciar‑se por duas secções diferentes do Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal) que submeteram as mesmas questões prejudiciais, mas em casos de destituição das funções por causa de conflitos de interesses. No primeiro desses processos, uma questão suplementar versa sobre os critérios desse conflito.

( 40 ) V., neste sentido, Kremer, S., «§ 6 Datenschutzbeauftragter», op. cit., em especial n.o 35, e Bussche, A., «Art. 38 DSGVO», op. cit., em especial n.o 17.

( 41 ) V. n.o 34 das presentes conclusões.

( 42 ) Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592, n.o 96).

( 43 ) V. Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.os 44, 45 e 91).

( 44 ) V., neste sentido, Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.o 45 e, por analogia, n.o 47).

( 45 ) V. nota 19, quarta frase, das presentes conclusões.

Top