–

em representação da Leistritz AG, por O. Seeling e C. Wencker, Rechtsanwälte,

–

em representação de LH, por S. Lohneis, Rechtsanwalt,

–

em representação do Governo alemão, por J. Möller e S. K. Costanzo, na qualidade de agentes,

–

em representação do Governo romeno, por E. Gane, na qualidade de agente,

–

em representação do Parlamento Europeu, por O. Hrstková Šolcová, P. López‑Carceller e B. Schäfer, na qualidade de agentes,

–

em representação do Conselho da União Europeia, por T. Haas e K. Pleśniak, na qualidade de agentes,

–

em representação da Comissão Europeia, por K. Herrmann, H. Kranenborg e D. Nardi, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação e a validade do artigo 38.o, n.o 3, segundo período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação no JO 2018, L 127, p. 2; a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Leistritz AG a LH, que exercia as funções de encarregada da proteção de dados nesta sociedade, a propósito da cessação do seu contrato de trabalho, em consequência da reorganização dos serviços da referida sociedade.

3

Os considerandos 10 e 97 do RGPD enunciam:

[…]

4

O artigo 37.o do RGPD, sob a epígrafe «Designação do encarregado da proteção de dados», tem a seguinte redação:

«1.   O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

[…]

6.   O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

[…]»

5

O artigo 38.o do RGPD, sob a epígrafe «Posição do encarregado da proteção de dados», prevê, nos n.os 3 e 5:

«3.   O responsável pelo tratamento e o subcontratante asseguram que [o encarregado] da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

[…]

5.   O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados‑Membros.»

6

O artigo 39.o do RGPD, sob a epígrafe «Funções do encarregado da proteção de dados», dispõe, no n.o 1, alínea b):

«O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

[…]

[…]»

7

O § 6 da Bundesdatenschutzgesetz (Lei Federal sobre a Proteção de Dados), de 20 de dezembro de 1990 (BGBl. 1990 I, p. 2954), na versão em vigor de 25 de maio de 2018 a 25 de novembro de 2019 (BGBl. 2017 I, p. 2097) (a seguir «BDSG»), sob a epígrafe «Função», dispõe, no n.o 4:

«O encarregado da proteção de dados só pode ser destituído das suas funções por aplicação analógica do § 626 do Bürgerliches Gesetzbuch [(Código Civil), na versão publicada em 2 de janeiro de 2002 (BGBl. 2002 I, p. 42, e retificações no BGBl. 2002 I, p. 2909, e no BGBl. 2003 I, p. 738)]. O despedimento do encarregado da proteção de dados é ilegal, a menos que os factos não permitam ao organismo público proceder ao seu despedimento por justa causa, sem cumprimento do prazo de pré‑aviso. Após a cessação das funções de encarregado da proteção de dados, o despedimento é ilegal durante um ano, a menos que o organismo público seja autorizado a proceder ao despedimento por justa causa, sem cumprimento do prazo de pré‑aviso.»

8

O § 38 da BDSG, sob a epígrafe «Encarregados da proteção de dados de organismos não públicos», prevê:

«(1)   Adicionalmente ao artigo 37.o, n.o 1, alíneas b) e c), do [RGPD], o responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados quando empreguem habitualmente pelo menos dez pessoas afetas permanentemente ao tratamento automatizado de dados pessoais. […]

(2)   É aplicável o § 6, n.os 4, 5, segundo período, e 6; no entanto, o § 6, n.o 4, só é aplicável quando a designação de um encarregado da proteção de dados for obrigatória.»

9

O § 134 do Código Civil, na versão publicada em 2 de janeiro de 2002 (a seguir «Código Civil»), sob a epígrafe «Proibição legal», tem a seguinte redação:

«O ato jurídico contrário a uma proibição legal é nulo, salvo disposição legal em contrário.»

10

O § 626 do Código Civil, sob a epígrafe «Resolução por justa causa sem pré‑aviso», dispõe:

«(1)   Qualquer das partes contratantes pode fazer cessar a relação laboral por justa causa, sem cumprimento do prazo de pré‑aviso, quando, devido a determinados factos, tendo em consideração todas as circunstâncias do caso concreto e ponderados os interesses das duas partes, seja impossível a subsistência da relação laboral até ao termo do prazo de pré‑aviso ou do acordado no contrato.

(2)   A resolução só pode ter lugar no prazo de duas semanas. O prazo começa a correr a partir do momento em que a parte que tem direito à resolução toma conhecimento dos factos relevantes para a mesma. […]»

11

A Leistritz é uma sociedade de direito privado, legalmente obrigada a designar um encarregado da proteção de dados nos termos do direito alemão. LH exerceu aí as funções de «chefe do serviço jurídico» e de encarregada da proteção de dados, respetivamente, a partir de 15 de janeiro de 2018 e de 1 de fevereiro de 2018.

12

Por carta de 13 de julho de 2018, a Leistritz despediu LH com pré‑aviso, com efeitos a partir de 15 de agosto de 2018, invocando uma medida de reestruturação da empresa, no âmbito da qual os serviços internos de assessoria jurídica e o serviço de proteção de dados seriam contratados externamente.

13

Os juízes que conheceram do mérito, chamados por LH a pronunciar‑se sobre a impugnação da validade do seu despedimento, decidiram que, em conformidade com as disposições conjugadas do § 38, n.o 2, e do § 6, n.o 4, segundo período, da BDSG, LH só podia ser despedida por justa causa, sem pré‑aviso, atendendo à sua qualidade de encarregada da proteção de dados, pelo que o despedimento era inválido. Ora, a medida de reestruturação descrita pela Leistritz não constituía uma causa dessa natureza.

14

O órgão jurisdicional de reenvio, chamado a pronunciar‑se em sede de recurso de «Revision» interposto pela Leistritz, observa que, nos termos do direito alemão, o despedimento de LH é nulo por força dessas disposições e do § 134 do Código Civil. Todavia, salienta que a aplicabilidade do § 38, n.o 2, e do § 6, n.o 4, segundo período, da BDSG depende da questão de saber se o direito da União e, especificamente, o artigo 38.o, n.o 3, segundo período, do RGPD autorizam uma regulamentação de um Estado‑Membro que sujeita o despedimento de um encarregado da proteção de dados a condições mais restritivas que as previstas no direito da União. Se não for esse o caso, cabe‑lhe dar provimento ao recurso de «Revision».

15

O órgão jurisdicional de reenvio precisa que as suas dúvidas são nomeadamente suscitadas pela existência de uma divergência doutrinal nacional. Por um lado, a opinião maioritária considera que a proteção especial contra o despedimento prevista nas disposições conjugadas do § 38, n.o 2, e do § 6, n.o 4, segundo período, da BDSG constitui uma regra material do direito do trabalho relativamente à qual a União não tem competência legislativa, pelo que as referidas disposições não são contrárias ao artigo 38.o, n.o 3, segundo período, do RGPD. Por outro lado, segundo os defensores da opinião minoritária, as relações entre esta proteção e a função de encarregado da proteção de dados entram em conflito com o direito da União e exercem uma pressão económica para manter de forma duradoura um encarregado da proteção de dados, uma vez este designado.

16

Nestas condições, o Bundesarbeitsgericht (Supremo Tribunal do Trabalho Federal, Alemanha) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

17

Com a primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 38.o, n.o 3, segundo período, do RGPD deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que prevê que um responsável pelo tratamento ou um subcontratante só pode despedir um encarregado da proteção de dados que seja um elemento do seu pessoal com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado.

18

Como resulta de jurisprudência constante, para a interpretação de uma disposição do direito da União, importa ter em conta não só os seus termos, de acordo com o seu sentido habitual na linguagem corrente, mas também o seu contexto e os objetivos prosseguidos pela regulamentação de que faz parte (Acórdão de 22 de fevereiro de 2022, Stichting Rookpreventie Jeugd e o., C‑160/20, EU:C:2022:101, n.o 29 e jurisprudência referida).

19

Em primeiro lugar, no que respeita à redação da disposição em causa, importa recordar que o artigo 38.o, n.o 3, do RGPD dispõe, no segundo período, que «[o] encarregado [da proteção de dados] não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções».

20

Antes de mais, há que salientar que o RGPD não define os termos «destituído», «penalizado» e «pelo facto de exercer as suas funções», que figuram neste artigo 38.o, n.o 3, segundo período.

21

Não obstante, primeiro, em conformidade com o sentido destes termos na linguagem corrente, a proibição imposta ao responsável pelo tratamento ou ao subcontratante de destituir ou de penalizar um encarregado da proteção de dados pelo exercício das suas funções significa, em substância, como salientou o advogado‑geral nos n.os 24 e 26 das suas conclusões, que esse encarregado deve ser protegido de toda e qualquer decisão pela qual seja destituído, pela qual sofra uma desvantagem ou que constitua uma sanção.

22

A este respeito, é suscetível de constituir uma decisão desse tipo uma medida de despedimento de um encarregado da proteção de dados tomada pelo seu empregador e que ponha termo à relação laboral existente entre esse encarregado e esse empregador, bem como, portanto, também à função de encarregado da proteção de dados na empresa em causa.

23

Segundo, há que constatar que o artigo 38.o, n.o 3, segundo período, do RGPD é aplicável indistintamente tanto ao encarregado da proteção de dados, que é um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, como a quem exerce as suas funções com base num contrato de prestação de serviços celebrado com estes últimos, em conformidade com o artigo 37.o, n.o 6, do RGPD.

24

Daqui resulta que o artigo 38.o, n.o 3, segundo período, do RGPD visa ser aplicado às relações entre um encarregado da proteção de dados e um responsável pelo tratamento ou um subcontratante, independentemente da natureza da relação laboral que vincula esse encarregado a estes últimos.

25

Terceiro, importa salientar que esta disposição fixa um limite que consiste, em substância, como salientou o advogado‑geral no n.o 29 das suas conclusões, em proibir o despedimento de um encarregado da proteção de dados por uma causa relativa ao exercício das suas funções, que incluem, em particular, de acordo com o artigo 39.o, n.o 1, alínea b), do RGPD, o controlo da conformidade com o direito da União ou dos Estados‑Membros em matéria de proteção de dados e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais.

26

Em segundo lugar, no que respeita ao objetivo prosseguido pelo artigo 38.o, n.o 3, segundo período, do RGPD, há que sublinhar, primeiro, que o considerando 97 deste último enuncia que os encarregados da proteção de dados, sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência. A este respeito, essa independência deve necessariamente permitir‑lhes exercer essas funções em conformidade com o objetivo do RGPD, que visa nomeadamente, como resulta do seu considerando 10, assegurar um nível de proteção elevado das pessoas singulares na União e, para o efeito, assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais dessas pessoas no que diz respeito ao tratamento de dados pessoais (Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 207 e jurisprudência referida).

27

Segundo, o objetivo que visa garantir a independência funcional do encarregado da proteção de dados, conforme decorre do artigo 38.o, n.o 3, segundo período, do RGPD, resulta igualmente deste artigo 38.o, n.o 3, primeiro e terceiro períodos, que impõe que esse encarregado não receba instruções relativamente ao exercício das suas funções e informe diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante, bem como do referido artigo 38.o, n.o 5, que prevê, no que respeita a esse exercício, que o referido encarregado está vinculado à obrigação de sigilo ou de confidencialidade.

28

Assim, deve considerar‑se que, ao proteger o encarregado da proteção de dados de toda e qualquer decisão que ponha termo às suas funções, lhe cause uma desvantagem ou constitua uma sanção, quando essa decisão está relacionada com o exercício das suas funções, o artigo 38.o, n.o 3, segundo período, do RGPD visa essencialmente preservar a independência funcional do encarregado da proteção de dados e, portanto, garantir a efetividade das disposições do RGPD. Em contrapartida, esta disposição não tem por objeto regular globalmente as relações laborais entre um responsável pelo tratamento ou um subcontratante e os elementos do seu pessoal, as quais só podem ser afetadas de forma acessória, na medida estritamente necessária à realização desses objetivos.

29

Em terceiro lugar, esta interpretação é corroborada pelo contexto em que se insere a referida disposição e, em especial, pela base jurídica sobre a qual o legislador da União fundamentou a adoção do RGPD.

30

Com efeito, resulta do preâmbulo do RGPD que este foi adotado com base no artigo 16.o TFUE, cujo n.o 2 prevê, nomeadamente, que o Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas relativas, por um lado, à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados‑Membros no exercício de atividades relativas à aplicação do direito da União, e, por outro, à livre circulação desses dados.

31

Em contrapartida, com exceção da proteção específica do encarregado da proteção de dados prevista no artigo 38.o, n.o 3, segundo período, do RGPD, a fixação de regras relativas à proteção contra o despedimento de um encarregado da proteção de dados empregado por um responsável pelo tratamento ou por um subcontratante não está abrangida pela proteção das pessoas singulares no que respeita ao tratamento de dados pessoais nem pela livre circulação desses dados, mas pelo domínio da política social.

32

A este respeito, importa recordar que, por um lado, por força do artigo 4.o, n.o 2, alínea b), TFUE, a União e os Estados‑Membros dispõem, no domínio da política social, no que se refere aos aspetos definidos no Tratado FUE, de uma competência partilhada, na aceção do artigo 2.o, n.o 2, TFUE. Por outro lado, como precisa o artigo 153.o, n.o 1, alínea d), TFUE, a União apoia e completa a ação dos Estados‑Membros no domínio da proteção dos trabalhadores em caso de cessação do contrato de trabalho (v., por analogia, Acórdão de 19 de novembro de 2019, TSN e AKT, C‑609/17 e C‑610/17, EU:C:2019:981, n.o 47).

33

Posto isto, como resulta do artigo 153.o, n.o 2, alínea b), TFUE, é através de diretivas que o Parlamento e o Conselho podem adotar prescrições mínimas a este respeito, não podendo tais prescrições mínimas, segundo a jurisprudência do Tribunal de Justiça, à luz do artigo 153.o, n.o 4, TFUE, impedir um Estado‑Membro de manter ou estabelecer medidas de proteção mais estritas, compatíveis com os Tratados (v., neste sentido, Acórdão de 19 de novembro de 2019, TSN e AKT, C‑609/17 e C‑610/17, EU:C:2019:981, n.o 48).

34

Daqui decorre, como salientou, em substância, o advogado‑geral, no n.o 44 das suas conclusões, que cada Estado‑Membro pode, no exercício da sua competência reservada, prever disposições específicas mais protetoras em matéria de despedimento do encarregado da proteção de dados, desde que essas disposições sejam compatíveis com o direito da União e, em especial, com as disposições do RGPD, nomeadamente o seu artigo 38.o, n.o 3, segundo período.

35

Em especial, como destacou o advogado‑geral nos n.os 50 e 51 das suas conclusões, essa proteção acrescida não pode comprometer a realização dos objetivos do RGPD. Ora, seria esse o caso se impedisse o despedimento, por um responsável pelo tratamento ou por um subcontratante, de um encarregado da proteção de dados que já não tivesse as qualidades profissionais exigidas para exercer as suas funções ou que não desempenhasse essas funções em conformidade com as disposições do RGPD.

36

Tendo em conta as considerações precedentes, há que responder à primeira questão que o artigo 38.o, n.o 3, segundo período, do RGPD deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que prevê que um responsável pelo tratamento ou um subcontratante só pode despedir um encarregado da proteção de dados que seja um elemento do seu pessoal com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado, desde que essa regulamentação não comprometa a realização dos objetivos do RGPD.

37

Tendo em conta a resposta dada à primeira questão, não há que responder à segunda e terceira questões.

38

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara:

O artigo 38.o, n.o 3, segundo período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que prevê que um responsável pelo tratamento ou um subcontratante só pode despedir um encarregado da proteção de dados que seja um elemento do seu pessoal com justa causa, mesmo que o despedimento não esteja relacionado com o exercício das funções desse encarregado, desde que essa regulamentação não comprometa a realização dos objetivos deste regulamento.