Carlos B Fernández. Una normativa nacional puede establecer disposiciones específicas en materia de despido del delegado de protección de datos, más protectoras que las establecidas por el RGPD, siempre que dichas disposiciones sean compatibles con el Derecho de la Unión y, en particular, con las disposiciones del propio Reglamento.
Y en este sentido, no se opone al Derecho de la Unión una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla “por causa grave”, aun cuando ese despido no esté relacionado con el ejercicio de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.
Así lo ha declarado el Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia de fecha 22 de junio de 2022, dictada en el asunto C-534/20 (LA LEY 116979/2022), Leistritz AG.
La sentencia resuelve una cuestión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), que debe resolver sobre el recurso presentado por una empresa contra la sentencia de un tribunal de instancia que declaró la invalidez del despido de su DPO (cargo con el que está obligada a contar de acuerdo con la ley alemana aplicable), invocando una medida de reestructuración de esa sociedad por la que se externalizaba la actividad interna de asesoramiento jurídico y el servicio de protección de datos.
Según la sentencia de instancia, tal despido era inválido pues, de acuerdo con la ley alemana aplicable, el DPO solo podía ser despedido sin preaviso “por causa grave” y una medida de reestructuración como la descrita por la empresa no constituye una causa de ese tipo.
Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado.
Alcance general de la protección del art. 38, apartado 3 del RGPD (LA LEY 6637/2016)
A este respecto, el Tribunal comienza recordando que, en virtud del artículo 39, apartado 1, letra b) del RGPD (LA LEY 6637/2016), las funciones del DPO comprenden, en particular, la supervisión del cumplimiento de las disposiciones del Derecho de la Unión o del Derecho de los Estados miembros en materia de protección de datos y de las políticas del responsable o del encargado al respecto.
A continuación, apartado 3, del mismo artículo 38 dispone, en su segunda frase, que el delegado de protección de datos «no será destituido ni sancionado por el responsable o el encargado [del tratamiento] por desempeñar sus funciones».
Sin embargo, añade que el RGPD no define los conceptos «destituido», «sancionado» y «por desempeñar sus funciones».
Por ello, interpretando dichas expresiones conforme a su sentido habitual en el lenguaje corriente, declara que “la prohibición impuesta al responsable o encargado del tratamiento de destituir a un delegado de protección de datos o de sancionarlo significa … que dicho delegado debe estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción”.
A este respecto, el Tribunal explica que pueden constituir una decisión de ese tipo las medidas de despido de un delegado de protección de datos que adopte su empleador y que pongan fin a la relación laboral existente entre ambos, “así como, por tanto, también a la función de delegado de protección de datos en el seno de la empresa de que se trate”.
En segundo término, el Tribunal señala que el artículo 38, apartado 3, segunda frase, del RGPD se aplica indistintamente tanto al delegado de protección de datos que forma parte de la plantilla del responsable o del encargado del tratamiento como a quien desempeña sus funciones en el marco de un contrato de servicios celebrado con estos últimos, de conformidad con el artículo 37, apartado 6, del RGPD.
De ello se deduce, explica, que el artículo 38, apartado 3, segunda frase, del RGPD está destinado a aplicarse a las relaciones entre un delegado de protección de datos y un responsable o encargado del tratamiento, con independencia de la naturaleza de la relación laboral que une a dicho delegado con estos últimos.
Alcance de la prohibición de despido del DPO a causa del desempeño de sus funciones
A continuación el TJUE analiza el límite que estable el art. 38, apartado 3 del RGPD (LA LEY 6637/2016), que consiste en prohibir el despido de un delegado de protección de datos por un motivo basado en el desempeño de sus funciones.
a. Protección de la independencia del DPO
En este sentido, señala, en primer término, que el considerando 97 del RGPD enuncia que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y tal independencia “debe necesariamente permitirles ejercer estas funciones de conformidad con el objetivo del RGPD, que tiene como finalidad, en particular, tal y como se desprende de su considerando 10, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión” (STJUE de 6 de octubre de 2020, La Quadrature du Net y otros, C-511/18 (LA LEY 211728/2020), C-512/18 y C-520/18, apartado 207)”.
Ese objetivo de garantizar la independencia funcional del delegado de protección de datos se deduce asimismo de ese artículo 38, apartado 3, frases primera y tercera, que exige que el delegado no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y rinda cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento; así como del artículo 38, apartado 5, que establece que el mencionado delegado está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones.
De este modo, subraya el Tribunal, el artículo 38, apartado 3, segunda frase, del RGPD, “al amparar al delegado de protección de datos contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción, cuando tal decisión esté relacionada con el desempeño de sus funciones, debe considerarse dirigido esencialmente a preservar la independencia funcional del delegado de protección de datos y, por lo tanto, a garantizar la efectividad de las disposiciones del RGPD”.
b. El art. 38 RGPD (LA LEY 6637/2016) no regula la relación laboral entre el DPO y su responsable o encargado
En cambio, “esta disposición no tiene por objeto regular globalmente las relaciones laborales entre un responsable o un encargado del tratamiento y las personas que forman parte de su plantilla, relaciones que solo pueden verse afectadas de forma accesoria, en la medida estrictamente necesaria para la consecución de estos objetivos”.
Y es que, al margen de la protección específica del DPO prevista en el artículo 38, apartado 3, segunda frase, del RGPD, “la fijación de normas relativas a la protección contra el despido de un delegado de protección de datos empleado por un responsable o encargado del tratamiento no está comprendida ni en la protección de las personas físicas en lo que respecta al tratamiento de datos personales ni en la libre circulación de estos datos, sino en el ámbito de la política social”.
Y a este respecto, advierte el Tribunal, “es preciso tener presente, por una parte, que, en virtud del artículo 4 TFUE (LA LEY 6/1957), apartado 2, letra b), la Unión y los Estados miembros disponen, en el ámbito de la política social, en los aspectos definidos en el Tratado FUE, de una competencia compartida en el sentido del artículo 2 TFUE (LA LEY 6/1957), apartado 2”, y, por otra parte, tal como precisa el artículo 153 TFUE (LA LEY 6/1957), apartado 1, letra d), que “la Unión apoya y completa la acción de los Estados miembros en el ámbito de la protección de los trabajadores en caso de resolución del contrato laboral (véase, por analogía, la sentencia de 19 de noviembre de 2019, TSN y AKT, C-609/17 y C-610/17, EU:C:2019:981, apartado 47)”.
c. Los Estados pueden establecer normas más rigurosas de protección del DPO
Por ello, y como resulta del artículo 153 TFUE (LA LEY 6/1957), apartado 2, letra b), el Parlamento y el Consejo pueden adoptar, mediante directivas, disposiciones mínimas a este respecto, pero no pueden “impedir a los Estados miembros mantener o introducir medidas de protección más estrictas compatibles con los Tratados” (véase, en este sentido, la sentencia de 19 de noviembre de 2019, TSN y AKT, C-609/17 y C-610/17, EU:C:2019:981, apartado 48).
De ello se desprende que cada Estado miembro tiene libertad, en el ejercicio de su competencia reservada, para establecer disposiciones específicas más protectoras en materia de despido del delegado de protección de datos, siempre que dichas disposiciones sean compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD y, en concreto, su artículo 38, apartado 3, segunda frase.
Pero tal protección reforzada no ha de poner en peligro la consecución de los objetivos del RGPD, como sucedería, indica “si esta impidiera cualquier despido, por parte de un responsable o de un encargado del tratamiento, de un delegado de protección de datos que ya no tuviera las cualidades profesionales requeridas para ejercer sus funciones o que no las cumpliera conforme a las disposiciones del RGPD”.
Por todo lo anterior, el Tribunal resuelve que el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que “no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos del RGPD”.