1. Es objeto de
anotación en esta entrada del blog la sentencia dictada por la Sala Primera delTJUE el 22 de junio (asunto C-534/20) , con ocasión de la cuestión prejudicial
planteada, al amparo del art. 267 del Tratado de funcionamiento de la UE, por
el Tribunal Supremo de lo Laboral de Alemania.
La importancia de
la sentencia es mucha a mi parecer ya que, aun cuando referida a la interpretación
de la normativa comunitaria sobre protección de datos en relación con la
alemana, es de perfecta aplicación a la normativa española, es decir a la Ley
Orgánica 3/2018 de 5 de diciembre, de protección de datos personales y de
garantía de los derechos digitales de la persona. Recordemos que el art. 36 (“posición
del delegado de protección de datos) dispone en su apartado 2 que “Cuando se
trate de una persona física integrada en la organización del responsable o encargado
del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado
por el responsable o el encargado por desempeñar sus funciones salvo que incurriera
en dolo o negligencia grave en su ejercicio. Se garantizará la independencia
del delegado de protección de datos dentro de la organización, debiendo
evitarse cualquier conflicto de intereses”.
Y se trata, en
esta ocasión, de una importancia de valor negativo para quienes, en su
condición de personas trabajadoras por cuenta ajena, sean nombradas delegadas
de protección de datos en el ámbito empresarial, ya que el título o base jurídica
de la normativa reguladora de tal nombramiento es distinto de aquel que sirve
para la regulación de la normativa laboral en el TFUE, y ello llevará a que la
protección no pueda ir más allá de aquella que la norma europea le otorga en el
ámbito estricto de su actividad como tal delegado o delegada de protección de
datos.
El resumen oficial
de la sentencia es el siguiente: “Procedimiento prejudicial — Protección de las
personas físicas en lo que respecta al tratamiento de datos personales —
Reglamento (UE) 2016/679 — Artículo 38, apartado 3, segunda frase — Delegado de
protección de datos — Prohibición de que un responsable o un encargado del
tratamiento destituya a un delegado de protección de datos o lo sancione por
desempeñar sus funciones — Base jurídica — Artículo 16 TFUE — Exigencia de
independencia funcional — Normativa nacional que prohíbe el despido de un
delegado de protección de datos sin causa grave”.
El abogado general,
Jean Richard de la Tour, presentó sus conclusiones generales el 27 de enero, En la introducción, delimita bien el contenido de la petición prejudicial y
avanza su conclusión, en estos términos:
“La petición de
decisión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de
lo Laboral, Alemania) versa sobre la interpretación y la validez del artículo
38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos). (2)
2. Esta petición se ha presentado en el
contexto de un litigio entre LH y su empleador, Leistritz AG, en relación con
la resolución del contrato de trabajo de LH motivada por una reorganización de
los servicios de Leistritz, cuando, según la normativa alemana aplicable, LH,
debido a su designación como delegada de protección de datos, solo puede ser
despedida con carácter extraordinario por causa grave.
3. En las presentes conclusiones expondré
los motivos por los que considero que la prohibición de destituir al delegado
de protección de datos, establecida en el artículo 38, apartado 3, segunda
frase, del Reglamento 2016/679, no resulta de una armonización de las normas
materiales del Derecho laboral, lo que permite a los Estados miembros reforzar
la protección de dicho delegado de protección de datos en sus normativas
nacionales en diversos ámbitos, de conformidad con el objetivo perseguido por
el citado Reglamento”.
Sus conclusiones
fueron las siguientes:
“Con carácter
principal:
– El artículo 38, apartado 3, segunda
frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27
de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos), debe interpretarse en el sentido de que no se opone a una
normativa nacional que establece que el empleador de un delegado de protección
de datos solo puede despedir a este por causa grave, aun cuando la causa del
despido no tenga que ver con el desempeño de las funciones del delegado de
protección de datos despedido.
Con carácter
subsidiario, para el caso de que el Tribunal de Justicia responda
afirmativamente a la primera cuestión prejudicial:
– El artículo 38, apartado 3, segunda
frase, del Reglamento 2016/679 se aplica sin que proceda efectuar distinción
alguna en función de que la designación del delegado de protección de datos
venga impuesta por el Derecho de la Unión o por el Derecho nacional.
– El examen de la tercera cuestión
prejudicial no pone de manifiesto elemento alguno que pueda afectar a la
validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679”.
La diferencia con
la conclusión del TJUE parece mínima en principio, si bien la lectura de la
sentencia demostrará su real importancia; en efecto, el TJUE, que sólo responde
a la primera cuestión prejudicial, falla en términos exactamente idénticos a la
propuesta del abogado general..., solo que añadiendo “siempre que esa normativa
no ponga en peligro la consecución de los objetivos de ese Reglamento”.
2, La petición de decisión
prejudicial, y el origen del conflicto en sede judicial, ya han sido mencionados
al referirme a las conclusiones del abogado general. Basta añadir ahora, respecto
a los datos fácticos del conflicto, que la trabajadora despedida prestó primero
sus servicios como jefa del servicio de asuntos jurídicos, y un año después, el
1 de febrero de 2018, fue nombrada delegada de protección de datos. Siete meses
más tarde, le fue comunicada la extinción de su contrato, siendo la causa la
decisión empresarial de externalizar tanto el servicio jurídico como el de
protección de datos.
Aquí es donde
entra en juego la normativa alemana y su posible oposición a la comunitaria. El
artículo 6, apartado 4 de la Ley federal de protección de datos), dispone que
el delegado de protección de datos “solo podrá ser destituido de conformidad con
lo dispuesto, mutatis mutandis, por el artículo 626 del Código Civil... La
resolución de la relación laboral será nula, a no ser que concurran
circunstancias que autoricen al organismo público a tal medida por causa grave
sin necesidad de respetar un plazo de preaviso... “. Por su parte, el artículo
38.3 regula la figura del delegado de protección de datos de organismos
privados, y dispone la obligación de su nombramiento, “siempre que, por regla
general, haya al menos diez personas empleadas de forma permanente en el
tratamiento automatizado de datos personales”. También son referenciados, los
arts. 134 y 626 del Código Civil, disponiendo el segundo que “Cualquiera de las
partes podrá resolver la relación laboral por causa grave sin respetar un plazo
de preaviso, si concurren hechos que, en atención a todas las circunstancias
del caso y teniendo en cuenta los intereses de ambas partes, hagan que la
continuación de la relación jurídica hasta el final del período de preaviso o
hasta la fecha de conclusión acordada contractualmente resulte excesivamente
gravosa para la parte interesada en la resolución”.
Interpuesta
demanda en procedimiento por despido, fue considerada no acorde a derecho la
decisión empresarial por considerarse que la medida adoptada por la empresa no
quedaba incluida dentro de la “causa grave” por la que la delegada de
protección de datos podía ser despedida sin preaviso.
Habiendo llegado
el conflicto, vía recurso de casación, ante el Tribunal Supremo de la Laboral,
este se plantea si la normativa comunitaria no se opone a la alemana en cuanto
que esta, a su parecer, supedita el despido “a unos requisitos más estrictos
que los impuestos por el Derecho de la Unión”, ya que de existir tal oposición
debería estimar el recurso empresarial.
Tras poner de
manifiesto que hay dos líneas interpretativas judiciales, la mayoritaria que
está a favor de la aplicación de la norma interna, ya que “constituye una norma
material de Derecho laboral respecto de la cual la Unión carece de competencia
legislativa, de modo que dichas disposiciones no son contrarias al artículo 38,
apartado 3, segunda frase, del RGPD”, y por otra la minoritaria, en sentido
contrario, para la que los vínculos entre esta protección y la función de
delegado de protección de datos “entran en conflicto con el Derecho de la Unión
y generan una presión económica para mantener permanentemente en su puesto a un
delegado de protección de datos una vez que este ha sido designado”, decidió
elevar estas tres preguntas:
“1) ¿Debe interpretarse el artículo 38, apartado
3, segunda frase, del [RGPD] en el sentido de que se opone a una disposición de
Derecho nacional como el artículo 38, apartados 1 y 2, en relación con el
artículo 6, apartado 4, segunda frase, de la [BDSG], en virtud de la cual es
nulo el despido “ordinario” del delegado de protección de datos por el
responsable del tratamiento, como empleador, con independencia de si la causa
del despido tiene o no que ver con el desempeño de las funciones del delegado
de protección de datos despedido?
2) En caso de respuesta afirmativa a la
primera cuestión:
¿Se opone el
artículo 38, apartado 3, segunda frase, del RGPD a tal disposición de Derecho
nacional también en el caso de que la designación del delegado de protección de
datos no venga impuesta por el artículo 37, apartado 1, del RGPD, sino
únicamente por el Derecho del Estado miembro?
3) En caso de respuesta afirmativa a la
primera cuestión:
¿Existe base
jurídica suficiente para lo dispuesto en el artículo 38, apartado 3, segunda
frase, del RGPD, en particular por lo que se refiere a su aplicación a los
delegados de protección de datos ligados al responsable del tratamiento en
virtud de una relación laboral?”.
3. El TJUE pasa
revista primeramente a la normativa europea y estatal aplicable. La segunda, ya
la conocemos por haber sido expuesta con anterioridad. De la primera, son
referenciados los considerandos 10 y 97 del RGPD, el art. 37.6, el art. 39, y
el ya citado art. 38, cuyo apartado 3, que está en la base del conflicto,
dispone que “El responsable y el encargado del tratamiento garantizarán que el
delegado de protección de datos no reciba ninguna instrucción en lo que
respecta al desempeño de dichas funciones. No será destituido ni sancionado por
el responsable o el encargado por desempeñar sus funciones. El delegado de
protección de datos rendirá cuentas directamente al más alto nivel jerárquico
del responsable o encargado”.
4. Como ya he indicado,
el TJUE responderá solo a la primera pregunta o cuestión, por entender que, en
atención a la dada a esta no procede entrar en el análisis de la segunda y
tercera planteada.
El TJUE responderá
partiendo de su consolidada jurisprudencia sobre la necesidad de tener en
consideración a efectos de interpretación de una disposición del Derecho de la
Unión, “no solo su tenor literal conforme a su sentido habitual en el lenguaje
corriente, sino también su contexto y los objetivos que pretende alcanzar la
normativa de la que forma parte”, con cita de otra reciente sentencia, de 22 defebrero (asunto C-160/20)
Acude, pues, el TJUE, al
análisis del art. 38.3, para poner de manifiesto que no están definidos en el
mismo los términos que utiliza, y que afectan a la persona encargada de la
protección de datos, cuáles son los de “destituido”, “sancionado”, y “por
desempeñar sus funciones”.
Si acudimos al “sentido
habitual en el lenguaje corriente”, para el TJUE, que hace suyas las
conclusiones formuladas por el abogado general en los apartados 24 y 26 de las
mismas “la prohibición impuesta al responsable o encargado del tratamiento de
destituir a un delegado de protección de datos o de sancionarlo significa... que
dicho delegado debe estar protegido contra cualquier decisión que ponga fin a
sus funciones, le sea desfavorable o constituya una sanción”, por lo que su
despido puede constituir una decisión de ese tipo, en principio.
Empezarán inmediatamente
las matizaciones, ya que el TJUE subraya, con apoyo en el art. 37.6 del RGDP
que la protección de quien asume la protección de datos se extiende tanto a un
trabajador o trabajadora de la empresa como a una persona externa, es decir,
contratada en el marco de un contrato de servicios, por lo que la relación
laboral asalariada no es el título jurídico determinante para dicha protección.
La prohibición de
despido está íntimamente relacionada con las funciones que la normativa
comunitaria la atribuye al delegado o delegada en el desempeño de sus funciones
como tal, trayendo a colación el art. 39.1 del RGPD, que son, por lo que
respecta a mi explicación, “supervisar el cumplimiento de lo dispuesto en el
presente Reglamento, de otras disposiciones de protección de datos de la Unión
o de los Estados miembros y de las políticas del responsable o del encargado
del tratamiento en materia de protección de datos personales, incluida la
asignación de responsabilidades, la concienciación y formación del personal que
participa en las operaciones de tratamiento, y las auditorías correspondientes”.
A continuación, el TJUE
vincula el objetivo perseguido por el art. 38.3 con los considerandos 97 y 10, para
subrayar tanto una efectiva protección de los delegados y delegadas como que “la
aplicación de las normas de protección de los derechos y libertades
fundamentales de esas personas en relación con el tratamiento de datos de
carácter personal sea coherente y homogénea”, trayendo a colación en apoyo de
su tesis la sentencia de 6 de octubre de 2020, (asuntos acumulados C‑511/18, C‑512/18y C‑520/18)
5. Seguirán más matizaciones
cuando el TJUE concluya que el objetivo o finalidad fundamental del art. 38.3
es amparar a quien asume funciones de protección de datos y se extingue su vínculo
con la empresa por un motivo relacionado con el desempeño de sus funciones, ya
sea una persona con relación contractual laboral o bien externa a la empresa.
Se enfatiza este dato por el TJUE para inmediatamente añadir que esta disposición “no
tiene por objeto regular globalmente las relaciones laborales entre un
responsable o un encargado del tratamiento y las personas que forman parte de
su plantilla, relaciones que solo pueden verse afectadas de forma accesoria, en
la medida estrictamente necesaria para la consecución de estos objetivos”.
Y el final de las
matizaciones aparece a partir del apartado 29 de la sentencia y es sin duda, o
al menos así me lo parece, el jurídicamente más relevante, el fundamento jurídico
“sobre cuya base el legislador de la Unión adoptó el RGPD”, al que además
el TJUE añade “el contexto en el que se inscribe dicha disposición”.
La base jurídica fue el
art. 16.2 del TFUE (“El Parlamento Europeo y el Consejo establecerán, con
arreglo al procedimiento legislativo ordinario, las normas sobre protección de
las personas físicas respecto del tratamiento de datos de carácter personal por
las instituciones, órganos y organismos de la Unión, así como por los Estados miembros
en el ejercicio de las actividades comprendidas en el ámbito de aplicación del
Derecho de la Unión, y sobre la libre circulación de estos datos”).
Sí se incluye, en esta
base jurídica, la protección del delegado o delegada de protección de datos en
cuanto a las funciones específicas que desempeña y asume en su condición de
tal, pero la norma no va más allá, ya que el TJUE subraya que la fijación de
normas relativas a la protección contra el despido de un delegado de protección
de datos empleado por un responsable o encargado del tratamiento “no está
comprendida ni en la protección de las personas físicas en lo que respecta al
tratamiento de datos personales ni en la libre circulación de estos datos, sino
en el ámbito de la política social” (la negrita es mía).
Es necesario, pues,
acudir a la normativa en materia de política social, una “competencia compartida”
de acuerdo a lo dispuesto en el art. 4.2 b) del TFUE en relación con el art.
2.2, y en el ámbito concreto de la resolución del contrato de trabajo hemos de
acudir al art. 153 1 d), ámbito en el que la Unión “... apoyará y completará la
acción de los Estados miembros”. Considera aplicable por analogía la sentencia
de 19 de noviembre de 2019 (asuntos acumulados C-609/17 y C-610/17).
Esta última sentencia
citada fue objeto de análisis en la entrada “UE. Nuevamente sobre el derecho avacaciones. Los límites al efecto directo horizontal del art. 31.2 de la Cartade Derechos Fundamentales” , en la que me manifesté en estos términos: “En suma, las mejoras sobre el
marco mínimo comunitario quedan dentro del ámbito de las competencias de los
Estados miembros, no serán aplicación del Derecho de la Unión y por
consiguiente tampoco entrarán dentro del ámbito de aplicación del art. 31.2 de
la CDFUE, es decir, no podrá alegarse que este precepto obligaría a no aplicar
el derecho interno por ser contrario a la norma de la Unión, en cuanto que no
se está aplicando por los Estados miembros una directiva comunitaria. Por
decirlo con las propias palabras de la sentencia (apartado 53) “cuando las
disposiciones del Derecho de la Unión en el ámbito de que se trate no regulen
un aspecto y no impongan a los Estados miembros ninguna obligación específica
en relación con una situación determinada, la normativa nacional aprobada por
un Estado miembro en lo tocante a ese aspecto se sitúa al margen del ámbito de
aplicación de la Carta y no cabe considerar que la correspondiente situación
deba apreciarse a la luz de las disposiciones de esta última”.
7. La normativa
comunitaria permite, pues, a los Estados miembros “mantener o introducir medidas de protección
más estrictas compatibles con los Tratados”, por lo que cada Estado, y aquí
nuevamente el TJUE hace suyas las conclusiones del abogado general, tiene
libertad, en el ejercicio de su competencia reservada, para establecer
disposiciones específicas más protectoras en materia de despido del delegado de
protección de datos..., “siempre que dichas disposiciones sean compatibles con
el Derecho de la Unión y, en particular, con las disposiciones del RGPD, y en
concreto, su artículo 38, apartado 3, segunda frase”.
Siendo demoledora la
tesis del TJUE, otra vez con apoyo en las conclusiones, y por tanto alineándose
con la tesis minoritaria defendida por los tribunales germánicos, respecto a que
dicha protección reforzada no puede poner en peligro la consecución de los
objetivos del RGPD, y que ello sucedería “si esta impidiera cualquier despido,
por parte de un responsable o de un encargado del tratamiento, de un delegado de
protección de datos que ya no tuviera las cualidades profesionales requeridas
para ejercer sus funciones o que no las cumpliera conforme a las disposiciones
del RGPD”.
8. Voy concluyendo. La “coletilla
final” del fallo de la sentencia con respecto a la propuesta formulada por el
abogado general cobra todo su sentido. Protección contra el despido cuando actúe
como delegado o delegada de protección de datos en el marco de las funciones
atribuidas por la normativa comunitaria y las fijadas, en cumplimiento de dicha
norma, por las normativas estatales, sí de forma clara e indubitada. En los
restantes supuestos de resolución del contrato, como ha sido en esta ocasión como
consecuencia de la externalización de tareas, y que en España puede inscribirse
dentro de la extinción por causas objetivas, habrá que acudir a la normativa
laboral para determinar si la extinción se ajusta o no a derecho.
Buena lectura.
No hay comentarios:
Publicar un comentario