Páginas

lunes, 27 de junio de 2022

Delegado de protección de datos y extinción del contrato por causas no vinculadas a su actividad. Aceptación por el TJUE. Notas a la sentencia de 22 de junio de 2022 (asunto C- 534/20).


1. Es objeto de anotación en esta entrada del blog la sentencia dictada por la Sala Primera delTJUE el 22 de junio (asunto C-534/20) , con ocasión de la cuestión prejudicial planteada, al amparo del art. 267 del Tratado de funcionamiento de la UE, por el Tribunal Supremo de lo Laboral de Alemania.  

La importancia de la sentencia es mucha a mi parecer ya que, aun cuando referida a la interpretación de la normativa comunitaria sobre protección de datos en relación con la alemana, es de perfecta aplicación a la normativa española, es decir a la Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos personales y de garantía de los derechos digitales de la persona. Recordemos que el art. 36 (“posición del delegado de protección de datos) dispone en su apartado 2 que “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Y se trata, en esta ocasión, de una importancia de valor negativo para quienes, en su condición de personas trabajadoras por cuenta ajena, sean nombradas delegadas de protección de datos en el ámbito empresarial, ya que el título o base jurídica de la normativa reguladora de tal nombramiento es distinto de aquel que sirve para la regulación de la normativa laboral en el TFUE, y ello llevará a que la protección no pueda ir más allá de aquella que la norma europea le otorga en el ámbito estricto de su actividad como tal delegado o delegada de protección de datos.

El resumen oficial de la sentencia es el siguiente: “Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3, segunda frase — Delegado de protección de datos — Prohibición de que un responsable o un encargado del tratamiento destituya a un delegado de protección de datos o lo sancione por desempeñar sus funciones — Base jurídica — Artículo 16 TFUE — Exigencia de independencia funcional — Normativa nacional que prohíbe el despido de un delegado de protección de datos sin causa grave”.

El abogado general, Jean Richard de la Tour, presentó sus conclusiones generales el 27 de enero,  En la introducción, delimita bien el contenido de la petición prejudicial y avanza su conclusión, en estos términos:

“La petición de decisión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania) versa sobre la interpretación y la validez del artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). (2)

2.        Esta petición se ha presentado en el contexto de un litigio entre LH y su empleador, Leistritz AG, en relación con la resolución del contrato de trabajo de LH motivada por una reorganización de los servicios de Leistritz, cuando, según la normativa alemana aplicable, LH, debido a su designación como delegada de protección de datos, solo puede ser despedida con carácter extraordinario por causa grave.

3.        En las presentes conclusiones expondré los motivos por los que considero que la prohibición de destituir al delegado de protección de datos, establecida en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, no resulta de una armonización de las normas materiales del Derecho laboral, lo que permite a los Estados miembros reforzar la protección de dicho delegado de protección de datos en sus normativas nacionales en diversos ámbitos, de conformidad con el objetivo perseguido por el citado Reglamento”.

Sus conclusiones fueron las siguientes:

“Con carácter principal:

        El artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que el empleador de un delegado de protección de datos solo puede despedir a este por causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de las funciones del delegado de protección de datos despedido.

Con carácter subsidiario, para el caso de que el Tribunal de Justicia responda afirmativamente a la primera cuestión prejudicial:

        El artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se aplica sin que proceda efectuar distinción alguna en función de que la designación del delegado de protección de datos venga impuesta por el Derecho de la Unión o por el Derecho nacional.

        El examen de la tercera cuestión prejudicial no pone de manifiesto elemento alguno que pueda afectar a la validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679”.

La diferencia con la conclusión del TJUE parece mínima en principio, si bien la lectura de la sentencia demostrará su real importancia; en efecto, el TJUE, que sólo responde a la primera cuestión prejudicial, falla en términos exactamente idénticos a la propuesta del abogado general..., solo que añadiendo “siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento”.

2, La petición de decisión prejudicial, y el origen del conflicto en sede judicial, ya han sido mencionados al referirme a las conclusiones del abogado general. Basta añadir ahora, respecto a los datos fácticos del conflicto, que la trabajadora despedida prestó primero sus servicios como jefa del servicio de asuntos jurídicos, y un año después, el 1 de febrero de 2018, fue nombrada delegada de protección de datos. Siete meses más tarde, le fue comunicada la extinción de su contrato, siendo la causa la decisión empresarial de externalizar tanto el servicio jurídico como el de protección de datos.

Aquí es donde entra en juego la normativa alemana y su posible oposición a la comunitaria. El artículo 6, apartado 4 de la Ley federal de protección de datos), dispone que el delegado de protección de datos “solo podrá ser destituido de conformidad con lo dispuesto, mutatis mutandis, por el artículo 626 del Código Civil... La resolución de la relación laboral será nula, a no ser que concurran circunstancias que autoricen al organismo público a tal medida por causa grave sin necesidad de respetar un plazo de preaviso... “. Por su parte, el artículo 38.3 regula la figura del delegado de protección de datos de organismos privados, y dispone la obligación de su nombramiento, “siempre que, por regla general, haya al menos diez personas empleadas de forma permanente en el tratamiento automatizado de datos personales”. También son referenciados, los arts. 134 y 626 del Código Civil, disponiendo el segundo que “Cualquiera de las partes podrá resolver la relación laboral por causa grave sin respetar un plazo de preaviso, si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación jurídica hasta el final del período de preaviso o hasta la fecha de conclusión acordada contractualmente resulte excesivamente gravosa para la parte interesada en la resolución”.

Interpuesta demanda en procedimiento por despido, fue considerada no acorde a derecho la decisión empresarial por considerarse que la medida adoptada por la empresa no quedaba incluida dentro de la “causa grave” por la que la delegada de protección de datos podía ser despedida sin preaviso.

Habiendo llegado el conflicto, vía recurso de casación, ante el Tribunal Supremo de la Laboral, este se plantea si la normativa comunitaria no se opone a la alemana en cuanto que esta, a su parecer, supedita el despido “a unos requisitos más estrictos que los impuestos por el Derecho de la Unión”, ya que de existir tal oposición debería estimar el recurso empresarial.

Tras poner de manifiesto que hay dos líneas interpretativas judiciales, la mayoritaria que está a favor de la aplicación de la norma interna, ya que “constituye una norma material de Derecho laboral respecto de la cual la Unión carece de competencia legislativa, de modo que dichas disposiciones no son contrarias al artículo 38, apartado 3, segunda frase, del RGPD”, y por otra la minoritaria, en sentido contrario, para la que los vínculos entre esta protección y la función de delegado de protección de datos “entran en conflicto con el Derecho de la Unión y generan una presión económica para mantener permanentemente en su puesto a un delegado de protección de datos una vez que este ha sido designado”, decidió elevar estas tres preguntas:

“1)      ¿Debe interpretarse el artículo 38, apartado 3, segunda frase, del [RGPD] en el sentido de que se opone a una disposición de Derecho nacional como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, segunda frase, de la [BDSG], en virtud de la cual es nulo el despido “ordinario” del delegado de protección de datos por el responsable del tratamiento, como empleador, con independencia de si la causa del despido tiene o no que ver con el desempeño de las funciones del delegado de protección de datos despedido?

2)      En caso de respuesta afirmativa a la primera cuestión:

¿Se opone el artículo 38, apartado 3, segunda frase, del RGPD a tal disposición de Derecho nacional también en el caso de que la designación del delegado de protección de datos no venga impuesta por el artículo 37, apartado 1, del RGPD, sino únicamente por el Derecho del Estado miembro?

3)      En caso de respuesta afirmativa a la primera cuestión:

¿Existe base jurídica suficiente para lo dispuesto en el artículo 38, apartado 3, segunda frase, del RGPD, en particular por lo que se refiere a su aplicación a los delegados de protección de datos ligados al responsable del tratamiento en virtud de una relación laboral?”.

3. El TJUE pasa revista primeramente a la normativa europea y estatal aplicable. La segunda, ya la conocemos por haber sido expuesta con anterioridad. De la primera, son referenciados los considerandos 10 y 97 del RGPD, el art. 37.6, el art. 39, y el ya citado art. 38, cuyo apartado 3, que está en la base del conflicto, dispone que “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado”.

4. Como ya he indicado, el TJUE responderá solo a la primera pregunta o cuestión, por entender que, en atención a la dada a esta no procede entrar en el análisis de la segunda y tercera planteada.

El TJUE responderá partiendo de su consolidada jurisprudencia sobre la necesidad de tener en consideración a efectos de interpretación de una disposición del Derecho de la Unión, “no solo su tenor literal conforme a su sentido habitual en el lenguaje corriente, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte”, con cita de otra reciente sentencia, de 22 defebrero (asunto C-160/20) 

Acude, pues, el TJUE, al análisis del art. 38.3, para poner de manifiesto que no están definidos en el mismo los términos que utiliza, y que afectan a la persona encargada de la protección de datos, cuáles son los de “destituido”, “sancionado”, y “por desempeñar sus funciones”. 

Si acudimos al “sentido habitual en el lenguaje corriente”, para el TJUE, que hace suyas las conclusiones formuladas por el abogado general en los apartados 24 y 26 de las mismas “la prohibición impuesta al responsable o encargado del tratamiento de destituir a un delegado de protección de datos o de sancionarlo significa... que dicho delegado debe estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción”, por lo que su despido puede constituir una decisión de ese tipo, en principio.

Empezarán inmediatamente las matizaciones, ya que el TJUE subraya, con apoyo en el art. 37.6 del RGDP que la protección de quien asume la protección de datos se extiende tanto a un trabajador o trabajadora de la empresa como a una persona externa, es decir, contratada en el marco de un contrato de servicios, por lo que la relación laboral asalariada no es el título jurídico determinante para dicha protección.  

La prohibición de despido está íntimamente relacionada con las funciones que la normativa comunitaria la atribuye al delegado o delegada en el desempeño de sus funciones como tal, trayendo a colación el art. 39.1 del RGPD, que son, por lo que respecta a mi explicación, “supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”.

A continuación, el TJUE vincula el objetivo perseguido por el art. 38.3 con los considerandos 97 y 10, para subrayar tanto una efectiva protección de los delegados y delegadas como que “la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea”, trayendo a colación en apoyo de su tesis la sentencia de 6 de octubre de 2020, (asuntos acumulados C‑511/18, C‑512/18y C‑520/18) 

5. Seguirán más matizaciones cuando el TJUE concluya que el objetivo o finalidad fundamental del art. 38.3 es amparar a quien asume funciones de protección de datos y se extingue su vínculo con la empresa por un motivo relacionado con el desempeño de sus funciones, ya sea una persona con relación contractual laboral o bien externa a la empresa. Se enfatiza este dato por el TJUE para inmediatamente añadir que esta disposición “no tiene por objeto regular globalmente las relaciones laborales entre un responsable o un encargado del tratamiento y las personas que forman parte de su plantilla, relaciones que solo pueden verse afectadas de forma accesoria, en la medida estrictamente necesaria para la consecución de estos objetivos”.

Y el final de las matizaciones aparece a partir del apartado 29 de la sentencia y es sin duda, o al menos así me lo parece, el jurídicamente más relevante, el fundamento jurídico “sobre cuya base el legislador de la Unión adoptó el RGPD”, al que además el TJUE añade “el contexto en el que se inscribe dicha disposición”.

La base jurídica fue el art. 16.2 del TFUE (“El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos”).

Sí se incluye, en esta base jurídica, la protección del delegado o delegada de protección de datos en cuanto a las funciones específicas que desempeña y asume en su condición de tal, pero la norma no va más allá, ya que el TJUE subraya que la fijación de normas relativas a la protección contra el despido de un delegado de protección de datos empleado por un responsable o encargado del tratamiento “no está comprendida ni en la protección de las personas físicas en lo que respecta al tratamiento de datos personales ni en la libre circulación de estos datos, sino en el ámbito de la política social” (la negrita es mía).

Es necesario, pues, acudir a la normativa en materia de política social, una “competencia compartida” de acuerdo a lo dispuesto en el art. 4.2 b) del TFUE en relación con el art. 2.2, y en el ámbito concreto de la resolución del contrato de trabajo hemos de acudir al art. 153 1 d), ámbito en el que la Unión “... apoyará y completará la acción de los Estados miembros”. Considera aplicable por analogía la sentencia de 19 de noviembre de 2019 (asuntos acumulados C-609/17 y C-610/17).

Esta última sentencia citada fue objeto de análisis en la entrada “UE. Nuevamente sobre el derecho avacaciones. Los límites al efecto directo horizontal del art. 31.2 de la Cartade Derechos Fundamentales”  , en la que me manifesté en estos términos: “En suma, las mejoras sobre el marco mínimo comunitario quedan dentro del ámbito de las competencias de los Estados miembros, no serán aplicación del Derecho de la Unión y por consiguiente tampoco entrarán dentro del ámbito de aplicación del art. 31.2 de la CDFUE, es decir, no podrá alegarse que este precepto obligaría a no aplicar el derecho interno por ser contrario a la norma de la Unión, en cuanto que no se está aplicando por los Estados miembros una directiva comunitaria. Por decirlo con las propias palabras de la sentencia (apartado 53) “cuando las disposiciones del Derecho de la Unión en el ámbito de que se trate no regulen un aspecto y no impongan a los Estados miembros ninguna obligación específica en relación con una situación determinada, la normativa nacional aprobada por un Estado miembro en lo tocante a ese aspecto se sitúa al margen del ámbito de aplicación de la Carta y no cabe considerar que la correspondiente situación deba apreciarse a la luz de las disposiciones de esta última”.

7. La normativa comunitaria permite, pues, a los Estados miembros  “mantener o introducir medidas de protección más estrictas compatibles con los Tratados”, por lo que cada Estado, y aquí nuevamente el TJUE hace suyas las conclusiones del abogado general, tiene libertad, en el ejercicio de su competencia reservada, para establecer disposiciones específicas más protectoras en materia de despido del delegado de protección de datos..., “siempre que dichas disposiciones sean compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD, y en concreto, su artículo 38, apartado 3, segunda frase”.

Siendo demoledora la tesis del TJUE, otra vez con apoyo en las conclusiones, y por tanto alineándose con la tesis minoritaria defendida por los tribunales germánicos, respecto a que dicha protección reforzada no puede poner en peligro la consecución de los objetivos del RGPD, y que ello sucedería “si esta impidiera cualquier despido, por parte de un responsable o de un encargado del tratamiento, de un delegado de protección de datos que ya no tuviera las cualidades profesionales requeridas para ejercer sus funciones o que no las cumpliera conforme a las disposiciones del RGPD”.

8. Voy concluyendo. La “coletilla final” del fallo de la sentencia con respecto a la propuesta formulada por el abogado general cobra todo su sentido. Protección contra el despido cuando actúe como delegado o delegada de protección de datos en el marco de las funciones atribuidas por la normativa comunitaria y las fijadas, en cumplimiento de dicha norma, por las normativas estatales, sí de forma clara e indubitada. En los restantes supuestos de resolución del contrato, como ha sido en esta ocasión como consecuencia de la externalización de tareas, y que en España puede inscribirse dentro de la extinción por causas objetivas, habrá que acudir a la normativa laboral para determinar si la extinción se ajusta o no a derecho.

Buena lectura.

No hay comentarios:

Publicar un comentario