1. Es objeto de
anotación en esta entrada del blog la sentencia dictada por la Sala séptima delTribunal de Justicia de la Unión Europea el 9 de febrero (asunto C-453/21) , con ocasión de
la petición de decisión prejudicial planteada, al amparo del art. 267 del
Tratado de funcionamiento de la UE, por el Tribunal Supremo de lo Laboral de Alemania,
mediante resolución de 27 de abril de 2021.
Versa sobre la
interpretación y la validez del art. 38.3, segunda frase, del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95/46/CE, así como sobre la interpretación de su art. 38.6.
No es la primera
vez que el máximo órgano jurisdiccional social alemán se dirige al TJUE
solicitando la interpretación del citado art. 38.3, segunda frase, del
Reglamento comunitario, habiéndose dictado por aquel la sentencia de 22 dejunio de 2022 (asunto C-534/20) , por lo que no es de extrañar que la
respuesta que dará el TJUE a la primera cuestión prejudicial, que además le
permitirá no entrar en la segunda y tercera planteada, sea prácticamente
idéntica tanto en su argumentación como en el fallo a la dictada con
anterioridad.
De ahí que el
interés de la resolución judicial ahora comentada radique en la respuesta, muy
abierta a mi parecer (también se podría utilizar el término “confusa”) que
proporciona a la cuarta pregunta sobre cómo debe interpretarse el art. 38.6, relativa
a la posible incompatibilidad, “conflicto de intereses”, entre ser delegado de
protección de datos y miembro (presidente) del comité de empresa.
El resumen oficial
de la sentencia, que fue dictada sin conclusiones del abogado general, es el
siguiente: “Procedimiento prejudicial — Protección de las personas físicas en
lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 —
Artículo 38, apartado 3 — Delegado de protección de datos — Prohibición de
destitución por el desempeño de sus funciones — Exigencia de independencia
funcional — Normativa nacional que prohíbe la destitución de un delegado de
protección de datos sin causa grave — Artículo 38, apartado 6 — Conflicto de
intereses — Criterios”.
2. El litigio
encuentra su origen en sede judicial con la presentación de una demanda por el
trabajador tras haber sido destituido como delegado de protección de datos.
Tenemos
conocimiento, a través de los datos fácticos facilitados por el órgano
jurisdiccional remitente al TJUE, que el trabajador prestaba sus servicios para
la empresa desde el 1 de noviembre de 1993 y que desempeña (sin mencionar desde
cuándo) el cargo de presidente del comité de empresa, quedando dispensado
parcialmente de prestar servicios.
Sabemos además (véanse apartados 11 y 12) que ocupaba el cargo de
vicepresidente del comité central de empresa constituido para tres empresas del
grupo de sociedades al que pertenecía la suya, establecidas en Alemania, y que
con efectos a partir del 1 de junio de 2015, “... fue e designado, por cada
empresa por separado, como delegado de protección de datos de X-FAB, de la
sociedad matriz de esta y de sus demás filiales establecidas en Alemania. Según
el órgano jurisdiccional remitente, el objetivo de esta designación paralela de
FC como delegado de protección de datos de todas esas empresas era garantizar
un nivel uniforme de protección de datos en dichas empresas”.
Tras su
destitución, ejerció acciones en sede judicial tendentes a que se les
restituyera en su condición de delegado de protección de datos, siendo la tesis
de contrario de la empresa que existía un conflicto de intereses al desempeñar
los dos cargos, o lo que es lo mismo, que serían incompatibles, y en aplicación
de la normativa interna alemana (Código Civil), que permite tomar tal decisión
cuando exista un motivo grave, se adoptó la decisión por entenderla plenamente
justificada.
La demanda fue
estimada en primera instancia y confirmada en apelación, por lo que la empresa
presentó recurso de casación ante el TS, que fue quién elevó la petición de
decisión prejudicial, con cuatro cuestiones judiciales, que como ya he indicado
con anterioridad el TJUE solo responder a la primera y la cuarta, por
considerar que no procedía responder a la segunda y la tercera vistos los
términos con los que había resuelto la primera. Estas eran las cuestiones
prejudiciales
“1) ¿Debe interpretarse el artículo 38,
apartado 3, segunda frase, del [RGPD] en el sentido de que se opone a una
disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en
relación con el artículo 6, apartado 4, primera frase, de la [BDSG], en virtud
de la cual se supedita la destitución del delegado de protección de datos por
el responsable del tratamiento, que es su empresario, a los requisitos
establecidos en dicha disposición, con independencia de que se produzca en el
marco del desempeño de sus funciones?
En caso de
respuesta afirmativa a la primera cuestión:
2) ¿Se opone el
artículo 38, apartado 3, segunda frase, del RGPD a tal disposición de Derecho
nacional también en el caso de que la designación del delegado de protección de
datos no venga impuesta por el artículo 37, apartado 1, del RGPD, sino
únicamente por el Derecho del Estado miembro?
En caso de
respuesta afirmativa a la primera cuestión:
3) ¿Existe base jurídica suficiente para la
disposición contenida en el artículo 38, apartado 3, segunda frase, del RGPD,
en particular por lo que se refiere a su aplicación a los delegados de
protección de datos vinculados al responsable del tratamiento en virtud de una
relación laboral?
En caso de
respuesta negativa a la primera cuestión:
4) ¿Existe un conflicto de intereses en el
sentido del artículo 38, apartado 6, segunda frase, del RGPD cuando el delegado
de protección de datos ostenta a la vez el cargo de presidente del comité de
empresa constituido en el organismo responsable? Para concluir que existe tal
conflicto de intereses, ¿es necesario que se le hayan atribuido funciones
particulares en el seno del comité de empresa?”.
3. El TJUE pasa
revista primeramente a la normativa europea y estatal aplicable.
La primera es
prácticamente la misma que fue examinada en la sentencia de 22 de junio de
2022, con el añadido, importante, del art. 38.6 (“El delegado de protección de
datos podrá desempeñar otras funciones y cometidos. El responsable o encargado
del tratamiento garantizará que dichas funciones y cometidos no den lugar a
conflicto de intereses”)
Lo mismo ocurre
con la normativa alemana. Destaco solo el art. 626 del Código Civil, titulado “Resolución
sin preaviso por causa grave”, cuyo apartado 1 dispone que “cualquiera de las partes
podrá resolver la relación laboral por causa grave sin necesidad de respetar un
plazo de preaviso si concurren hechos que, en atención a todas las
circunstancias del caso y teniendo en cuenta los intereses de ambas partes,
hagan que la continuación de la relación laboral hasta el final del período de
preaviso o hasta la fecha de conclusión acordada contractualmente resulte
excesivamente gravosa para la parte interesada en la resolución...”.
3. La repuesta a
la primera cuestión prejudicial, como he indicado, es sustancialmente idéntica a
la dada en la sentencia de 22 de junio de 2022, y baste indicar, para confirmar
esta afirmación, que la cita de dicha resolución aparece en casi todos los apartados
de la sentencia ahora comentada (18 a 36) que abordan la misma.
En efecto, tras
delimitar qué debe responder (“si el artículo 38, apartado 3, segunda frase,
del RGPD debe interpretarse en el sentido de que se opone a una normativa
nacional que establece que un responsable o un encargado del tratamiento solo
puede destituir a un delegado de protección de datos que forme parte de su
plantilla por causa grave, aun cuando la destitución no esté relacionada con el
desempeño de las funciones de dicho delegado), va remitiéndose, punto por
punto, a la sentencia anterior, para concluir en los mismos términos: el
artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse ¡en el
sentido de que no se opone a una normativa nacional que establece que un
responsable o un encargado del tratamiento solo puede destituir a un delegado
de protección de datos que forme parte de su plantilla por causa grave, aun
cuando la destitución no esté relacionada con el desempeño de las funciones de
dicho delegado, siempre que esa normativa no ponga en peligro la consecución de
los objetivos del RGPD”
Por ello, me permito reproducir amplios
fragmentos de mi comentario de aquella, , dada la identidad
existente entre ambas.
“La importancia de la sentencia es mucha
a mi parecer ya que, aun cuando referida a la interpretación de la normativa
comunitaria sobre protección de datos en relación con la alemana, es de
perfecta aplicación a la normativa española, es decir a la Ley Orgánica 3/2018
de 5 de diciembre, de protección de datos personales y de garantía de los
derechos digitales de la persona. Recordemos que el art. 36 (“posición del
delegado de protección de datos) dispone en su apartado 2 que “Cuando se trate
de una persona física integrada en la organización del responsable o encargado
del tratamiento, el delegado de protección de datos no podrá ser removido ni
sancionado por el responsable o el encargado por desempeñar sus funciones salvo
que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la
independencia del delegado de protección de datos dentro de la organización,
debiendo evitarse cualquier conflicto de intereses”.
Y se trata, en esta ocasión, de una
importancia de valor negativo para quienes, en su condición de personas
trabajadoras por cuenta ajena, sean nombradas delegadas de protección de datos
en el ámbito empresarial, ya que el título o base jurídica de la normativa
reguladora de tal nombramiento es distinto de aquel que sirve para la
regulación de la normativa laboral en el TFUE, y ello llevará a que la
protección no pueda ir más allá de aquella que la norma europea le otorga en el
ámbito estricto de su actividad como tal delegado o delegada de protección de
datos.
... el TJUE responderá solo a la primera
pregunta o cuestión, por entender que, en atención a la dada a esta no procede
entrar en el análisis de la segunda y tercera planteada.
El TJUE responderá
partiendo de su consolidada jurisprudencia sobre la necesidad de tener en
consideración a efectos de interpretación de una disposición del Derecho de la
Unión, “no solo su tenor literal conforme a su sentido habitual en el lenguaje
corriente, sino también su contexto y los objetivos que pretende alcanzar la
normativa de la que forma parte”, con cita de otra reciente sentencia, de 22
defebrero (asunto C-160/20)
Acude, pues, el TJUE, al
análisis del art. 38.3, para poner de manifiesto que no están definidos en el
mismo los términos que utiliza, y que afectan a la persona encargada de la
protección de datos, cuáles son los de “destituido”, “sancionado”, y “por
desempeñar sus funciones”.
Si acudimos al “sentido
habitual en el lenguaje corriente”, para el TJUE, que hace suyas las
conclusiones formuladas por el abogado general en los apartados 24 y 26 de las
mismas “la prohibición impuesta al responsable o encargado del tratamiento de
destituir a un delegado de protección de datos o de sancionarlo significa...
que dicho delegado debe estar protegido contra cualquier decisión que ponga fin
a sus funciones, le sea desfavorable o constituya una sanción”, por lo que su
despido puede constituir una decisión de ese tipo, en principio.
Empezarán inmediatamente
las matizaciones, ya que el TJUE subraya, con apoyo en el art. 37.6 del RGDP
que la protección de quien asume la protección de datos se extiende tanto a un
trabajador o trabajadora de la empresa como a una persona externa, es decir,
contratada en el marco de un contrato de servicios, por lo que la relación
laboral asalariada no es el título jurídico determinante para dicha
protección.
La prohibición de
despido está íntimamente relacionada con las funciones que la normativa
comunitaria la atribuye al delegado o delegada en el desempeño de sus funciones
como tal, trayendo a colación el art. 39.1 del RGPD, que son, por lo que
respecta a mi explicación, “supervisar el cumplimiento de lo dispuesto en el
presente Reglamento, de otras disposiciones de protección de datos de la Unión
o de los Estados miembros y de las políticas del responsable o del encargado
del tratamiento en materia de protección de datos personales, incluida la
asignación de responsabilidades, la concienciación y formación del personal que
participa en las operaciones de tratamiento, y las auditorías correspondientes”.
A continuación, el TJUE
vincula el objetivo perseguido por el art. 38.3 con los considerandos 97 y 10,
para subrayar tanto una efectiva protección de los delegados y delegadas como
que “la aplicación de las normas de protección de los derechos y libertades
fundamentales de esas personas en relación con el tratamiento de datos de
carácter personal sea coherente y homogénea”, trayendo a colación en apoyo de
su tesis la sentencia de 6 de
octubre de 2020, (asuntos acumulados C‑511/18, C‑512/18y C‑520/18)
... Seguirán más
matizaciones cuando el TJUE concluya que el objetivo o finalidad fundamental
del art. 38.3 es amparar a quien asume funciones de protección de datos y se
extingue su vínculo con la empresa por un motivo relacionado con el desempeño
de sus funciones, ya sea una persona con relación contractual laboral o bien
externa a la empresa. Se enfatiza este dato por el TJUE para inmediatamente
añadir que esta disposición “no tiene por objeto regular globalmente las relaciones
laborales entre un responsable o un encargado del tratamiento y las personas
que forman parte de su plantilla, relaciones que solo pueden verse afectadas de
forma accesoria, en la medida estrictamente necesaria para la consecución de
estos objetivos”.
Y el final de las
matizaciones aparece a partir del apartado 29 de la sentencia y es sin duda, o
al menos así me lo parece, el jurídicamente más relevante, el fundamento
jurídico “sobre cuya base el legislador de la Unión adoptó el RGPD”, al
que además el TJUE añade “el contexto en el que se inscribe dicha disposición”.
La base jurídica fue el
art. 16.2 del TFUE (“El Parlamento Europeo y el Consejo establecerán, con
arreglo al procedimiento legislativo ordinario, las normas sobre protección de
las personas físicas respecto del tratamiento de datos de carácter personal por
las instituciones, órganos y organismos de la Unión, así como por los Estados
miembros en el ejercicio de las actividades comprendidas en el ámbito de
aplicación del Derecho de la Unión, y sobre la libre circulación de estos
datos”).
Sí se incluye, en esta
base jurídica, la protección del delegado o delegada de protección de datos en
cuanto a las funciones específicas que desempeña y asume en su condición de
tal, pero la norma no va más allá, ya que el TJUE subraya que la fijación de
normas relativas a la protección contra el despido de un delegado de protección
de datos empleado por un responsable o encargado del tratamiento “no está
comprendida ni en la protección de las personas físicas en lo que respecta al
tratamiento de datos personales ni en la libre circulación de estos
datos, sino en el ámbito de la política social” (la negrita es
mía).
Es necesario, pues,
acudir a la normativa en materia de política social, una “competencia
compartida” de acuerdo a lo dispuesto en el art. 4.2 b) del TFUE en relación
con el art. 2.2, y en el ámbito concreto de la resolución del contrato de
trabajo hemos de acudir al art. 153 1 d), ámbito en el que la Unión “...
apoyará y completará la acción de los Estados miembros”. Considera aplicable
por analogía la sentencia de 19 de noviembre de 2019 (asuntos acumulados
C-609/17 y C-610/17).
... La normativa
comunitaria permite, pues, a los Estados miembros “mantener o
introducir medidas de protección más estrictas compatibles con los Tratados”,
por lo que cada Estado, y aquí nuevamente el TJUE hace suyas las conclusiones
del abogado general, tiene libertad, en el ejercicio de su competencia
reservada, para establecer disposiciones específicas más protectoras en materia
de despido del delegado de protección de datos..., “siempre que dichas
disposiciones sean compatibles con el Derecho de la Unión y, en particular, con
las disposiciones del RGPD, y en concreto, su artículo 38, apartado 3, segunda
frase”.
Siendo demoledora la
tesis del TJUE, otra vez con apoyo en las conclusiones, y por tanto alineándose
con la tesis minoritaria defendida por los tribunales germánicos, respecto a
que dicha protección reforzada no puede poner en peligro la consecución de los
objetivos del RGPD, y que ello sucedería “si esta impidiera cualquier despido,
por parte de un responsable o de un encargado del tratamiento, de un delegado
de protección de datos que ya no tuviera las cualidades profesionales requeridas
para ejercer sus funciones o que no las cumpliera conforme a las disposiciones
del RGPD”.
Voy concluyendo. La
“coletilla final” del fallo de la sentencia con respecto a la propuesta
formulada por el abogado general cobra todo su sentido. Protección contra el
despido cuando actúe como delegado o delegada de protección de datos en el
marco de las funciones atribuidas por la normativa comunitaria y las fijadas,
en cumplimiento de dicha norma, por las normativas estatales, sí de forma clara
e indubitada. En los restantes supuestos de resolución del contrato, como ha
sido en esta ocasión como consecuencia de la externalización de tareas, y que
en España puede inscribirse dentro de la extinción por causas objetivas, habrá
que acudir a la normativa laboral para determinar si la extinción se ajusta o
no a derecho”.
4. Regreso a la
sentencia de 9 de febrero de 2023. Sí tiene, al menos a mi parecer, especial
interés cómo aborda y cómo resuelve el TJUE la cuarta cuestión prejudicial
planteada por el TS alemán.
Recordemos que la
pregunta, es “en qué condiciones puede constatarse la existencia de un
«conflicto de intereses», en el sentido del artículo 38, apartado 6, del RGPD”.
La síntesis de la
argumentación del TJUE es la siguiente:
De la dicción
literal del precepto no hay incompatibilidad en el desempeño de otras funciones
juntamente con la de delegado de protección de datos.
Ahora bien, tal
compatibilidad es posible siempre que no haya conflicto de intereses. Acudiendo
nuevamente al “significado de estos términos en el lenguaje corriente”, para el
TJUE “procede considerar que, conforme al objetivo perseguido por el artículo 38,
apartado 6, del RGPD, no se puede encomendar al delegado de protección de datos
la ejecución de funciones o de cometidos que puedan perjudicar el desempeño de
las funciones que ejerce como delegado de protección de datos”. Se trata,
afirma para reforzar la tesis expuesta, de “preservar la independencia
funcional del delegado de protección de datos y, por lo tanto, garantizar la
efectividad de las disposiciones del RGPD”.
Pone en relación
el precepto analizado con el art. 39 que regula cuáles son las funciones del
delegado, y en concreto el apartado 1 b), que le adjudica las de “supervisar el
cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección
de datos de la Unión o de los Estados miembros y de las políticas del
responsable o del encargado del tratamiento en materia de protección de datos
personales, incluidas la asignación de responsabilidades, la concienciación y
formación del personal que participa en las operaciones de tratamiento, y las
auditorías correspondientes”, y de ahí concluye que no se pueden encomendar
“... funciones o cometidos que le lleven a determinar los fines y los medios
del tratamiento de datos personales del responsable del tratamiento o de su
encargado”, ya que conforme al Derecho
de la Unión o al Derecho de los Estados miembros en materia de protección de
datos, “el control de esos fines y medios debe ser efectuado de manera
independiente por dicho delegado”.
¿Conocemos
entonces la respuesta a la cuarta cuestión prejudicial planteada? Pues no, ya
que sólo tenemos el marco general en el que deberá moverse el órgano
jurisdiccional nacional remitente al emitir su sentencia. Por consiguiente,
deberá analizarse cuáles son las funciones y cometidos del delegado de
protección de datos y las de un miembro de un comité de empresa, que muy
probablemente serán de mayor relevancia cuando se trate de quien ocupe la
presidencia.
Ciertamente, y así
lo he dejado apuntado en el título de la entrada, parece que está apuntando a
ese conflicto, dadas las funciones y competencias asignadas en ambos casos,
pero tampoco lo manifiesta explícitamente, ni mucho menos, ya que deja la
puerta muy abierta al tribunal nacional para que este la cierre, es decir dicte
sentencia, tras examinar si existe tal conflicto de intereses, para lo cual,
tanto en el caso ahora examinado como en cualquier otro semejante que pueda
plantearse, esa posible existencia “debe efectuarse caso por caso, sobre la
base de una apreciación del conjunto de las circunstancias pertinentes, en
particular, de la estructura organizativa del responsable del tratamiento o de
su encargado y a la luz de toda la normativa aplicable, incluidas las
eventuales políticas de estos últimos”.
Por consiguiente,
sí puede existir el conflicto de intereses, pero que ello sea así dependerá del
marco normativo de cada Estado y de las características y circunstancias
concretas del caso.
Buena lectura.
No hay comentarios:
Publicar un comentario