martes, 14 de febrero de 2023

UE. ¿Es compatible ser delegado de protección de datos y presidente del comité de empresa? Para el TJUE, parece difícil, sin llegar a decirlo expresamente. Notas a la sentencia de 9 de febrero de 2023 (asunto C-453/21).

 

1. Es objeto de anotación en esta entrada del blog la sentencia dictada por la Sala séptima delTribunal de Justicia de la Unión Europea el 9 de febrero (asunto C-453/21)  , con ocasión de la petición de decisión prejudicial planteada, al amparo del art. 267 del Tratado de funcionamiento de la UE, por el Tribunal Supremo de lo Laboral de Alemania, mediante resolución de 27 de abril de 2021.

Versa sobre la interpretación y la validez del art. 38.3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, así como sobre la interpretación de su art. 38.6.

No es la primera vez que el máximo órgano jurisdiccional social alemán se dirige al TJUE solicitando la interpretación del citado art. 38.3, segunda frase, del Reglamento comunitario, habiéndose dictado por aquel la sentencia de 22 dejunio de 2022 (asunto C-534/20)    , por lo que no es de extrañar que la respuesta que dará el TJUE a la primera cuestión prejudicial, que además le permitirá no entrar en la segunda y tercera planteada, sea prácticamente idéntica tanto en su argumentación como en el fallo a la dictada con anterioridad.

De ahí que el interés de la resolución judicial ahora comentada radique en la respuesta, muy abierta a mi parecer (también se podría utilizar el término “confusa”) que proporciona a la cuarta pregunta sobre cómo debe interpretarse el art. 38.6, relativa a la posible incompatibilidad, “conflicto de intereses”, entre ser delegado de protección de datos y miembro (presidente) del comité de empresa.

El resumen oficial de la sentencia, que fue dictada sin conclusiones del abogado general, es el siguiente: “Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3 — Delegado de protección de datos — Prohibición de destitución por el desempeño de sus funciones — Exigencia de independencia funcional — Normativa nacional que prohíbe la destitución de un delegado de protección de datos sin causa grave — Artículo 38, apartado 6 — Conflicto de intereses — Criterios”.

2. El litigio encuentra su origen en sede judicial con la presentación de una demanda por el trabajador tras haber sido destituido como delegado de protección de datos.

Tenemos conocimiento, a través de los datos fácticos facilitados por el órgano jurisdiccional remitente al TJUE, que el trabajador prestaba sus servicios para la empresa desde el 1 de noviembre de 1993 y que desempeña (sin mencionar desde cuándo) el cargo de presidente del comité de empresa, quedando dispensado parcialmente de prestar servicios.  Sabemos además (véanse apartados 11 y 12) que ocupaba el cargo de vicepresidente del comité central de empresa constituido para tres empresas del grupo de sociedades al que pertenecía la suya, establecidas en Alemania, y que con efectos a partir del 1 de junio de 2015, “... fue e designado, por cada empresa por separado, como delegado de protección de datos de X-FAB, de la sociedad matriz de esta y de sus demás filiales establecidas en Alemania. Según el órgano jurisdiccional remitente, el objetivo de esta designación paralela de FC como delegado de protección de datos de todas esas empresas era garantizar un nivel uniforme de protección de datos en dichas empresas”.

Tras su destitución, ejerció acciones en sede judicial tendentes a que se les restituyera en su condición de delegado de protección de datos, siendo la tesis de contrario de la empresa que existía un conflicto de intereses al desempeñar los dos cargos, o lo que es lo mismo, que serían incompatibles, y en aplicación de la normativa interna alemana (Código Civil), que permite tomar tal decisión cuando exista un motivo grave, se adoptó la decisión por entenderla plenamente justificada.

La demanda fue estimada en primera instancia y confirmada en apelación, por lo que la empresa presentó recurso de casación ante el TS, que fue quién elevó la petición de decisión prejudicial, con cuatro cuestiones judiciales, que como ya he indicado con anterioridad el TJUE solo responder a la primera y la cuarta, por considerar que no procedía responder a la segunda y la tercera vistos los términos con los que había resuelto la primera. Estas eran las cuestiones prejudiciales

“1)      ¿Debe interpretarse el artículo 38, apartado 3, segunda frase, del [RGPD] en el sentido de que se opone a una disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, primera frase, de la [BDSG], en virtud de la cual se supedita la destitución del delegado de protección de datos por el responsable del tratamiento, que es su empresario, a los requisitos establecidos en dicha disposición, con independencia de que se produzca en el marco del desempeño de sus funciones?

En caso de respuesta afirmativa a la primera cuestión:

2) ¿Se opone el artículo 38, apartado 3, segunda frase, del RGPD a tal disposición de Derecho nacional también en el caso de que la designación del delegado de protección de datos no venga impuesta por el artículo 37, apartado 1, del RGPD, sino únicamente por el Derecho del Estado miembro?

En caso de respuesta afirmativa a la primera cuestión:

3)  ¿Existe base jurídica suficiente para la disposición contenida en el artículo 38, apartado 3, segunda frase, del RGPD, en particular por lo que se refiere a su aplicación a los delegados de protección de datos vinculados al responsable del tratamiento en virtud de una relación laboral?

En caso de respuesta negativa a la primera cuestión:

4)  ¿Existe un conflicto de intereses en el sentido del artículo 38, apartado 6, segunda frase, del RGPD cuando el delegado de protección de datos ostenta a la vez el cargo de presidente del comité de empresa constituido en el organismo responsable? Para concluir que existe tal conflicto de intereses, ¿es necesario que se le hayan atribuido funciones particulares en el seno del comité de empresa?”.

3. El TJUE pasa revista primeramente a la normativa europea y estatal aplicable.

La primera es prácticamente la misma que fue examinada en la sentencia de 22 de junio de 2022, con el añadido, importante, del art. 38.6 (“El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses”)

Lo mismo ocurre con la normativa alemana. Destaco solo el art. 626 del Código Civil, titulado “Resolución sin preaviso por causa grave”, cuyo apartado 1 dispone que “cualquiera de las partes podrá resolver la relación laboral por causa grave sin necesidad de respetar un plazo de preaviso si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación laboral hasta el final del período de preaviso o hasta la fecha de conclusión acordada contractualmente resulte excesivamente gravosa para la parte interesada en la resolución...”.

3. La repuesta a la primera cuestión prejudicial, como he indicado, es sustancialmente idéntica a la dada en la sentencia de 22 de junio de 2022, y baste indicar, para confirmar esta afirmación, que la cita de dicha resolución aparece en casi todos los apartados de la sentencia ahora comentada (18 a 36) que abordan la misma.

En efecto, tras delimitar qué debe responder (“si el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado), va remitiéndose, punto por punto, a la sentencia anterior, para concluir en los mismos términos: el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse ¡en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos del RGPD”

Por ello, me permito reproducir amplios fragmentos de mi comentario de aquella,  , dada la identidad existente entre ambas.

“La importancia de la sentencia es mucha a mi parecer ya que, aun cuando referida a la interpretación de la normativa comunitaria sobre protección de datos en relación con la alemana, es de perfecta aplicación a la normativa española, es decir a la Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos personales y de garantía de los derechos digitales de la persona. Recordemos que el art. 36 (“posición del delegado de protección de datos) dispone en su apartado 2 que “Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Y se trata, en esta ocasión, de una importancia de valor negativo para quienes, en su condición de personas trabajadoras por cuenta ajena, sean nombradas delegadas de protección de datos en el ámbito empresarial, ya que el título o base jurídica de la normativa reguladora de tal nombramiento es distinto de aquel que sirve para la regulación de la normativa laboral en el TFUE, y ello llevará a que la protección no pueda ir más allá de aquella que la norma europea le otorga en el ámbito estricto de su actividad como tal delegado o delegada de protección de datos.

... el TJUE responderá solo a la primera pregunta o cuestión, por entender que, en atención a la dada a esta no procede entrar en el análisis de la segunda y tercera planteada.

El TJUE responderá partiendo de su consolidada jurisprudencia sobre la necesidad de tener en consideración a efectos de interpretación de una disposición del Derecho de la Unión, “no solo su tenor literal conforme a su sentido habitual en el lenguaje corriente, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte”, con cita de otra reciente sentencia, de 22 defebrero (asunto C-160/20) 

Acude, pues, el TJUE, al análisis del art. 38.3, para poner de manifiesto que no están definidos en el mismo los términos que utiliza, y que afectan a la persona encargada de la protección de datos, cuáles son los de “destituido”, “sancionado”, y “por desempeñar sus funciones”. 

Si acudimos al “sentido habitual en el lenguaje corriente”, para el TJUE, que hace suyas las conclusiones formuladas por el abogado general en los apartados 24 y 26 de las mismas “la prohibición impuesta al responsable o encargado del tratamiento de destituir a un delegado de protección de datos o de sancionarlo significa... que dicho delegado debe estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción”, por lo que su despido puede constituir una decisión de ese tipo, en principio.

Empezarán inmediatamente las matizaciones, ya que el TJUE subraya, con apoyo en el art. 37.6 del RGDP que la protección de quien asume la protección de datos se extiende tanto a un trabajador o trabajadora de la empresa como a una persona externa, es decir, contratada en el marco de un contrato de servicios, por lo que la relación laboral asalariada no es el título jurídico determinante para dicha protección.  

La prohibición de despido está íntimamente relacionada con las funciones que la normativa comunitaria la atribuye al delegado o delegada en el desempeño de sus funciones como tal, trayendo a colación el art. 39.1 del RGPD, que son, por lo que respecta a mi explicación, “supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”.

A continuación, el TJUE vincula el objetivo perseguido por el art. 38.3 con los considerandos 97 y 10, para subrayar tanto una efectiva protección de los delegados y delegadas como que “la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea”, trayendo a colación en apoyo de su tesis la sentencia de 6 de octubre de 2020, (asuntos acumulados C‑511/18, C‑512/18y C‑520/18) 

... Seguirán más matizaciones cuando el TJUE concluya que el objetivo o finalidad fundamental del art. 38.3 es amparar a quien asume funciones de protección de datos y se extingue su vínculo con la empresa por un motivo relacionado con el desempeño de sus funciones, ya sea una persona con relación contractual laboral o bien externa a la empresa. Se enfatiza este dato por el TJUE para inmediatamente añadir que esta disposición “no tiene por objeto regular globalmente las relaciones laborales entre un responsable o un encargado del tratamiento y las personas que forman parte de su plantilla, relaciones que solo pueden verse afectadas de forma accesoria, en la medida estrictamente necesaria para la consecución de estos objetivos”.

Y el final de las matizaciones aparece a partir del apartado 29 de la sentencia y es sin duda, o al menos así me lo parece, el jurídicamente más relevante, el fundamento jurídico “sobre cuya base el legislador de la Unión adoptó el RGPD”, al que además el TJUE añade “el contexto en el que se inscribe dicha disposición”.

La base jurídica fue el art. 16.2 del TFUE (“El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos”).

Sí se incluye, en esta base jurídica, la protección del delegado o delegada de protección de datos en cuanto a las funciones específicas que desempeña y asume en su condición de tal, pero la norma no va más allá, ya que el TJUE subraya que la fijación de normas relativas a la protección contra el despido de un delegado de protección de datos empleado por un responsable o encargado del tratamiento “no está comprendida ni en la protección de las personas físicas en lo que respecta al tratamiento de datos personales ni en la libre circulación de estos datos, sino en el ámbito de la política social” (la negrita es mía).

Es necesario, pues, acudir a la normativa en materia de política social, una “competencia compartida” de acuerdo a lo dispuesto en el art. 4.2 b) del TFUE en relación con el art. 2.2, y en el ámbito concreto de la resolución del contrato de trabajo hemos de acudir al art. 153 1 d), ámbito en el que la Unión “... apoyará y completará la acción de los Estados miembros”. Considera aplicable por analogía la sentencia de 19 de noviembre de 2019 (asuntos acumulados C-609/17 y C-610/17).

... La normativa comunitaria permite, pues, a los Estados miembros  “mantener o introducir medidas de protección más estrictas compatibles con los Tratados”, por lo que cada Estado, y aquí nuevamente el TJUE hace suyas las conclusiones del abogado general, tiene libertad, en el ejercicio de su competencia reservada, para establecer disposiciones específicas más protectoras en materia de despido del delegado de protección de datos..., “siempre que dichas disposiciones sean compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD, y en concreto, su artículo 38, apartado 3, segunda frase”.

Siendo demoledora la tesis del TJUE, otra vez con apoyo en las conclusiones, y por tanto alineándose con la tesis minoritaria defendida por los tribunales germánicos, respecto a que dicha protección reforzada no puede poner en peligro la consecución de los objetivos del RGPD, y que ello sucedería “si esta impidiera cualquier despido, por parte de un responsable o de un encargado del tratamiento, de un delegado de protección de datos que ya no tuviera las cualidades profesionales requeridas para ejercer sus funciones o que no las cumpliera conforme a las disposiciones del RGPD”.

Voy concluyendo. La “coletilla final” del fallo de la sentencia con respecto a la propuesta formulada por el abogado general cobra todo su sentido. Protección contra el despido cuando actúe como delegado o delegada de protección de datos en el marco de las funciones atribuidas por la normativa comunitaria y las fijadas, en cumplimiento de dicha norma, por las normativas estatales, sí de forma clara e indubitada. En los restantes supuestos de resolución del contrato, como ha sido en esta ocasión como consecuencia de la externalización de tareas, y que en España puede inscribirse dentro de la extinción por causas objetivas, habrá que acudir a la normativa laboral para determinar si la extinción se ajusta o no a derecho”.

4. Regreso a la sentencia de 9 de febrero de 2023. Sí tiene, al menos a mi parecer, especial interés cómo aborda y cómo resuelve el TJUE la cuarta cuestión prejudicial planteada por el TS alemán.

Recordemos que la pregunta, es “en qué condiciones puede constatarse la existencia de un «conflicto de intereses», en el sentido del artículo 38, apartado 6, del RGPD”.

La síntesis de la argumentación del TJUE es la siguiente:

De la dicción literal del precepto no hay incompatibilidad en el desempeño de otras funciones juntamente con la de delegado de protección de datos.

Ahora bien, tal compatibilidad es posible siempre que no haya conflicto de intereses. Acudiendo nuevamente al “significado de estos términos en el lenguaje corriente”, para el TJUE “procede considerar que, conforme al objetivo perseguido por el artículo 38, apartado 6, del RGPD, no se puede encomendar al delegado de protección de datos la ejecución de funciones o de cometidos que puedan perjudicar el desempeño de las funciones que ejerce como delegado de protección de datos”. Se trata, afirma para reforzar la tesis expuesta, de “preservar la independencia funcional del delegado de protección de datos y, por lo tanto, garantizar la efectividad de las disposiciones del RGPD”.

Pone en relación el precepto analizado con el art. 39 que regula cuáles son las funciones del delegado, y en concreto el apartado 1 b), que le adjudica las de “supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”, y de ahí concluye que no se pueden encomendar “... funciones o cometidos que le lleven a determinar los fines y los medios del tratamiento de datos personales del responsable del tratamiento o de su encargado”, ya que  conforme al Derecho de la Unión o al Derecho de los Estados miembros en materia de protección de datos, “el control de esos fines y medios debe ser efectuado de manera independiente por dicho delegado”.

¿Conocemos entonces la respuesta a la cuarta cuestión prejudicial planteada? Pues no, ya que sólo tenemos el marco general en el que deberá moverse el órgano jurisdiccional nacional remitente al emitir su sentencia. Por consiguiente, deberá analizarse cuáles son las funciones y cometidos del delegado de protección de datos y las de un miembro de un comité de empresa, que muy probablemente serán de mayor relevancia cuando se trate de quien ocupe la presidencia.

Ciertamente, y así lo he dejado apuntado en el título de la entrada, parece que está apuntando a ese conflicto, dadas las funciones y competencias asignadas en ambos casos, pero tampoco lo manifiesta explícitamente, ni mucho menos, ya que deja la puerta muy abierta al tribunal nacional para que este la cierre, es decir dicte sentencia, tras examinar si existe tal conflicto de intereses, para lo cual, tanto en el caso ahora examinado como en cualquier otro semejante que pueda plantearse, esa posible existencia “debe efectuarse caso por caso, sobre la base de una apreciación del conjunto de las circunstancias pertinentes, en particular, de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos”.

Por consiguiente, sí puede existir el conflicto de intereses, pero que ello sea así dependerá del marco normativo de cada Estado y de las características y circunstancias concretas del caso.

Buena lectura.

 

No hay comentarios: