El 9 de febrero de 2023, el Tribunal de Justicia de la Uni贸n Europea (芦TJUE禄) dict贸 sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisi贸n, el TJUE aclar贸 los criterios para evaluar si existe un conflicto de intereses entre la funci贸n de Delegado de Protecci贸n de Datos (芦DPD/DPO禄) y otras tareas o funciones asignadas al mismo DPD/DPO.
- Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislaci贸n sobre protecci贸n de datos y las pol铆ticas adoptadas en cada organizaci贸n, y actuar como punto de contacto con las autoridades de control.
- Para desempe帽ar eficazmente estas tareas debe operar con independencia. A tales efectos, el art铆culo 38, apartado 3, del RGPD establece espec铆ficamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al m谩s alto nivel directivo (recu茅rdese que el mismo art铆culo proh铆be despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).
En esta sentencia, el TJUE hizo hincapi茅 en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecuci贸n de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en funci贸n de otro cargo que compatibilice) determinar los objetivos y m茅todos del tratamiento de datos personales.
Ahora bien, a 聽efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluaci贸n casu铆stica, para determinar si existe un conflicto de intereses. En esta evaluaci贸n se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, as铆 como las pol铆ticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este 煤ltimo aspecto, se plante贸 la cuesti贸n de si esta prohibici贸n se opone a una legislaci贸n nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal 煤nicamente cuando exista una causa justificada, aunque el despido no est茅 relacionado con el ejercicio de las tareas del DPD/DPO. 聽Para llegar a esta conclusi贸n, el Tribunal reiter贸 que los conceptos de 芦destituir禄 y 芦sancionar禄 deben interpretarse con arreglo al lenguaje corriente (v茅ase tambi茅n la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra 芦cualquier decisi贸n que ponga fin a sus funciones, por la que se le coloque en una situaci贸n de desventaja o que constituya una sanci贸n禄. El Tribunal confirm贸 que una medida de despido por parte de un empleador puede constituir una decisi贸n de este tipo.
El Tribunal tambi茅n reiter贸 que la prohibici贸n de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relaci贸n con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo s贸lo cuando los motivos subyacentes a la decisi贸n se refieren al desempe帽o de sus funciones. El Tribunal consider贸 que cada Estado miembro es libre de establecer disposiciones espec铆ficas m谩s protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protecci贸n no menoscabe la consecuci贸n de los objetivos del RGPD. Tal menoscabo podr铆a producirse, por ejemplo, cuando la legislaci贸n nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.
- En cuanto al conflicto de intereses, el TJUE se帽ala que el art铆culo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el art铆culo 39 del RGPD), pero impone la obligaci贸n de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
- Sobre las circunstancias podr铆an suponer tal conflicto de intereses, el Tribunal respondi贸 de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan 芦menoscabar la ejecuci贸n de las funciones desempe帽adas por el DPD/DPO禄. M谩s concretamente, el Tribunal confirm贸 que se producir铆a un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinaci贸n de los objetivos y m茅todos de tratamiento de datos personales por su parte. Evidentemente, la determinaci贸n de objetivos o m茅todos de tratamiento de datos chocar铆a con el requisito de poder revisar de forma independiente dichos objetivos y m茅todos. La evaluaci贸n de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y pol铆ticas aplicables).
1)聽聽聽聽聽聽El art铆culo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protecci贸n de datos que forme parte de su plantilla por causa grave, aun cuando la destituci贸n no est茅 relacionada con el desempe帽o de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecuci贸n de los objetivos de ese Reglamento.
2)聽聽聽聽聽聽El art铆culo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un 芦conflicto de intereses禄, en el sentido de esta disposici贸n, cuando se encomienden a un delegado de protecci贸n de datos otras funciones o cometidos que llevar铆an a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales pol铆ticas de estos 煤ltimos.
M谩s:
- Esta conclusi贸n es coherente con las directrices del Grupo de Trabajo del Art铆culo 29 sobre los responsables de la protecci贸n de datos de 2017.