TJUE: RGPD y Despido del Delegado de Protecci贸n de Datos

Spread the love

En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunci贸 sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminaci贸n del empleo de un responsable de la protecci贸n de datos (DPO) de conformidad con el art铆culo 38 (2) y el art铆culo 6 (4) frase 2 de la Ley Federal de Protecci贸n de Datos (Bundesdatenschutzgesetz, BDSG).

No Eume- Ponte do Eume

Antecedentes

La decisi贸n del TJUE se basa en la petici贸n de decisi贸n prejudicial del Tribunal Federal de Trabajo alem谩n (Bundesarbeitsgericht, BAG) formulada mediante la decisi贸n de 30 de julio de 2020 (2 AZR 225/20). El BAG deb铆a pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.

  • El empleador, una sociedad de Derecho privado que, con arreglo a la legislaci贸n alemana, est谩 obligada a nombrar a un DPO, hab铆a puesto fin a la relaci贸n laboral de la DPO con la debida antelaci贸n debido a una medida de reestructuraci贸n. Los tribunales de primera instancia consideraron que la rescisi贸n no era v谩lida porque eran aplicables las disposiciones que regulan la rescisi贸n de la relaci贸n laboral de un DPO con arreglo al art铆culo 38, apartado 2, y al art铆culo 6, apartado 4, segunda frase, de la BDSG, por lo que la relaci贸n laboral s贸lo pod铆a haberse rescindido por 鈥渃ausa justificada鈥, en el sentido de la BDSG y el RGPD.
            • El art铆culo 6 (4) de la BDSG, establece:鈥No se pondr谩 fin a la relaci贸n laboral del responsable de la protecci贸n de datos a menos que existan hechos que den al organismo 鈥. una causa justa para poner fin a la relaci贸n laboral sin previo aviso. […]禄
  • El BAG ten铆a dudas sobre la compatibilidad de esta disposici贸n (art铆culo 6 (4) de la BDSG) con el art铆culo 38, apartado 3, frase 2, del RGPD (芦El responsable del tratamiento o el encargado del tratamiento no podr谩 despedirlo ni sancionarlo por el desempe帽o de sus funciones芦), ya que las disposiciones alemanas imponen requisitos m谩s estrictos al cese del empleo de un DPO que la disposici贸n de la legislaci贸n de la UE. En este contexto, el BAG plante贸 la siguiente pregunta al TJCE*:

芦驴Debe interpretarse el art铆culo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposici贸n de Derecho nacional, como el art铆culo 38, apartados 1 y 2, en relaci贸n con el art铆culo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisi贸n ordinaria del contrato de trabajo del delegado de protecci贸n de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempe帽o de sus funciones?禄.

En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que 聽聽los delegados de protecci贸n de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempe帽ar sus funciones y cometidos de manera independiente.聽Y que el l art铆culo 37 del RGPD, titulado 芦Designaci贸n del delegado de protecci贸n de datos禄, tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designar谩n un delegado de protecci贸n de datos siempre聽que:聽 a) el tratamiento lo lleve a cabo una autoridad u organismo p煤blico, excepto los tribunales que act煤en en ejercicio de su funci贸n judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en raz贸n de su naturaleza, alcance y/o fines, requieran una observaci贸n habitual y sistem谩tica de interesados a gran escala,聽o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categor铆as especiales de datos con arreglo al art铆culo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10.聽El art铆culo 38 del RGPD, titulado 芦Posici贸n del delegado de protecci贸n de datos禄, establece, en sus apartados 3聽y聽5: 芦3.聽El responsable y el encargado del tratamiento garantizar谩n que el delegado de protecci贸n de datos no reciba ninguna instrucci贸n en lo que respecta al desempe帽o de dichas funciones. No ser谩 destituido ni sancionado por el responsable o el encargado por desempe帽ar sus funciones. El delegado de protecci贸n de datos rendir谩 cuentas directamente al m谩s alto nivel jer谩rquico del responsable o encargado.[鈥 5. El delegado de protecci贸n de datos estar谩 obligado a mantener el secreto o la confidencialidad en lo que respecta al desempe帽o de sus funciones, de conformidad con el Derecho de la Uni贸n o de los Estados miembros.禄聽El art铆culo 39 del RGPD, titulado 芦Funciones del delegado de protecci贸n de datos禄, dispone, en su apartado 1, letra聽b): 芦El delegado de protecci贸n de datos tendr谩 como m铆nimo las siguientes funciones:鈥, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protecci贸n de datos de la Uni贸n o de los Estados miembros y de las pol铆ticas del responsable o del encargado del tratamiento en materia de protecci贸n de datos personales, incluida la asignaci贸n de responsabilidades, la concienciaci贸n y formaci贸n del personal que participa en las operaciones de tratamiento, y las auditor铆as correspondientes;…..

Merindades burgalesas
Merindades burgalesas

La respuesta del TJUE a la pregunta del BAG es que la segunda frase del art铆culo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislaci贸n nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protecci贸n de datos, que es miembro de su personal, 煤nicamente con justa causa, aunque la rescisi贸n contractual no est茅 relacionada con el desempe帽o de las tareas de dicho delegado, en la medida en que dicha legislaci贸n no menoscabe la consecuci贸n de los objetivos del RGPD.聽Seg煤n el TJCE, las disposiciones alemanas, en virtud de las cuales la relaci贸n laboral de un DPO s贸lo puede rescindirse por causa justificada, aunque la rescisi贸n no est茅 relacionada con el desempe帽o de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicaci贸n tradicional de la legislaci贸n alemana de protecci贸n del empleo favorable a los trabajadores.

El TJUE justific贸 su decisi贸n afirmando que el art铆culo 38, apartado 3, frase 2, del RGPD sirve 煤nicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relaci贸n laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero s贸lo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijaci贸n de normas sobre la protecci贸n de los DPD/DPO frente a la terminaci贸n de su relaci贸n laboral es fundamentalmente una cuesti贸n de pol铆tica social, 谩mbito en el que los Estados miembros de la UE pueden establecer disposiciones m谩s tuitivas y estrictas que el legislador de la UE, siempre dentro de unos l铆mites. As铆, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE se帽ala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podr铆an impedir la 聽rescisi贸n del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempe帽ar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD

Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerar谩n estos dos casos como 芦causas justas禄 para el despido en futuras decisiones y/o si desarrollar谩n otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuesti贸n de si existe una causa justa para el despido a煤n debe determinarse caso por caso, si bien los efectos de una rescisi贸n sobre las obligaciones derivadas del RGPD desempe帽ar谩n un papel importante a la hora de determinar si existe una causa justa para la rescisi贸n.

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

Publicado por

Elena F P茅rez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de Le贸n