II.Marco jurídico
A.Reglamento 2016/679
Los considerandos 10, 13 y 97 del Reglamento 2016/679 exponen lo siguiente:
«(10)Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea.[…]
(13)Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros.[…]
(97)[…] [Los] delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.»
El artículo 1 de este Reglamento, que lleva por epígrafe «Objeto», dispone en su apartado1:
«El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.»
El artículo 37 de dicho Reglamento, cuyo epígrafe es «Designación del delegado de protección de datos», establece lo siguiente en sus apartados 1 y 4a6:
«1.El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempreque:
a)el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b)las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,o
c)las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo10.
En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo39.
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.»
El artículo 38 del mismo Reglamento, bajo el epígrafe «Posición del delegado de protección de datos», preceptúa lo siguiente:
«1.El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.»
El artículo 39 del Reglamento 2016/679 enuncia las principales funciones del delegado de protección de datos.
B.Derecho alemán
El artículo 6 de la Bundesdatenschutzgesetz (Ley federal de protección de datos), de 20 de diciembre de 1990,(3) en su versión vigente entre el 25 de mayo de 2018 y el 25 de noviembre de 2019,(4) titulado «Posición», dispone lo siguiente en su apartado4:
«El delegado de protección de datos solo podrá ser destituido de conformidad con lo dispuesto, mutatis mutandis, por el artículo 626 del Bürgerliches Gesetzbuch [Código Civil]. La resolución de la relación laboral será nula, a no ser que concurran circunstancias que autoricen al organismo público a tal medida por causa grave sin necesidad de respetar un plazo de preaviso. Una vez concluida la actividad como delegado de protección de datos, no podrá resolverse la relación laboral antes de que transcurra un año, a no ser que exista causa grave que permita al organismo público proceder a la resolución sin respetar un plazo de preaviso.»
El artículo 38 de la BDSG, que lleva por epígrafe «Delegado de protección de datos de organismos privados», establece:
Con carácter complementario a lo dispuesto en el artículo 37, apartado 1, letrasb) yc), del Reglamento […] 2016/679, el responsable y el encargado del tratamiento nombrarán a un delegado de protección de datos siempre que, por regla general, haya al menos diez personas [(5)] empleadas de forma permanente en el tratamiento automatizado de datos personales[…]
Será de aplicación el artículo 6, apartados 4, 5, segunda frase, y 6, si bien solo será aplicable el apartado 4 cuando resulte obligatorio el nombramiento de delegado de protección de datos.»
El artículo 134 del Código Civil, en su versión publicada el 2 de enero de 2002,(6) titulado «Prohibición legal», está redactado en los siguientes términos:
«Los actos jurídicos que infrinjan una prohibición establecida por ley serán nulos, salvo que la ley disponga otra cosa para el caso de contravención.»
El artículo 626 de dicho Código, bajo el epígrafe «Resolución sin preaviso por causa grave», dispone lo siguiente:
«1.Cualquiera de las partes podrá resolver la relación laboral por causa grave sin respetar un plazo de preaviso, si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación jurídica hasta el final del período de preaviso o hasta la fecha de conclusión acordada contractualmente resulte excesivamente gravosa para la parte interesada en la resolución.
La resolución de la relación laboral solo podrá tener lugar en el plazo de dos semanas, que comenzará a correr en el momento en que la parte facultada para ello tenga conocimiento de los hechos pertinentes […]»