IV.Análisis
A.Sobre la primera cuestión prejudicial
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, al Tribunal de Justicia si el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 debe interpretarse en el sentido de que se opone a una normativa nacional que establece que el empleador de un delegado de protección de datos solo puede despedir a este por causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de las funciones del delegado despedido.
La respuesta a este interrogante supone precisar, en primer lugar, el alcance de la expresión «destituido […] por desempeñar sus funciones» empleada por el legislador de la Unión en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679. En segundo lugar, será preciso determinar si los Estados miembros tienen la facultad de ampliar las garantías de que goza el delegado de protección de datos con arreglo a dicha disposición.
1.Sobre la protección del delegado de protección de datos prevista en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679
El artículo 38 del Reglamento 2016/679 figura en el capítuloIV de este Reglamento, relativo al «Responsable del tratamiento y encargado del tratamiento», en particular en la sección 4, que lleva por epígrafe «Delegado de protección de datos». Esta sección contiene tres artículos relativos, respectivamente, a la designación del delegado de protección de datos,(8) a su posición(9) y a sus funciones, que consisten, esencialmente, en proporcionar asesoramiento personal sobre el tratamiento de datos y en supervisar el cumplimiento de las normas relativas a la protección de datos.(10)
Para la interpretación del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 procede tener en cuenta, según reiterada jurisprudencia del Tribunal de Justicia, no solo el tenor de esta disposición, sino también su contexto y los objetivos perseguidos por la normativa de la que forma parte.(11)
Por lo que respecta al tenor del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, cabe observar que expresa una obligación en términos negativos. En efecto, establece que «[el delegado de protección de datos] no será destituido ni sancionado por el responsable o el encargado [del tratamiento] por desempeñar sus funciones».(12)
Así pues, esta disposición determina los confines de la protección del delegado de protección de datos. Este está protegido, por una parte, contra cualquier decisión que ponga fin a sus funciones o le sea desfavorable cuando, por otra parte, tal decisión guarde relación con el desempeño de sus funciones.
En cuanto a la distinción entre la destitución y la sanción del delegado de protección de datos, ha de señalarse, en primer lugar, que ninguna disposición del Reglamento 2016/679 define explícita o implícitamente tales medidas.(13)
Al término del análisis comparativo de otras versiones lingüísticas, cabe considerar que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se refiere a dos tipos de medidas, a saber, las que ponen fin a las funciones del delegado de protección de datos y las que constituyen sanciones o son desfavorables para ese delegado, independientemente de su contexto. Por consiguiente, estas definiciones pueden comprender los despidos mediante los cuales el empleador resuelve un contrato de trabajo.(14)
Los resultados de las investigaciones relativas a la génesis legislativa del artículo 38 del Reglamento 2016/679 que he podido consultar no permiten, a falta de datos pormenorizados, obtener aclaraciones sobre las intenciones precisas del legislador de la Unión en cuanto al alcance del término «destituido». Únicamente cabe comprobar que la adición textual relativa a la destitución tuvo lugar en una fase avanzada del proceso legislativo(15) durante la cual, de forma concomitante, se suprimió, tras el pasaje «el responsable o el encargado del tratamiento velarán por que el delegado de protección de datos», el fragmento siguiente: «desempeñe sus funciones y tareas con independencia».(16) De lo anterior cabe deducir que el legislador deseó concretar la obligación de no destituir al delegado de protección de datos por el desempeño de sus funciones.
He de señalar también que el legislador de la Unión optó por reproducir literalmente el tenor del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 en el artículo 44, apartado 3, segunda frase, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º45/2001 y la Decisión n.º1247/2002/CE.(17) No obstante, no se puede extraer precisión alguna de los documentos relativos a la elaboración del Reglamento 2018/1725, lo que está justificado, en mi opinión, por la adición en el artículo 44, apartado 8, de otra garantía esencial concedida al delegado de protección de datos, a saber, que «en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, […] podrá ser destituido de su cargo por la institución u organismo de la Unión que le haya designado solo previo consentimiento del Supervisor Europeo de Protección de Datos».
En segundo lugar, cabe señalar que en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 no se establece distinción alguna según que el delegado de protección de datos forme parte o no de la plantilla del responsable o del encargado del tratamiento.(18) En efecto, el citado Reglamento no contiene ninguna disposición relativa a la interdependencia entre las decisiones adoptadas por el empleador en el ámbito de la relación laboral y las relativas a las funciones del delegado de protección de datos. El único límite establecido se refiere al motivo por el que no puede ponerse fin a las funciones del delegado de protección de datos, a saber, cualquier motivo basado en el desempeño de sus funciones.
En cuanto al objetivo perseguido por el legislador de la Unión, este justifica la redacción en términos generales del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 y la decisión de fijar este límite.
En efecto, en el proyecto de la exposición de motivos del Consejo se precisa que la designación de un delegado de protección de datos tiene por objeto mejorar la observancia del Reglamento 2016/679.(19) Esta es la razón por la que el artículo 38, apartado 3, segunda frase, de dicho Reglamento establece obligaciones destinadas a garantizar la independencia del delegado. En este sentido, en ese mismo artículo se establece que el delegado de protección de datos no debe recibir instrucción alguna en lo que respecta al desempeño de sus funciones y que debe rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.(20) Asimismo, está obligado a mantener el secreto o la confidencialidad en el ámbito profesional.(21)
Por consiguiente, se hace hincapié en el rigor del encuadramiento de las funciones del delegado de protección de datos, que está particularmente justificado cuando este último es designado por un responsable del tratamiento que es su empleador. Así pues, mediante la prohibición que figura en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, se garantizan las prerrogativas de que goza dicho delegado de protección de datos para el desempeño de sus funciones, que, en determinados casos, pueden ser difícilmente conciliables con las establecidas por el empleador en el ámbito de la relación laboral.
El análisis según el cual la única finalidad de esta disposición es organizar el desempeño de las funciones de delegado de protección de datos de manera independiente queda corroborado por el contexto en el que fue adoptada.
A este respecto, ha de señalarse que el Reglamento 2016/679 tiene por objeto, según su artículo 1, establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. Así, fue adoptado sobre la base del artículo 16TFUE, apartado 2,(22) lo que induce a considerar, como ya he expuesto en conclusiones presentadas con anterioridad, que, aunque la protección de los datos personales sea, por su propia naturaleza, transversal, la armonización efectuada por el citado Reglamento está limitada a los aspectos específicamente cubiertos por este Reglamento en dicho ámbito.(23)
Por todos estos motivos, no cabe duda, en mi opinión, de que la protección específica del delegado de protección de datos, prevista en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, es propia del objeto de este Reglamento, en la medida en que refuerza la autonomía de dicho delegado de protección de datos. Por consiguiente, no se inscribe en el ámbito más amplio de la protección de los trabajadores.(24)
En consecuencia, se plantea de nuevo la cuestión de si, fuera de estos aspectos específicamente cubiertos por el Reglamento n.º2016/679, los Estados miembros siguen siendo libres de legislar, siempre y cuando no menoscaben el contenido ni los objetivos de dicho Reglamento.(25)
2.Sobre la facultad de los Estados miembros de ampliar las garantías que brinda al delegado de protección de datos el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679
En mi opinión, el objetivo del Reglamento 2016/679, enunciado en su considerando 13, con arreglo al cual el legislador de la Unión garantiza la independencia del delegado de protección de datos en términos generales en el artículo 38, apartado 3, segunda frase, del citado Reglamento,(26) justifica que los Estados miembros puedan adoptar cualesquiera otras medidas destinadas a reforzar la autonomía del delegado en el desempeño de sus funciones.
Este análisis no contradice los efectos de los reglamentos, tal como se definen en el artículo 288TFUE, párrafo segundo, ni la obligación subsiguiente que incumbe a los Estados miembros de no establecer excepciones a un reglamento obligatorio en todos sus elementos y directamente aplicable o completarlo, a menos que las disposiciones de ese reglamento reconozcan a los Estados miembros un margen de maniobra que, según los supuestos, puede o debe ser utilizado por estos en las condiciones y con los límites previstos en estas disposiciones.(27)
Por consiguiente, reitero mi opinión de que el alcance de la armonización efectuada por el Reglamento n.º2016/679 varía en función de las disposiciones consideradas. La determinación del alcance normativo de dicho Reglamento exige un examen caso porcaso.(28)
A este respecto, he de señalar que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se refiere a la destitución del delegado de protección de datos en la medida en que esté relacionada exclusivamente con el desempeño de sus funciones, que se presume correcto,(29) en forma de prohibición, sin incluir un nivel de gravedad del motivo invocado ni contemplar los diversos aspectos de la relación de subordinación con su empleador que puedan repercutir en su designación. En este sentido, no se han contemplado, por ejemplo, la duración del contrato de trabajo, o los motivos personales o económicos de su resolución, que en su caso puede negociarse, ni la suspensión de la relación laboral por enfermedad, formación o vacaciones anuales o de larga duración.
Por otro lado, la intención del legislador de la Unión de dejar que sean los Estados miembros los que completen las disposiciones protectoras de la independencia del delegado de protección de datos sobre la base de un marco normativo mínimo relativo al desempeño de sus funciones, definido con arreglo a los objetivos del Reglamento 2016/679, también se manifiesta por la falta de prescripción relativa a la duración del mandato de dicho delegado de protección de datos —contrariamente a lo que prevé el artículo 44, apartado 8, primera frase, del Reglamento 2018/1725—(30) o relativa a la reestructuración de una empresa, como en el presente asunto, que tiene como resultado la externalización de las funciones del delegado de protección de datos por razones que nada tienen que ver con el desempeño de su cometido.
En consecuencia, los Estados miembros pueden decidir reforzar la independencia del delegado de protección de datos, en la medida en que contribuye a la consecución de los objetivos del Reglamento 2016/679, más concretamente en materia de despido, puesto que no existe disposición alguna en el Derecho de la Unión que pueda servir de base para otorgar a dicho delegado de protección de datos una protección especial y concreta frente a tal medida por una causa ajena al desempeño de sus funciones, cuando la resolución de la relación laboral tiene necesariamente como consecuencia la cesación en dichas funciones.
A este respecto, procede recordar que, en el ámbito de la protección de los trabajadores, en caso de rescisión del contrato laboral, el artículo 153TFUE, apartado 1, letrad), precisa que la Unión apoyará y completará la acción de los Estados miembros, y que, con carácter más general, en el ámbito de la política social, la Unión y los Estados miembros disponen, en virtud del artículo 4TFUE, apartado 2, letrab), en los aspectos definidos en el Tratado FUE, de una competencia compartida en el sentido del artículo 2TFUE, apartado2.
En estas circunstancias, los Estados miembros pueden establecer disposiciones específicas en materia de despido del delegado de protección de datos, siempre que sean compatibles con el régimen de protección establecido en favor de este por el Reglamento 2016/679.(31)
Como resulta del limitado examen de la normativa de los Estados miembros que he podido consultar,(32) la mayoría de ellos no ha adoptado disposiciones específicas relativas al despido, limitándose a la prohibición establecida en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, directamente aplicable.(33)
No obstante, otros Estados miembros han optado por completar este artículo.(34)
A este respecto, he de observar que el Grupo de Trabajo del artículo 29 consideró que, «como norma general de gestión y como sería el caso para cualquier otro empleado o contratista sujeto al derecho contractual, laboral y penal aplicable en cada país, un [delegado de protección de datos] podría ser destituido legítimamente por motivos distintos del desempeño de sus funciones como [delegado de protección de datos] (por ejemplo, en caso de robo, acoso físico, psicológico o sexual o falta grave similar)».(35)
Al margen de la opción que escojan los Estados miembros, el órgano administrativo o jurisdiccional encargado en cada uno de ellos de controlar la legalidad del motivo de destitución del delegado de protección de datos también contribuye, en mi opinión, a garantizar la independencia deeste.
En efecto, dado que es altamente probable que el vínculo con el desempeño satisfactorio de las funciones del delegado de protección de datos no resulte expresamente de la decisión de destituirlo,(36) cabe concebir una protección general basada únicamente en la condición de delegado de protección de datos. En el presente asunto, de las explicaciones proporcionadas por el órgano jurisdiccional remitente resulta que es el concepto de «causa grave», según se interpreta en Derecho alemán, el que lleva a considerar, en aras de una protección reforzada, que, en caso de reestructuración, no está permitido cesar al delegado de protección de datos.(37) En este mismo sentido, podría considerarse además que, en caso de dificultades económicas de la empresa que tiene la obligación de designar a un delegado de protección de datos y ha escogido para este cargo a uno de sus trabajadores, las funciones de este deben seguir desempeñándose, en atención al objetivo del Reglamento 2016/679 y a la contribución de tal delegado a su consecución, mientras el empleador siga operativo.
No obstante, la prohibición establecida en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 lleva necesariamente aparejados ciertos límites en caso de que existan deficiencias objetivas en el ejercicio de las funciones del delegado de protección de datos habida cuenta de sus obligaciones. Estos límites deben fijarse de conformidad con el objetivo perseguido por el citado Reglamento.(38)
Así pues, una interpretación igualmente compatible con el objetivo del Reglamento n.º2016/679 debe conducir, en mi opinión, a que se admita que un delegado de protección de datos pueda ser destituido cuando deje de cumplir los criterios cualitativos necesarios para el desempeño de sus funciones, como los enunciados en el artículo 37, apartado 5, de dicho Reglamento, cuando incumpla las obligaciones establecidas en el artículo 38, apartados 3, frases primera y tercera, 5 y 6, del mismo Reglamento,(39) o cuando su nivel de conocimientos especializados resulte insuficiente.(40)
En consecuencia, considero que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que el empleador de un delegado de protección de datos solo puede despedir a este por causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de las funciones del delegado de protección de datos despedido.
No obstante, para el caso de que el Tribunal de Justicia no comparta esta opinión y decida responder afirmativamente a la primera cuestión planteada por el órgano jurisdiccional remitente, procede dar respuesta a las otras dos cuestiones prejudiciales.
B.Sobre la segunda cuestión prejudicial
Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente desea saber si el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se opone a una normativa nacional que declara nulo el despido del delegado de protección de datos por su empleador sin que exista una causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de sus funciones, cuando la designación del delegado de protección de datos no venga impuesta por el artículo 37, apartado 1, de dicho Reglamento, sino únicamente por el Derecho nacional, tal como prevé el artículo 37, apartado 4, de dicho Reglamento.
Ha de observarse que ni el artículo 38, apartado 3, del Reglamento 2016/679 ni las demás disposiciones de la sección 4 del Reglamento, relativa al delegado de protección de datos, establecen una distinción en función del carácter obligatorio o facultativo de la designación de dicho delegado de protección de datos.
Por consiguiente, en mi opinión, procede responder al órgano jurisdiccional remitente que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se aplica sin que proceda efectuar distinción alguna en función de que la designación del delegado de protección de datos venga impuesta por el Derecho de la Unión o por el Derecho nacional.
C.Sobre la tercera cuestión prejudicial
Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente se pregunta sobre la validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 y, en particular, sobre la cuestión de si existe una base jurídica suficiente para lo dispuesto en el citado artículo, en particular por lo que se refiere a su aplicación a los delegados de protección de datos ligados al responsable del tratamiento en virtud de una relación laboral.
Propongo al Tribunal de Justicia que considere que existe una base jurídica suficiente para lo dispuesto en el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679, en la medida en que, por un lado, esta disposición únicamente tiene por objeto proteger al delegado de protección de datos frente a cualquier obstáculo en el desempeño de sus funciones y, por otro, esta garantía, independientemente de la existencia de una relación laboral, contribuye a la consecución efectiva de los objetivos del citado Reglamento.
En efecto, por una parte, como he expuesto en el análisis de la primera cuestión prejudicial,(41) el artículo 16TFUE es la base jurídica en la que se fundamenta dicho Reglamento. Además, el Tribunal de Justicia ha declarado que este artículo constituye, sin perjuicio del artículo 39TUE, una base jurídica adecuada cuando la protección de los datos personales es una de las finalidades o uno de los componentes esenciales de las normas adoptadas por el legislador de la Unión.(42)
Por otra parte, una de estas condiciones, en mi opinión, se cumple en todos los aspectos por lo que se refiere al papel del delegado de protección de datos y su encuadramiento, tal como los define el Reglamento 2016/679. La garantía de la independencia funcional del delegado de protección de datos, que tiene por objeto cumplir la exigencia de garantizar, en un nivel elevado, el respeto de los derechos fundamentales de las personas afectadas por el tratamiento de datos personales,(43) quedó reflejada, en el artículo 38, apartado 3, segunda frase, del citado Reglamento, en la prohibición de separar al delegado de su cargo por causas inherentes al desempeño de sus funciones. Dado que esta disposición no exige armonización alguna en el ámbito del Derecho laboral, el legislador de la Unión no se ha extralimitado en las facultades normativas que le han sido conferidas por el artículo 16TFUE, apartado2.
En cuanto al respeto de los principios de subsidiariedad y proporcionalidad, sobre el que también se pregunta el órgano jurisdiccional remitente, procede señalar, en primer lugar, que la intensificación del tratamiento transfronterizo de datos personales justifica que la protección de tales datos a la luz de los derechos fundamentales se aplique dentro de la Unión,(44) garantizando, en particular, las prerrogativas del delegado de protección de datos considerado un «participante clave» de esta protección.(45) En segundo lugar, no me parece que el artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 vaya más allá de lo necesario para garantizar la independencia funcional del delegado de protección de datos. Ciertamente, la garantía de no ser destituido, prevista en la citada disposición, incide necesariamente en la relación laboral. No obstante, esta incidencia solo está destinada a preservar el efecto útil del cometido del delegado de protección de datos.
Por consiguiente, considero que debe responderse al órgano jurisdiccional remitente que el examen de la tercera cuestión prejudicial no pone de manifiesto elemento alguno que pueda afectar a la validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679.