V.Conclusión
Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a las cuestiones prejudiciales planteadas por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania):
«Con carácter principal:
–El artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que el empleador de un delegado de protección de datos solo puede despedir a este por causa grave, aun cuando la causa del despido no tenga que ver con el desempeño de las funciones del delegado de protección de datos despedido.
Con carácter subsidiario, para el caso de que el Tribunal de Justicia responda afirmativamente a la primera cuestión prejudicial:
–El artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 se aplica sin que proceda efectuar distinción alguna en función de que la designación del delegado de protección de datos venga impuesta por el Derecho de la Unión o por el Derecho nacional.
–El examen de la tercera cuestión prejudicial no pone de manifiesto elemento alguno que pueda afectar a la validez del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679.»
Lengua original: francés.
DO 2016, L119, p.1; en su versión modificada por DO 2018, L127,p.2.
BGBl. 1990I, p.2954.
BGBl. 2017I, p.2097; en lo sucesivo, «BDSG».
En el artículo 38, apartado 1, primera frase, de la BDSG, en su versión vigente desde el 26 de noviembre de 2019, el número de empleados se elevó a «veinte».
BGBl. 2002I, p.42, corrección de errores en la p.2909, y BGBl. 2003I, p.738.
El órgano jurisdiccional remitente añade que, según su jurisprudencia, el hecho de que, a raíz de un cambio organizativo, la protección de los datos pase a ser desempeñada por un delegado de protección de datos externo no constituye causa grave que justifique la destitución [véase la sentencia del Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) n.º10 AZR 562/09, de 23 de marzo de 2011, apartado 18, disponible en la dirección de Internet siguiente: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562‑09/].
Artículo 37 de dicho Reglamento.
Artículo 38 del citado Reglamento.
Artículo 39 del mismo Reglamento.
Véase, en particular, la sentencia de 12 de mayo de 2021, Bundesrepublik Deutschland (Notificación roja de Interpol) (C‑505/19, EU:C:2021:376), apartado77.
El subrayado esmío.
A este respecto, en el documento «Directrices sobre los delegados de protección de datos (DPD)» (en lo sucesivo, «Directrices sobre los DPD»), aprobadas el 13 de diciembre de 2016 y revisadas el 5 de abril de 2017 —disponibles en la siguiente dirección de Internet: https://ec.europa.eu/newsroom/article29/items/612048/en—, el Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L281, p.13) (en lo sucesivo, «Grupo de Trabajo del artículo 29»), precisó que «las sanciones pueden adoptar formas diversas y pueden ser directas o indirectas. Podrían consistir, por ejemplo, en la falta de ascensos o su dilación, en el impedimento de la promoción profesional o en la denegación de prestaciones que otros empleados reciben. No es necesario que dichas sanciones se impongan realmente, una simple amenaza es suficiente siempre que se utilice para penalizar al [delegado de protección de datos] por motivos relacionados con el desarrollo de sus actividades» (pp.18 y 19). Desde la entrada en vigor del Reglamento 2016/679, el referido Grupo de Trabajo fue sustituido por el Comité Europeo de Protección de Datos (CEPD). Este aprobó las Directrices sobre los DPD durante su primera sesión plenaria, el 25 de mayo de 2018 (véase https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp.29_documents_en_0.pdf.
Como señala LH, además de la versión en lengua alemana del artículo 38, apartado 3, segunda frase, del Reglamento 2016/679 («abberufen»), ciertas versiones lingüísticas, como la española («destituido»), la francesa («relevé») o la portuguesa («destituido»), indican claramente que el citado Reglamento se refiere al hecho de poner fin a la misión del delegado de protección de datos y no a la «relación laboral» («kündigen» en lengua alemana). Véanse asimismo las versiones en lengua inglesa («dismissed»), italiana («rimosso»), polaca («odwoływany») y rumana «demis».
Véase la nota de la Presidencia del Consejo de la Unión Europea, de 3 de octubre de 2014, relativa a la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) [Primera lectura] — CapítuloIV, disponible en la dirección de Internet siguiente: https://data.consilium.europa.eu/doc/document/ST-13772‑2014-INIT/es/pdf, relativa a la adición, en el artículo 36, apartado 3, de esta Propuesta, de la mención de que el delegado de protección de datos no puede ser sancionado por desempeñar sus tareas (p.34). Véase, asimismo, la Posición del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de 6 de abril de 2016, disponible en la siguiente dirección de Internet: https://eur-lex.europa.eu/legal-content/es/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=es, por la que se adopta la redacción actual del artículo 38 del Reglamento 2016/679.
La expresión «de manera independiente» figura en la última frase del considerando 97 del Reglamento 2016/679.
DO 2018, L295, p.39.
Véase el artículo 37, apartado 6, del Reglamento 2016/679.
Véase la Posición del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) — Proyecto de exposición de motivos del Consejo en la siguiente dirección de Internet: https://eur-lex.europa.eu/legal-content/es/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=es (p.22). En cuanto al principal cometido del delegado de protección de datos en la aplicación del Reglamento 2016/679, véase el considerando 97 del citado Reglamento y sus funciones definidas en el artículo 39 de este mismo Reglamento. A este respecto, el Grupo de Trabajo del artículo 29 recordó, en las Directrices sobre los DPD, que, antes de la adopción del Reglamento 2016/679, había argumentado que el delegado de protección de datos es «la piedra angular de la rendición de cuentas y que el nombramiento de un [delegado de protección de datos] puede facilitar el cumplimiento» de las normas (p.5). Dicho Grupo de Trabajo también señaló que el citado Reglamento reconoce al delegado de protección de datos «como participante clave en el nuevo sistema de gestión de los datos» (p.6). Véase, a título ilustrativo en cuanto a las necesidades de información del responsable o del encargado del tratamiento que debe atender el delegado de protección de datos, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems (C‑311/18, EU:C:2020:559), apartado134.
Véase el artículo 38, apartado 3, frases primera y tercera, del Reglamento 2016/679.
Véase el artículo 38, apartado 5, del Reglamento 2016/679.
Véanse los considerandos del Reglamento 2016/679, en particular su considerando 12, y la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado44.
Véanse mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto51.
En este contexto, considero que no cabe invocar las disposiciones del artículo 88, apartado 1, del referido Reglamento para considerar que constituyen una cláusula de apertura.
Véanse mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto51.
Véase el punto 31 de las presentes conclusiones.
Véanse, en particular, en relación con el Reglamento 2016/679, mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto52.
Véanse mis conclusiones presentadas en el asunto Facebook Ireland (C‑319/20, EU:C:2021:979), punto 52. Además, en el punto 55 de estas, ya llamé la atención del Tribunal de Justicia sobre el hecho de que en el Reglamento 2016/679 figuran numerosas cláusulas de apertura mediante las cuales el Reglamento transfiere expresamente la competencia normativa a los Estados miembros, lo que permite distinguirlo de un reglamento clásico y lo aproxima a una directiva.
A este respecto, como señalan Bielak-Jomaa, E.: «Artykuł 38. Status inspektora ochrony danych», en Bielak-Jomaa, E., y Lubasz, D.: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varsovia, 2018, pp.794 a 806, en particular el punto 5, párrafo cuarto, el Grupo de Trabajo del artículo 29 no indicó ningún criterio útil para determinar si el delegado de protección de datos desempeña correcta o incorrectamente su cometido. Del mismo modo, Foret, O.: «Le rôle du DPO», en Bensamoun, A., y Bertrand, B.: Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, París, 2020, pp.233 a 239, en particular pp.235 y 236, señala que «el CEPD precisa en sus Directrices que […] “el nivel de conocimientos requerido [para el nombramiento como delegado de protección de datos] no está definido estrictamente pero debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata”» [véanse las Directrices sobre los DPD (p.13)]. Véase, asimismo, la página 14 de dichas Directrices. Véanse además los puntos 50 y 51 de las presentes conclusiones.
Véase Bergt, M.: «Art 38. Stellung des Datenschutzbeauftragten», en Kühling, J., y Buchner, B.: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3.ªed., C.H. Beck, Múnich, 2020, en particular el punto 29. Este autor señala que «contrariamente a los proyectos de la Comisión y del Parlamento, el artículo 38 no prevé una duración mínima del mandato del delegado de protección de datos designado».
Véanse los puntos 31 y 32 de las presentes conclusiones. Cabe añadir que el legislador de la Unión escogió deliberadamente esta opción al no aceptar la propuesta del Comité Económico y Social Europeo, en el contexto de los trabajos legislativos relativos al Reglamento n.º2016/679, dirigida a precisar mejor «las condiciones asociadas a [la] función [de delegado de protección de datos], en particular la protección contra el despido, que debe definirse con claridad y extenderse más allá del período durante el cual la persona afectada desempeñe esta función»: véase el punto 4.11.1 del Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)» (DO 2012, C229, p.90).
Véase, en particular, la información disponible en las siguientes direcciones de Internet: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= y https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.
Es el caso del Reino de Dinamarca, Irlanda, la República de Croacia, la República Italiana, la República de Chipre, la República de Malta, el Reino de los Países Bajos, la República de Austria, la República de Polonia, la República Portuguesa, Rumanía y la República de Finlandia. En las Repúblicas de Croacia, Malta y Polonia, al igual que en la República de Bulgaria, la destitución o la sustitución del delegado debe comunicarse a la autoridad nacional de protección de datos personales. En algunos Estados miembros, como la República Francesa y el Gran Ducado de Luxemburgo, se ha precisado que el delegado de protección de datos no goza del estatuto de trabajador por cuenta ajena protegido que le otorgaría una garantía adicional a la prevista por el Reglamento 2016/679.
Véase, en la normativa belga, el artículo 6, párrafo tercero, del arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015 (Real Decreto, de 6 de diciembre de 2015, relativo a los asesores en materia de seguridad y de protección de la intimidad y a la plataforma de seguridad y de protección de datos; Moniteur belge de 28 de diciembre de 2015, p.79268), anterior a la entrada en vigor del Reglamento 2016/679, a tenor del cual «el empleador o la autoridad competente solo podrán resolver el contrato del asesor, poner fin a la actividad estatutaria del asesor o cesar a este en su cargo por causas ajenas a la independencia de su cargo o por causas que demuestren su incompetencia para el desempeño de sus funciones». El subrayado es mío. Véase, asimismo, en la normativa española, el artículo 36, apartado 2, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE n.º294, de 6 de diciembre de 2018, p.119788), según el cual «cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio».El subrayado esmío.
Véanse las Directrices sobre los DPD (p.19). El subrayado esmío.
36Véase, en este sentido, Fajgielski, P.: «Artykuł 38. Status inspektora ochrony danych», Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varsovia, 2018, pp.430 a 437, en particular el punto 5, párrafo quinto. Véanse, asimismo, Kremer, S.: «§6 Datenschutzbeauftragter», en Laue, P., Nink, J., y Kremer, S.: Das neue Datenschutzrecht in der betrieblichen Praxis, 2.ªed., Nomos, Baden-Baden, 2019, en particular el punto 36, y Bergt, M.: «Art 38. Stellung des Datenschutzbeauftragten», op. cit., en particular el punto 30, y Bussche, A.: «Art.38 DSGVO», en Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3.ªed., Otto Schmidt, Colonia, 2018, en particular el punto19.
Véase la nota 7 de las presentes conclusiones.
Véanse los puntos 31, 60 y 61 de las presentes conclusiones.
Véase el punto 31 de las presentes conclusiones. Véanse asimismo los asuntos X-FAB Dresden (C‑453/21) y KISA (C‑560/21), actualmente pendientes de resolución, en los que dos Salas distintas del Bundesarbeitsgericht (Tribunal Supremo de lo Laboral) han planteado al Tribunal de Justicia las mismas cuestiones prejudiciales, si bien en el contexto de la destitución por conflicto de intereses. En el primero de estos asuntos se plantea una cuestión adicional relativa a los criterios de determinación de tal conflicto de intereses.
Véase, en este sentido, Kremer, S.: «§6 Datenschutzbeauftragter», op. cit., en particular el punto 35, y Bussche, A.: «Art.38 DSGVO», op. cit., en particular el punto17.
Véase el punto 34 de las presentes conclusiones.
Dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado96.
Véase la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartados 44, 45 y91.
Véase, en este sentido, la sentencia de 15 de junio de 2021, Facebook Ireland y otros (C‑645/19, EU:C:2021:483), apartado 45 y, por analogía, apartado47.
Véase la nota 19, cuarta frase, de las presentes conclusiones.