TJUE: Delegados de protección de datos y conflicto de intereses

El pasado 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó una sentencia en relación con una cuestión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania) sobre la interpretación de algunos aspectos del art. 38 del Reglamento General de Protección de Datos (“RGPD”). Este precepto versa sobre las obligaciones de los responsables o encargados de tratamiento de datos personales en relación con la designación de un delegado de protección de datos (en adelante, “DPO”, en sus siglas en inglés).

Esta es la segunda sentencia del TJUE sobre el artículo 38 del RGPD (se puede consultar la primera aquí). En este nuevo caso, el TJUE aborda una demanda interpuesta, con motivo de su destitución, por el DPO de la empresa “X-Fab Dresden”, de la matriz de ésta y de sus demás filiales. Este DPO también desempeñaba los cargos de presidente del comité de empresa y de vicepresidente del comité central. La empresa justificó el despido esgrimiendo que existía un riesgo de conflicto de intereses, al desempeñar al mismo tiempo dos funciones que consideraba incompatibles, las de DPO y las de presidente del comité de empresa.

Cuestiones planteadas

El tribunal alemán planteó cuatro cuestiones prejudiciales al TJUE:

• La primera cuestión, pregunta si el artículo 38.3, segunda frase, del RGPD (“[El DPO] no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”) se opone a una disposición nacional que supedita la destitución del DPO a determinados requisitos, con independencia de que la destitución produzca en el marco del desempeño de sus funciones.
• En caso afirmativo, la segunda cuestión plantea si la conclusión es la misma cuando la designación del DPO no venga impuesta por el RGPD, sino únicamente por la legislación nacional (el equivalente en España sería el art. 34.1 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales).
• La tercera cuestión pregunta si la limitación a la destitución que prevé el art. 38.3 RGPD tiene base jurídica suficiente cuando se trata de un DPO que tiene vinculación laboral con el responsable del tratamiento.
• Por último, la cuarta cuestión se refiere a si existe conflicto de intereses en el sentido del artículo 38.6 RGPD cuando el DPO es a la vez presidente del comité de empresa.

Respuesta del tribunal

Dando respuesta a la primera cuestión prejudicial, el TJUE señala que el artículo 38 RGPD, cuando indica que el DPO “no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”, no se opone a las normativas nacionales que establecen que un responsable o encargado solo puede destituir a un DPO que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de sus funciones. A su vez, apunta que cada Estado Miembro tendrá libertad para establecer disposiciones específicas más protectoras en materia de destitución del DPO, siempre que dichas disposiciones sean compatibles con el Derecho de la Unión Europea y el RGPD.

Habida cuenta de esta respuesta, ya no procede contestar las cuestiones segunda y tercera.

Por último, el TJUE señala, respondiendo a la cuarta cuestión prejudicial, que no se ha de presumir per se un conflicto de intereses cuando un DPO desempeñe otras tareas para el responsable o encargado del tratamiento, si bien puede surgir un conflicto de intereses cuando a un DPO se le encomiendan funciones o responsabilidades que le permitan determinar los fines y medios del tratamiento de datos en el seno del responsable del tratamiento o de su encargado. Sin embargo, el TJUE no entra a valorar si aprecia conflicto de intereses o no en el presente caso, ya que considera que es una materia que corresponde dirimir al tribunal nacional (a nivel nacional, existen precedentes resumidos aquí), atendiendo al caso concreto con base en todas las circunstancias pertinentes.

En conclusión, los Estados Miembros podrán ahondar en la regulación y requisitos de la destitución del DPO sin que ello conlleve una vulneración de la normativa europea y, a su vez, esta decisión confirma la competencia de los tribunales nacionales para determinar si existe o no conflicto de intereses, lo cual repercute en numerosas organizaciones, en las que el DPO desempeña variedad de funciones distintas, algunas de las cuales suponen ostentar poder de decisión sobre los fines y los medios del tratamiento. Por lo tanto, la existencia de un conflicto de intereses debe determinarse caso por caso, siendo necesario realizar un análisis exhaustivo ex ante que permita, entre otras cuestiones, evaluar la estructura organizativa del responsable o del encargado del tratamiento, así como las normas aplicables (incluidas las políticas internas), para terminar, esclareciendo que las funciones atribuidas al DPO no suponen ningún conflicto de intereses.