FC ha sido trabajador de la «empresa X» desde noviembre del 1993. Desde ese momento, desempeñaba el cargo de presidente del comité de empresa (como tal estaba parcialmente dispensado de trabajar) y vicepresidente del comité central de empresa constituido para tres empresas del grupo de sociedades, a la que pertenece X, cuyo establecimiento radica en Alemania.
En junio del 2015, FC fue designado, complementariamente con los cargos que ya ejercía, como Delegado de Protección de Datos para la sociedad matriz de X así como para cada una de sus filiales. Los hechos que motivaron esta decisión fueron el querer garantizar un nivel homogéneo en materia de protección de datos para las mencionadas empresas.
El litigio principal, surge a raíz de la destitución de FC como DPO en diciembre de 2017 por parte de la empresa X. FC, interpone acción ante los tribunales alemanes, y solicita que este declare que su cargo como DPO sigue vigente.
Frente a dicha acción, X esgrime que al desempeñar FC las funciones relativas a la figura del DPO, y el ejercicio simultáneo de otro cargos, como por ejemplo, presidente del comité de empresa, existe un riesgo de conflicto de intereses, por entender que ambos cargos son incompatibles.
Por tanto, existe un motivo grave que justifica que FC sea destituido de su posición de Delegado de protección de datos de acuerdo con la ley federal de protección de datos alemana. Es preciso matizar, que bajo esta ley y el Código Civil alemán, es posible la destitución de un DPO sin preaviso por causa grave, cuando concurran determinados factores, entre ellos, los que son objeto de este supuesto de hecho.
Los Tribunales de Primera Instancia estimaron la acción ejercitada por FC, frente a la que X interpuso recurso de casación ante al Tribunal Supremo (TS), Sala Laboral, y para su resolución éste órgano planteó ante el TJUE las cuestiones prejudiciales objeto de este Breves.
El TS entiende que, la resolución del recurso planteado por X depende de la interpretación del Derecho de la Unión en relación con el artículo 38.3 RGPD: “No será destituido ni sancionado por responsable o por el encargado por desempeñar sus funciones”. Es decir, se solicita si procede asumir que el RGPD se opone a una normativa nacional que establece que un responsable o encargado solo puede destituir a un DPO que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con sus funciones. En segundo lugar, también se supedita el fallo del recurso a la resolución de la cuestión que concierne al posible conflicto de interés cuando el DPO ejerza a su vez otras funciones.
Conflicto de interés e independencia
La independencia y conflicto de interés están estrechamente relacionados, difícilmente puede el DPO llevar a cabo sus funciones de forma independiente si existe un conflicto de interés con la entidad contratante de sus servicios.
En aras de tener una mejor comprensión del supuesto en el que nos encontramos, procede realizar una breve definición de estos términos y su impacto en el DPO.
En primer lugar, la independencia es uno de los pilares fundamentales que han de guiar la actuación del Delegado. Éste, no puede aceptar indicaciones que provengan de la dirección de la compañía en la que presta servicios, y deberá rendir cuentas solo ante el más alto nivel jerárquico del Responsable o Encargado.
En segundo lugar, y en relación con el conflicto de interés, cabe mencionar varios aspectos. En términos generales, el DPO debe evitar aquellos factores que puedan afectar a su nivel de objetividad, ya que esto pondría en riesgo su capacidad de cumplir con las funciones que le son asignadas de forma imparcial.
Por otra parte, estos conceptos llevan siendo objeto de interpretación desde que entró en vigor el Reglamento General de Protección de Datos.
La Sentencia que hoy nos atañe añade nuevos parámetros que deberán ser tenidos en cuenta a la hora de encomendar y definir las funciones del DPO.
Antes de analizar las novedades que incorpora esta Sentencia, procede recordar cual ha sido la posición que han adoptado las distintas autoridades de protección de datos en este campo.
1. Resoluciones anteriores
Previamente a esta sentencia del TJUE, ya existían pronunciamientos en este ámbito.
Sin ir más lejos, el propio Tribunal Europeo, mediante sentencia de 22 de junio de 2022, y que fue analizada en nuestro Breves del pasado mes de junio, declaró que la prohibición que se le impone al Responsable o Encargado de destituir a un DPO, debe ser entendida en el sentido que dicho Delegado ha de estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción.
Por otra parte, el Comité Europeo de Protección de Datos (antiguo Grupo de Trabajo del artículo 29), estableció en su momento directrices que debían ser consideradas para evitar cualquier conflicto de interés. En ellas, se detallaba que aquellas organizaciones que precisaran de los servicios de un DPO, debían evitar nombrar a una persona que a la vez ejerciera un cargo que lo llevara a determinar los fines y medios del tratamiento de datos.
Por ende, es razonable asumir que tanto posiciones de alta dirección como puestos jerárquicamente menores dentro de una compañía, podrían originar conflictos en esta materia.
La Agencia Española de Protección de Datos también tuvo oportunidad de pronunciarse con motivo de una consulta que le fue planteada acerca de la compatibilidad que pudiera existir entre el responsable de seguridad y el DPO, respondiendo con una reflexión similar a la del Tribunal Europeo.
Consideró que las actividades inherentes al puesto de responsable de seguridad, necesariamente comprometerían la independencia que se le exige a todo DPO, por lo que declaró la incompatibilidad entre los dos cargos mencionados.
La CNIL (DPA francesa) recomienda documentar el análisis para determinar el potencial conflicto de intereses caso a caso.
Como nota final en este apartado, destacar el pronunciamiento de la Autoridad Italiana de Protección de Datos (Il Garante), que menciona específicamente que, el dotar al DPO de poderes de representación de la sociedad en un procedimiento judicial, puede originar un conflicto de interés.
2. Primera cuestión prejudicialx
Tras este análisis de la posición de distintas autoridades de control y otros organismos, cabe analizar la interpretación y novedades que aporta ahora el TJUE.
A la cuestión relativa a la capacidad de los diferentes Estados miembros de sujetar la destitución del DPO a requisitos más estrictos que los previstos en el RGPD, el Tribunal europeo realiza el siguiente análisis:
En primer lugar, analiza no solo el literal del artículo, sino su contexto, para concluir que el objetivo perseguido en la redacción del artículo 38.3 RGPD, se encuentra en el considerando 97 del mismo Reglamento, donde se enuncia que los DPOs «deben estar en condiciones de desempeñar sus funciones de manera independiente«.
Esta independencia, se logra al impedir que el DPO reciba cualquier tipo de instrucción en lo que respecta al desempeño de sus funciones. También se amparará al DPO contra cualquier decisión que ponga fin a sus funciones, cuando ésta esté relacionada con el desempeño de las mismas.
De este razonamiento, se desprende que los distintos Estados Miembros gozan de libertad a la hora de establecer disposiciones más restrictivas en materia de destitución del DPO, siempre y cuando las disposiciones mencionadas no impidan destituir al DPO cuando este haya dejado de estar capacitado para desempeñar sus funciones de forma independiente, debido a la existencia de un conflicto de intereses.
Consecuentemente, y como bien expresa el TJUE, también procede asumir que el RGPD tampoco se opone a una normativa nacional que establezca que la destitución de un DPO solo se puede producir cuando concurra causa grave, como es el caso del derecho alemán, aún cuando ésta no esté relacionada con el desempeño de las funciones del Delegado.
Corresponderá, además, a los jueces de los distintos Estados Miembros verificar que las diferentes disposiciones no presentan incompatibilidades con lo dispuesto en el RGPD.
3. Segunda cuestión prejudicial
Estas cuestiones se descartan al haber resuelto en sentido negativo a la primera cuestión formulada.
4. Cuarta cuestión prejudicial
En referencia a aquellas condiciones que se deben dar para constatar la existencia de un conflicto de intereses, el TJUE se pronuncia de la manera expresada en los siguientes párrafos.
Primeramente, surge la necesidad de destacar que el RGPD no establece incompatibilidad alguna entre el desempeño de las funciones de DPO y el ejercicio de otros cargos dentro del seno del Responsable o Encargado del tratamiento, cuando en su artículo 38.6 menciona de forma expresa la posibilidad de que el DPO pueda desempeñar otras funciones y cometidos que no den lugar a conflictos de interés.
Por otra parte, y sin perjuicio de lo anterior, será el Responsable o Encargado, la parte que deberá asegurar que las funciones encomendadas no impliquen un conflicto de intereses, con el fin de preservar la independencia funcional del DPO.
Es necesario mencionar, que en relación con el contexto del artículo 38.6 y 39 RGPD, corresponden al DPO las funciones de supervisión del cumplimiento del Reglamento y de las políticas que establezcan los Responsables o Encargados del tratamiento. Como consecuencia, y en aras a evitar caer en la incoherencia, no se pueden encomendar al DPO funciones o cometidos que le lleven a determinar los fines y los medios del tratamiento de datos. De otra manera, no se podría llevar a cabo un control independiente de tales funciones.
Concluye el TJUE en respuesta a la cuestión prejudicial, expresando que puede existir un conflicto de intereses cuando se encomiende a un DPO otras funciones o cometidos que llevarían a este a determinar los fines y medios del tratamiento, y que corresponderá analizar al Juez nacional, de forma individualizada y caso por caso, tomando en consideración la estructura organizativa del Responsable o Encargado, incluyendo las posibles políticas elaboradas por estos.
Conclusiones
El pronunciamiento del TJUE profundiza en varios aspectos que permitirán a Responsables, Encargados y a los propios DPOs operar en un marco jurídico más claro en lo que concierne a nombramientos y designación de otras funciones, así como su posible destitución.
En líneas generales, destacar la potestad de los Estados Miembros de establecer requisitos más estrictos que los dispuestos en el RGPD para prescindir de los servicios de un DPO.
Ahora bien, estos requisitos deberán seguir las premisas mencionadas con anterioridad.
El TJUE también corrobora lo que el Comité Europeo de Protección de Datos declaró en su momento, es decir, la compatibilidad entre el ejercicio de funciones como DPO y otras tareas no relacionadas, pero la imposibilidad de dejar al arbitrio del Delegado la determinación de los fines y los medios del tratamiento.
Un aspecto a tener en cuenta y que previamente no se había analizado es la responsabilidad tanto de Responsables como de Encargados de verificar que esta incompatibilidad no se llega a materializar, eximiendo al DPO de esta obligación.