Language of document : ECLI:EU:C:2022:495

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 22 de junio de 2022 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3, segunda frase — Delegado de protección de datos — Prohibición de que un responsable o un encargado del tratamiento destituya a un delegado de protección de datos o lo sancione por desempeñar sus funciones — Base jurídica — Artículo 16 TFUE — Exigencia de independencia funcional — Normativa nacional que prohíbe el despido de un delegado de protección de datos sin causa grave»

En el asunto C‑534/20,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 30 de julio de 2020, recibida en el Tribunal de Justicia el 21 de octubre de 2020, en el procedimiento entre

Leistritz AG

y

LH,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, y la Sra. I. Ziemele (Ponente) y el Sr. P. G. Xuereb, Jueces;

Abogado General: Sr. J. Richard de la Tour;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 18 de noviembre de 2021;

consideradas las observaciones presentadas:

–        en nombre de Leistritz AG, por el Sr. O. Seeling y la Sra. C. Wencker, Rechtsanwälte;

–        en nombre de LH, por el Sr. S. Lohneis, Rechtsanwalt;

–        en nombre del Gobierno alemán, por el Sr. J. Möller y la Sra. S. K. Costanzo, en calidad de agentes;

–        en nombre del Gobierno rumano, por la Sra. E. Gane, en calidad de agente;

–        en nombre del Parlamento Europeo, por las Sras. O. Hrstková Šolcová, P. López-Carceller y B. Schäfer, en calidad de agentes;

–        en nombre del Consejo de la Unión Europea, por la Sra. T. Haas y el Sr. K. Pleśniak, en calidad de agentes;

–        en nombre de la Comisión Europea, por la Sra. K. Herrmann y los Sres. H. Kranenborg y D. Nardi, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 27 de enero de 2022;

dicta la siguiente

Sentencia

1        La petición de decisión prejudicial tiene por objeto la interpretación y la validez del artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, y corrección de errores en DO 2018, L 127, p. 3; en lo sucesivo, «RGPD»).

2        Esta petición se ha presentado en el contexto de un litigio entre Leistritz AG y LH, que ejercía las funciones de delegada de protección de datos en esa sociedad, en relación con la resolución de su contrato de trabajo, motivada por una reorganización de los servicios de dicha sociedad.

 Marco jurídico

 Derecho de la Unión

3        Los considerandos 10 y 97 del RGPD señalan:

«(10)      Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(97)      […] [Los] delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.»

4        El artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», tiene el siguiente tenor:

«1.      El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a)      el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b)      las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c)      las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

[…]

6.      El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

[…]»

5        El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3 y 5:

«3.      El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

[…]

5.      El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.»

6        El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», dispone, en su apartado 1, letra b):

«El delegado de protección de datos tendrá como mínimo las siguientes funciones:

[…]

b)      supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

[…]».

 Derecho alemán

7        El artículo 6 de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 20 de diciembre de 1990 (BGBl. 1990 I, p. 2954), en su versión vigente entre el 25 de mayo de 2018 y el 25 de noviembre de 2019 (BGBl. 2017 I, p. 2097) (en lo sucesivo, «BDSG»), titulado «Posición», dispone lo siguiente en su apartado 4:

«El delegado de protección de datos solo podrá ser destituido de conformidad con lo dispuesto, mutatis mutandis, por el artículo 626 del Bürgerliches Gesetzbuch [(Código Civil), en su versión publicada el 2 de enero de 2002 (BGBl. 2002 I, p. 42, y corrección de errores en BGBl. 2002 I, p. 2909, y BGBl. 2003 I, p. 738)]. La resolución de la relación laboral será nula, a no ser que concurran circunstancias que autoricen al organismo público a tal medida por causa grave sin necesidad de respetar un plazo de preaviso. Una vez concluida la actividad como delegado de protección de datos, no podrá resolverse la relación laboral antes de que transcurra un año, a no ser que exista causa grave que permita al organismo público proceder a la resolución sin respetar un plazo de preaviso.»

8        El artículo 38 de la BDSG, que lleva por epígrafe «Delegado de protección de datos de organismos privados», establece:

«1.      Con carácter complementario a lo dispuesto en el artículo 37, apartado 1, letras b) y c), del [RGPD], el responsable y el encargado del tratamiento nombrarán a un delegado de protección de datos siempre que, por regla general, haya al menos diez personas empleadas de forma permanente en el tratamiento automatizado de datos personales. […]

2.      Será de aplicación el artículo 6, apartados 4, 5, segunda frase, y 6, si bien solo será aplicable el apartado 4 cuando resulte obligatorio el nombramiento de delegado de protección de datos.»

9        El artículo 134 del Código Civil, en su versión publicada el 2 de enero de 2002 (en lo sucesivo, «Código Civil»), titulado «Prohibición legal», está redactado en los siguientes términos:

«Los actos jurídicos que infrinjan una prohibición establecida por ley serán nulos, salvo que la ley disponga otra cosa para el caso de contravención.»

10      El artículo 626 del Código Civil, bajo el epígrafe «Resolución sin preaviso por causa grave», dispone lo siguiente:

«1.      Cualquiera de las partes podrá resolver la relación laboral por causa grave sin respetar un plazo de preaviso si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación jurídica hasta el final del período de preaviso o hasta la fecha de conclusión acordada contractualmente resulte excesivamente gravosa para la parte interesada en la resolución.

2.      La resolución de la relación laboral solo podrá tener lugar en el plazo de dos semanas, que comenzará a correr en el momento en que la parte facultada para ello tenga conocimiento de los hechos pertinentes. […]»

 Litigio principal y cuestiones prejudiciales

11      Leistritz es una sociedad de Derecho privado, a la que la normativa alemana obliga a designar un delegado de protección de datos. LH ejerció las funciones de «jefa del Servicio de Asuntos Jurídicos» a partir del 15 de enero de 2018 y de delegada de protección de datos a partir del 1 de febrero de 2018.

12      Mediante escrito de 13 de julio de 2018, Leistritz despidió con preaviso a LH, con efectos a partir del 15 de agosto de 2018, invocando una medida de reestructuración de esa sociedad por la que se externalizaba la actividad interna de asesoramiento jurídico y el servicio de protección de datos.

13      Las instancias inferiores ante las que LH impugnó por vía judicial la validez de su despido resolvieron que tal despido era inválido, basándose en que, con arreglo al artículo 38, apartado 2, de la BDSG, en relación con el artículo 6, apartado 4, segunda frase, de esta misma Ley, LH solo podía ser despedida sin preaviso por causa grave, dada su condición de delegada de protección de datos. Pues bien, consideraron que la medida de reestructuración descrita por Leistritz no constituye una causa de ese tipo.

14      El órgano jurisdiccional remitente, que conoce del recurso de casación interpuesto por Leistritz, señala que, en virtud del Derecho alemán, el despido de LH es nulo, con arreglo a lo dispuesto en el artículo 134 del Código Civil. En su opinión, la aplicabilidad de los artículos 38, apartado 2, y 6, apartado 4, segunda frase, de la BDSG depende de si el Derecho de la Unión y, en particular, el artículo 38, apartado 3, segunda frase, del RGPD no se oponen una normativa de un Estado miembro que supedita el despido de un delegado de protección de datos al cumplimiento de unos requisitos más estrictos que los impuestos por el Derecho de la Unión. De no ser así, afirma que estaría obligado a estimar el recurso de casación.

15      El órgano jurisdiccional remitente precisa que sus dudas se derivan, en particular, de la existencia de una divergencia doctrinal nacional. Por una parte, la opinión mayoritaria considera que la protección especial contra el despido prevista en el artículo 38, apartado 2, de la BDSG, en relación con el artículo 6, apartado 4, segunda frase, de esta misma Ley constituye una norma material de Derecho laboral respecto de la cual la Unión carece de competencia legislativa, de modo que dichas disposiciones no son contrarias al artículo 38, apartado 3, segunda frase, del RGPD. Por otra parte, según los defensores de la opinión minoritaria, los vínculos entre esta protección y la función de delegado de protección de datos entran en conflicto con el Derecho de la Unión y generan una presión económica para mantener permanentemente en su puesto a un delegado de protección de datos una vez que este ha sido designado.

16      En estas circunstancias, el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:

«1)      ¿Debe interpretarse el artículo 38, apartado 3, segunda frase, del [RGPD] en el sentido de que se opone a una disposición de Derecho nacional como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, segunda frase, de la [BDSG], en virtud de la cual es nulo el despido “ordinario” del delegado de protección de datos, en caso de relación laboral entre el responsable del tratamiento, como empleador, y dicho trabajador, con independencia de si la causa del despido tiene o no que ver con el desempeño de las funciones del delegado de protección de datos despedido?

2)      En caso de respuesta afirmativa a la primera cuestión:

¿Se opone el artículo 38, apartado 3, segunda frase, del RGPD a tal disposición de Derecho nacional también en el caso de que la designación del delegado de protección de datos no venga impuesta por el artículo 37, apartado 1, del RGPD, sino únicamente por el Derecho del Estado miembro?

3)      En caso de respuesta afirmativa a la primera cuestión:

¿Existe base jurídica suficiente para lo dispuesto en el artículo 38, apartado 3, segunda frase, del RGPD, en particular por lo que se refiere a su aplicación a los delegados de protección de datos ligados al responsable del tratamiento en virtud de una relación laboral?»

 Sobre las cuestiones prejudiciales

 Primera cuestión prejudicial

17      Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado.

18      Como se desprende de reiterada jurisprudencia, para interpretar una disposición del Derecho de la Unión, debe tenerse en cuenta no solo su tenor literal conforme a su sentido habitual en el lenguaje corriente, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte (sentencia de 22 de febrero de 2022, Stichting Rookpreventie Jeugd y otros, C‑160/20, EU:C:2022:101, apartado 29 y jurisprudencia citada).

19      En primer lugar, por lo que respecta al tenor de la disposición controvertida, procede recordar que el artículo 38, apartado 3, del RGPD dispone, en su segunda frase, que el delegado de protección de datos «no será destituido ni sancionado por el responsable o el encargado [del tratamiento] por desempeñar sus funciones».

20      De entrada, procede señalar que el RGPD no define los conceptos «destituido», «sancionado» y «por desempeñar sus funciones», que figuran en ese artículo 38, apartado 3, segunda frase.

21      Dicho esto, en primer término, conforme a su sentido habitual en el lenguaje corriente, la prohibición impuesta al responsable o encargado del tratamiento de destituir a un delegado de protección de datos o de sancionarlo significa, como ha señalado, en esencia, el Abogado General, en los puntos 24 y 26 de sus conclusiones, que dicho delegado debe estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción.

22      A este respecto, pueden constituir una decisión de ese tipo las medidas de despido de un delegado de protección de datos que adopte su empleador y que pongan fin a la relación laboral existente entre ese delegado y el empleador, así como, por tanto, también a la función de delegado de protección de datos en el seno de la empresa de que se trate.

23      En segundo término, es preciso señalar que el artículo 38, apartado 3, segunda frase, del RGPD se aplica indistintamente tanto al delegado de protección de datos que forma parte de la plantilla del responsable o del encargado del tratamiento como a quien desempeña sus funciones en el marco de un contrato de servicios celebrado con estos últimos, de conformidad con el artículo 37, apartado 6, del RGPD.

24      De ello se deduce que el artículo 38, apartado 3, segunda frase, del RGPD está destinado a aplicarse a las relaciones entre un delegado de protección de datos y un responsable o encargado del tratamiento, con independencia de la naturaleza de la relación laboral que une a dicho delegado con estos últimos.

25      En tercer término, procede señalar que esa disposición establece un límite que consiste, como ha subrayado el Abogado General, en esencia, en el punto 29 de sus conclusiones, en prohibir el despido de un delegado de protección de datos por un motivo basado en el desempeño de sus funciones, que comprenden, en particular, en virtud del artículo 39, apartado 1, letra b), del RGPD, la supervisión del cumplimiento de las disposiciones del Derecho de la Unión o del Derecho de los Estados miembros en materia de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.

26      En segundo lugar, por lo que respecta al objetivo perseguido por el artículo 38, apartado 3, segunda frase, del RGPD, procede señalar, en primer término, que el considerando 97 de este enuncia que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. A este respecto, tal independencia debe necesariamente permitirles ejercer estas funciones de conformidad con el objetivo del RGPD, que tiene como finalidad, en particular, tal y como se desprende de su considerando 10, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión y, a tal efecto, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea (sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 207 y jurisprudencia citada).

27      En segundo término, el objetivo de garantizar la independencia funcional del delegado de protección de datos, tal como se desprende del artículo 38, apartado 3, segunda frase, del RGPD, se deduce asimismo de ese artículo 38, apartado 3, frases primera y tercera, que exige que el delegado no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y rinda cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento, así como del artículo 38, apartado 5, que establece que el mencionado delegado está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones.

28      De este modo, el artículo 38, apartado 3, segunda frase, del RGPD, al amparar al delegado de protección de datos contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción, cuando tal decisión esté relacionada con el desempeño de sus funciones, debe considerarse dirigido esencialmente a preservar la independencia funcional del delegado de protección de datos y, por lo tanto, a garantizar la efectividad de las disposiciones del RGPD. En cambio, esta disposición no tiene por objeto regular globalmente las relaciones laborales entre un responsable o un encargado del tratamiento y las personas que forman parte de su plantilla, relaciones que solo pueden verse afectadas de forma accesoria, en la medida estrictamente necesaria para la consecución de estos objetivos.

29      Esta interpretación se ve corroborada, en tercer lugar, por el contexto en el que se inscribe dicha disposición y, en particular, por el fundamento jurídico sobre cuya base el legislador de la Unión adoptó el RGPD.

30      En efecto, de la exposición de motivos del RGPD se desprende que este se adoptó sobre la base del artículo 16 TFUE, cuyo apartado 2 dispone, en particular, que el Parlamento Europeo y el Consejo de la Unión Europea establecerán, con arreglo al procedimiento legislativo ordinario, las normas, por una parte, sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y, por otra parte, sobre la libre circulación de estos datos.

31      En cambio, al margen de la protección específica del delegado de protección de datos prevista en el artículo 38, apartado 3, segunda frase, del RGPD, la fijación de normas relativas a la protección contra el despido de un delegado de protección de datos empleado por un responsable o encargado del tratamiento no está comprendida ni en la protección de las personas físicas en lo que respecta al tratamiento de datos personales ni en la libre circulación de estos datos, sino en el ámbito de la política social.

32      A este respecto, es preciso tener presente, por una parte, que, en virtud del artículo 4 TFUE, apartado 2, letra b), la Unión y los Estados miembros disponen, en el ámbito de la política social, en los aspectos definidos en el Tratado FUE, de una competencia compartida en el sentido del artículo 2 TFUE, apartado 2. Por otra parte, tal como precisa el artículo 153 TFUE, apartado 1, letra d), la Unión apoya y completa la acción de los Estados miembros en el ámbito de la protección de los trabajadores en caso de resolución del contrato laboral (véase, por analogía, la sentencia de 19 de noviembre de 2019, TSN y AKT, C‑609/17 y C‑610/17, EU:C:2019:981, apartado 47).

33      Dicho esto, como resulta del artículo 153 TFUE, apartado 2, letra b), el Parlamento y el Consejo pueden adoptar, mediante directivas, disposiciones mínimas a este respecto, no pudiendo, según la jurisprudencia del Tribunal de Justicia, a la luz del artículo 153 TFUE, apartado 4, tales disposiciones mínimas impedir a los Estados miembros mantener o introducir medidas de protección más estrictas compatibles con los Tratados (véase, en este sentido, la sentencia de 19 de noviembre de 2019, TSN y AKT, C‑609/17 y C‑610/17, EU:C:2019:981, apartado 48).

34      De ello se desprende, como ha subrayado el Abogado General, en esencia, en el punto 44 de sus conclusiones, que cada Estado miembro tiene libertad, en el ejercicio de su competencia reservada, para establecer disposiciones específicas más protectoras en materia de despido del delegado de protección de datos, siempre que dichas disposiciones sean compatibles con el Derecho de la Unión y, en particular, con las disposiciones del RGPD y, en concreto, su artículo 38, apartado 3, segunda frase.

35      En particular, como ha señalado el Abogado General en los puntos 50 y 51 de sus conclusiones, tal protección reforzada no ha de poner en peligro la consecución de los objetivos del RGPD. Pues bien, así sucedería si esta impidiera cualquier despido, por parte de un responsable o de un encargado del tratamiento, de un delegado de protección de datos que ya no tuviera las cualidades profesionales requeridas para ejercer sus funciones o que no las cumpliera conforme a las disposiciones del RGPD.

36      Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos del RGPD.

 Sobre las cuestiones prejudiciales segunda y tercera

37      En vista de la respuesta dada a la primera cuestión prejudicial, no ha lugar a responder a las cuestiones prejudiciales segunda y tercera.

 Costas

38      Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

El artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede despedir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando el despido no esté relacionado con el ejercicio de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.

Firmas


*      Lengua de procedimiento: alemán.