Unión Europea
Puede haber conflicto de intereses cuando el DPO desempeña funciones que le permiten determinar los fines y medios del tratamiento
El pasado 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó una sentencia en relación con una cuestión prejudicial planteada por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania) sobre la interpretación de algunos aspectos del art. 38 del Reglamento General de Protección de Datos (“RGPD”). Este precepto versa sobre las obligaciones de los responsables o encargados de tratamiento de datos personales en relación con la designación de un delegado de protección de datos (en adelante, “DPO”, en sus siglas en inglés).
Esta es la segunda sentencia del TJUE sobre el artículo 38 del RGPD (se puede consultar la primera aquí). En este nuevo caso, el TJUE aborda una demanda interpuesta, con motivo de su destitución, por el DPO de la empresa “X-Fab Dresden”, de la matriz de ésta y de sus demás filiales. Este DPO también desempeñaba los cargos de presidente del comité de empresa y de vicepresidente del comité central. La empresa justificó el despido esgrimiendo que existía un riesgo de conflicto de intereses, al desempeñar al mismo tiempo dos funciones que consideraba incompatibles, las de DPO y las de presidente del comité de empresa.
Cuestiones planteadas
El tribunal alemán planteó cuatro cuestiones prejudiciales al TJUE:
Respuesta del tribunal
Dando respuesta a la primera cuestión prejudicial, el TJUE señala que el artículo 38 RGPD, cuando indica que el DPO “no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones”, no se opone a las normativas nacionales que establecen que un responsable o encargado solo puede destituir a un DPO que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de sus funciones. A su vez, apunta que cada Estado Miembro tendrá libertad para establecer disposiciones específicas más protectoras en materia de destitución del DPO, siempre que dichas disposiciones sean compatibles con el Derecho de la Unión Europea y el RGPD.
Habida cuenta de esta respuesta, ya no procede contestar las cuestiones segunda y tercera.
Por último, el TJUE señala, respondiendo a la cuarta cuestión prejudicial, que no se ha de presumir per se un conflicto de intereses cuando un DPO desempeñe otras tareas para el responsable o encargado del tratamiento, si bien puede surgir un conflicto de intereses cuando a un DPO se le encomiendan funciones o responsabilidades que le permitan determinar los fines y medios del tratamiento de datos en el seno del responsable del tratamiento o de su encargado. Sin embargo, el TJUE no entra a valorar si aprecia conflicto de intereses o no en el presente caso, ya que considera que es una materia que corresponde dirimir al tribunal nacional (a nivel nacional, existen precedentes resumidos aquí), atendiendo al caso concreto con base en todas las circunstancias pertinentes. En conclusión, los Estados Miembros podrán ahondar en la regulación y requisitos de la destitución del DPO sin que ello conlleve una vulneración de la normativa europea y, a su vez, esta decisión confirma la competencia de los tribunales nacionales para determinar si existe o no conflicto de intereses, lo cual repercute en numerosas organizaciones, en las que el DPO desempeña variedad de funciones distintas, algunas de las cuales suponen ostentar poder de decisión sobre los fines y los medios del tratamiento. Por lo tanto, la existencia de un conflicto de intereses debe determinarse caso por caso, siendo necesario realizar un análisis exhaustivo ex ante que permita, entre otras cuestiones, evaluar la estructura organizativa del responsable o del encargado del tratamiento, así como las normas aplicables (incluidas las políticas internas), para terminar, esclareciendo que las funciones atribuidas al DPO no suponen ningún conflicto de intereses.