El TJUE resuelve sobre la independencia y los conflictos de intereses de los delegados de protección de datos

16-02-2023 — AR/2023/012

Lo hace en una sentencia que resuelve las cuestiones prejudiciales presentadas por un tribunal alemán sobre la interpretación del artículo 38 del RGPD en relación con la capacidad de destituir al delegado de protección de datos y con los conflictos de intereses en el desempeño de su cargo.

La Sala Sexta del Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado, en  sentencia publicada el 9-2-2023, sobre las cuestiones prejudiciales planteadas por el Tribunal Supremo de lo Laboral de Alemania en relación con la independencia y los conflictos de intereses de los delegados de protección de datos.

Antecedentes de las cuestiones prejudiciales

El asunto sobre el que el tribunal alemán plantea esas cuestiones tiene la siguiente base:

  • Un ciudadano trabaja en una compañía desde 1993, en la que acumula los cargos de presidente del comité de empresa y de vicepresidente del comité central de las empresas del grupo.
  • En 2015, fue nombrado delegado de protección de datos de la sociedad matriz y de cada una de las filiales.
  • En 2017, le destituyeron de su cargo de delegado de protección de datos por entender que existía un conflicto de intereses entre las responsabilidades de este cargo y las otras funciones que desempeñaba en la empresa.

En el juicio contra esta destitución, el Tribunal Supremo de los Laboral en Alemania plantea dos cuestiones prejudiciales ante el TJUE.

Cuestiones prejudiciales planteadas

Sobre la posibilidad de destituir al delegado

El tribunal alemán plantea la cuestión de si el segundo inciso del apartado 3 del artículo 38 del reglamento general de protección de datos1 (RGPD), cuando recoge que el delegado de protección de datos «no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones»debe interpretarse en el sentido de que la normativa nacional no puede autorizar la destitución de ese delegado, incluso aunque concurran causas graves y se trate de motivos ajenos al desempeño de sus funciones.

El TJUE responde en sentido negativo y aclara que esa prohibición no impide que una norma nacional determine la destitución del delegado de protección de datos en los casos en los que incurra en una causa grave, aunque se trate de motivos ajenos al desempeño de sus funciones como delegado, siempre que no ponga en peligro la consecución de los objetivos del RGPD.

Sobre los conflictos de intereses

La segunda cuestión, en esencia, plantea el problema de cuándo existe un «conflicto de intereses», en el sentido del apartado 6 del articulo 38 del RGPD.

El TJUE concluye que el artículo 38.6 del RGPD impide que se encomienden al delegado de protección de datos funciones o cometidos que lo lleven a determinar los fines y los medios del tratamiento de datos personales del responsable del tratamiento o de su encargado, puesto que esa capacidad impediría al delegado realizar de manera independiente los controles propios de su función del delegado.


1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).