X-FAB Dresden GmbH & Co. KG v FC.

JurisdictionEuropean Union
Date09 February 2023
CourtCourt of Justice (European Union)

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Sexta)

de 9 de febrero de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 38, apartado 3 — Delegado de protección de datos — Prohibición de destitución por el desempeño de sus funciones — Exigencia de independencia funcional — Normativa nacional que prohíbe la destitución de un delegado de protección de datos sin causa grave — Artículo 38, apartado 6 — Conflicto de intereses — Criterios»

En el asunto C‑453/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesarbeitsgericht (Tribunal Supremo de lo Laboral, Alemania), mediante resolución de 27 de abril de 2021, recibida en el Tribunal de Justicia el 21 de julio de 2021, en el procedimiento entre

X-FAB Dresden GmbH & Co. KG

y

FC,

EL TRIBUNAL DE JUSTICIA (Sala Sexta),

integrado por el Sr. P. G. Xuereb, Presidente de Sala, y el Sr. A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. J. Richard de la Tour;

Secretario: Sr. D. Dittert, jefe de unidad;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 26 de septiembre de 2022;

consideradas las observaciones presentadas:

– en nombre de X-FAB Dresden GmbH & Co. KG, por el Sr. S. Leese, Rechtsanwalt;

– en nombre de FC, por los Sres. R. Buschmann y T. Heller, Prozessbevollmächtigte;

– en nombre del Gobierno alemán, por los Sres. J. Möller, D. Klebs y P.‑L. Krüger, en calidad de agentes;

– en nombre del Parlamento Europeo, por las Sras. O. Hrstková Šolcová y B. Schäfer, en calidad de agentes;

– en nombre del Consejo de la Unión Europea, por la Sra. T. Haas y el Sr. K. Pleśniak, en calidad de agentes;

– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. K. Herrmann y el Sr. H. Kranenborg, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación y la validez del artículo 38, apartado 3, segunda frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, y corrección de errores en DO 2018, L 127, p. 3, p. 35; en lo sucesivo, «RGPD»), así como sobre la interpretación del artículo 38, apartado 6, de dicho Reglamento.

2 Esta petición se ha presentado en el contexto de un litigio entre X-FAB Dresden GmbH & Co. KG (en lo sucesivo, «X-FAB») y FC, su empleado, en relación con la destitución de FC como delegado de protección de datos, dictada por X-FAB.

Marco jurídico

Derecho de la Unión

3 Los considerandos 10 y 97 del RGPD señalan:

«(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(97) […] Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.»

4 El artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», dispone, en sus apartados 5 y 6:

«5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.»

5 El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3, 5 y 6:

«3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

[…]

5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.»

6 El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», tiene el siguiente tenor:

«1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.»

Derecho alemán

BDSG

7 El artículo 6 de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 20 de diciembre de 1990 (BGBl. 1990 I, p. 2954), en la versión en vigor de 25 de mayo de 2018 a 25 de noviembre de 2019 (BGBl. 2017 I, p. 2097) (en lo sucesivo, «BDSG»), titulado «Posición», dispone, en su apartado 4:

«El delegado de protección de datos solo podrá ser destituido de conformidad con lo dispuesto, mutatis mutandis, por el artículo 626 del Bürgerliches Gesetzbuch [(Código Civil), en su versión publicada el 2 de enero de 2002 (BGBl. 2002 I, p. 42, y correcciones de errores en BGBl. 2002 I, p. 2909, y BGBl. 2003 I, p. 738)]. El despido de un delegado de protección de datos será ilegal, a no ser que concurran circunstancias que autoricen al organismo público a adoptar tal medida por causa grave sin necesidad de respetar un plazo de preaviso. Una vez concluida la actividad como delegado de protección de datos, el despido será ilegal durante un año, a no ser que concurra causa grave que autorice al organismo público a adoptar tal medida sin necesidad de respetar un plazo de preaviso.»

8 El artículo 38 del BDSG, titulado «Delegado de protección de datos de organismos no públicos», establece:

«1. Con carácter complementario a lo dispuesto en el artículo 37, apartado 1, letras b) y c), del [RGPD], el responsable y el encargado del tratamiento nombrarán a un delegado de protección de datos siempre que, por regla general, haya al menos diez personas empleadas de forma permanente en el tratamiento automatizado de datos personales. […]

2. Será de aplicación el artículo 6, apartados 4, 5, segunda frase, y 6, si bien solo será aplicable el apartado 4 cuando resulte obligatorio el nombramiento de delegado de protección de datos.»

Código Civil

9 El artículo 626 del Código Civil, bajo el epígrafe «Resolución sin preaviso por causa grave», dispone:

«1. Cualquiera de las partes podrá resolver la relación laboral por causa grave sin necesidad de respetar un plazo de preaviso si concurren hechos que, en atención a todas las circunstancias del caso y teniendo en cuenta los intereses de ambas partes, hagan que la continuación de la relación laboral hasta el final del...

To continue reading

Request your trial
3 practice notes
  • F.F. v Österreichische Datenschutzbehörde and CRIF GmbH.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...de datos de carácter personal sea coherente y homogénea (véase, en este sentido, la sentencia de 9 de febrero de 2023, X-FAB Dresden, C‑453/21, EU:C:2023:79, apartado 25 y jurisprudencia 41 En efecto, para garantizar que la información así facilitada sea fácil de entender, como exige el art......
  • EU/UK Privacy & Cybersecurity News Roundup ' Week Of February 13, 2023
    • European Union
    • Mondaq European Union
    • 22 February 2023
    ...here, only available in German. The Court of Justice of the European Union ('CJEU') issued, on 9 February 2023, a preliminary ruling in Case C-453/21 X-FAB Dresden GmbH & Co. KG v FC, following a submitted by the German Federal Labour Court ('Labour Court') concerning Articles 38(3) and 38(......
  • GDPR: Designation And Position Of Data Protection Officer (DPO) Under European Regulators' Scrutiny
    • European Union
    • Mondaq European Union
    • 4 May 2023
    ...the organizational structure of the organization in question and all applicable rules, including the organization's internal policies (Case C-453/21); cannot be dismissed or penalized for the performance his/her tasks. According to the CJEU, this doesn't mean that the DPO cannot be dismisse......
1 cases
  • F.F. v Österreichische Datenschutzbehörde and CRIF GmbH.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...de datos de carácter personal sea coherente y homogénea (véase, en este sentido, la sentencia de 9 de febrero de 2023, X-FAB Dresden, C‑453/21, EU:C:2023:79, apartado 25 y jurisprudencia 41 En efecto, para garantizar que la información así facilitada sea fácil de entender, como exige el art......
2 firm's commentaries
  • EU/UK Privacy & Cybersecurity News Roundup ' Week Of February 13, 2023
    • European Union
    • Mondaq European Union
    • 22 February 2023
    ...here, only available in German. The Court of Justice of the European Union ('CJEU') issued, on 9 February 2023, a preliminary ruling in Case C-453/21 X-FAB Dresden GmbH & Co. KG v FC, following a submitted by the German Federal Labour Court ('Labour Court') concerning Articles 38(3) and 38(......
  • GDPR: Designation And Position Of Data Protection Officer (DPO) Under European Regulators' Scrutiny
    • European Union
    • Mondaq European Union
    • 4 May 2023
    ...the organizational structure of the organization in question and all applicable rules, including the organization's internal policies (Case C-453/21); cannot be dismissed or penalized for the performance his/her tasks. According to the CJEU, this doesn't mean that the DPO cannot be dismisse......

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT