LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 07:33:39

LegalToday

Por y para profesionales del Derecho

Las garantías laborales del delegado de protección de datos

Abogado | Asociado Senior
PricewaterhouseCoopers. Regulación Digital

Pasados algunos meses desde la publicación, en el Diario Oficial de la Unión Europea, del Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que resultará aplicable a partir del 25 de mayo de 2018 (en adelante, “Reglamento Europeo de Protección de Datos” o “RGPD”), hemos podido conocer las Directrices que el Grupo de Trabajo del Artículo 29 – el órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea -, ha emitido sobre la figura del Delegado de Protección de Datos (en adelante, “DPO”, por sus siglas en inglés).

Símbolo del euro

Concretamente, esta figura la encontramos regulada en los artículos 37 y 38 del Reglamento Europeo de Protección de Datos en donde se establece que su designación será obligatoria para:

a)      Autoridades y organismos públicos;

b)      Responsables o encargados que tengan entre sus actividades principales operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala;

c)       Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

El RGPD prevé también el catálogo de funciones del DPO, entre las que se incluyen las relativas al control del cumplimiento del RGPD, pudiendo para ello (i) recabar información para determinar las actividades de tratamiento, (ii) analizar y comprobar la conformidad de las actividades de tratamiento, y (iii) informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.

Es importante destacar que el control del cumplimiento no significa que el DPO sea responsable personalmente en caso de algún incumplimiento, debido a que es el Responsable del tratamiento, y no el DPO, quien, de conformidad con el artículo 24.1 del RGPD, debe garantizar el cumplimiento de la normativa de protección de datos.

Dentro de las funciones del DPO, destaca su papel en la realización de Evaluaciones de impacto en la privacidad, en el asesoramiento en la metodología que se deberá emplear para implantar el enfoque de riesgos, de conformidad con los criterios establecidos en el artículo 39.2 del RGPD, en la elaboración de inventarios y mantenimiento de los registros de operaciones de tratamiento que aparecen expresamente regulados en el artículo 30 del RGPD, así como en la actuación como punto de contacto para los interesados en todo lo que tenga relación con el tratamiento de sus datos personales.

Específicamente, en el artículo 38 del Reglamento se regula la posición del DPO, al que se le otorgan una serie de prerrogativas y garantías con trascendencia directa en el ámbito de las relaciones laborales. Entre ellas, debemos destacar las siguientes:

a)      El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

b)      El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

c)       El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.

d)      No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.

Ciertamente, estamos ante prerrogativas, derechos y garantías destinadas a preservar la independencia e imparcialidad de la figura del DPO, que nos recuerdan a las garantías reconocidas en el artículo 68 del Estatuto de los Trabajadores a los miembros del Comité de Empresa y los Delegados de Personal, en su condición de representantes legales de los trabajadores.

Centrándonos ahora en el mandato reglamentario de que el DPO "no será destituido ni sancionado […] por desempeñar sus funciones", podemos apreciar su similitud con lo dispuesto en el artículo 68.c del Estatuto de los Trabajadores, que establece la garantía que ostenta un representante legal de los trabajadores a "no ser despedido ni sancionado durante el ejercicio de sus funciones […], siempre que el despido o sanción se base en la acción del trabajador en el ejercicio de su representación […]".

Si bien ello no significa que un representante legal de los trabajadores (en adelante, "RLT") no pueda ser despedido por razones disciplinarias, lo cierto es que en caso de impugnación del despido sufrido por parte del RLT, la empresa deberá acreditar que la causa de la extinción de la relación laboral es absolutamente ajena al ejercicio de su actividad sindical o representativa, blindando de esta forma la posición jurídico-laboral de los RLT frente a las decisiones empresariales, hasta el punto que cuando éstos presenten indicios fundados de la existencia de una conducta "antisindical", corresponderá a la empresa acreditar que su decisión (en este caso, el despido) resulta absolutamente ajeno a su actividad sindical.

Pues bien, parece que la figura del DPO – tal y como está configurada en el Reglamento Europeo de Protección de Datos -, también gozaría de la "especial protección" que se dispensa a los RLT frente a las decisiones empresariales, hasta el punto de que, si por parte de un DPO sancionado o despedido se alega una suerte de "discriminación" – presentando indicios fundados y no meras sospechas de que la actuación empresarial es consecuencia del ejercicio de sus funciones como DPO -, trasladaría a la empresa la carga de probar que la decisión empresarial resulta ajena al desempeño de dichas funciones.

¿Cuál sería la consecuencia de un despido de un DPO por ejercicio de sus funciones?

La cuestión radica en determinar si la consecuencia del despido de un DPO relacionada con el "ejercicio de sus funciones" sería la mera declaración de improcedencia – dejando a elección de la empresa la readmisión o el abono de la indemnización legal por despido improcedente, según prevé el artículo 56 del Estatuto de los Trabajadores – o por el contrario, la nulidad del mismo, que conllevaría la condena a la inmediata readmisión del trabajador con abono de los salarios dejados de percibir (artículo 113 de la Ley Reguladora de la Jurisdicción Social).

En nuestra opinión, el despido disciplinario de un DPO vinculado al "desempeño de sus funciones" podría llegar a ser declarado nulo, por vulnerar derechos fundamentales tales como la "libertad de expresión" (artículo 20.1 a CE) y la "garantía de indemnidad" (artículo 24.1 CE), entendiendo esta última como una efectiva protección de los trabajadores frente a represalias – con encaje en la legalidad ordinaria a través del artículo 17.1 del Estatuto de los Trabajadores -, y que garantiza que no se produzca un trato adverso hacia el denunciante – en este caso, el DPO – como consecuencia de su denuncia o puesta en conocimiento de irregularidades e incumplimientos relativos a la normativa de protección de datos, detectada por éste en el correcto ejercicio de sus funciones (sin perjuicio, obviamente, de aquellas medidas disciplinarias que pudieran adoptarse contra un DPO que presenta denuncias manifiestamente falsas).

De hecho, la previsión del Reglamento Europeo de Protección de Datos al salvaguardar la figura del DPO ante posibles represalias empresariales, le confiere un deber ineludible de denunciar las conductas irregulares, sin que dicho "deber de denunciar" se encuentre restringido por el deber de buena fe contractual (art. 5 del ET) que debe regir toda relación laboral. Es decir, si el DPO advierte una anomalía, tiene la obligación de denunciarla, no pudiendo permanecer pasivo – por imperativo legal – ante aquellas prácticas empresariales contrarias a la normativa de protección de datos.

En definitiva, podemos equiparar la posición jurídica de un DPO frente a la empresa, a la de un "whistleblower" (denunciante o delator), quedando de este modo protegido ante las eventuales represalias de las que pudiera ser objeto.

¿El derecho a "no se destituido" podría otorgar al DPO una expectativa de derecho a ostentar el cargo a perpetuidad?

Evidentemente, el Reglamento Europeo no pretende otorgar tal expectativa de derecho. Sin embargo, podríamos encontrarnos ante un DPO que considere su eventual destitución o cambio de puesto de trabajo como una represalia empresarial, contraria a la garantía de indemnidad.

Y como hemos apuntado, si el DPO aporta indicios fundados de esta posible vulneración de derechos fundamentales, reclamando la nulidad de la decisión empresarial y la restitución en su cargo de DPO, correspondería a la empresa acreditar que su decisión se enmarca dentro de los poderes de dirección de la empresa (art. 20 del ET) y que responde a razones dotadas de objetividad y razonabilidad suficiente que la hacen explicable, y por tanto alejada de cualquier móvil atentatorio a derechos fundamentales. 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.