El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado recientemente en una sentencia sobre la posibilidad de destitución de un delegado de protección de datos (DPO), así como sobre los criterios a valorar para determinar la existencia de un conflicto de intereses.
La primera de las cuestiones examinadas por el TJUE ha sido la disposición del RGPD que establece que un DPO no puede ser destituido ni sancionado como consecuencia del desempeño de sus funciones, que además abre la posibilidad a los Estados miembros de la Unión Europea de imponer especialidades a este respecto en su normativa nacional.
El TJUE establece, al respecto de esta cuestión, que los Estados miembros únicamente podrán introducir medidas más protectoras para el DPO, ya que lo contrario menoscabaría la posibilidad de cumplimiento del objetivo de esta figura, que es garantizar el cumplimiento del RGPD.
Ahora bien, esta protección del DPO cuenta con un límite íntimamente relacionado con la segunda cuestión que estudia el TJUE: el DPO sí deberá ser destituido en el caso de incurrir en una incompatibilidad por conflicto de intereses.
El RGPD establece, y así lo corrobora el TJUE, que no todas las funciones implican una incompatibilidad con ser DPO, sino únicamente aquellas que le impidan cumplir con el objetivo del RGPD y aquellas que menoscaben su independencia.
En concreto, afirma el TJUE que existe incompatibilidad cuando las funciones adicionales del DPO le permiten determinar los fines y medios del tratamiento de datos personales.