Decisión 01/2026 del Supervisor Europeo de Protección de Datos, de 16 de enero de 2026, por la que se adoptan las Normas sobre la aplicación del requisito de consentimiento previo del SEPD para la destitución de los responsables de la protección de datos [2026/199].

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) (en lo sucesivo, «Reglamento» o «RPDUE»), y en particular su artículo 44, apartado 8, y su artículo 58, apartado 1, letra a),

Visto el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (2) (Reglamento Europol), y en particular su artículo 41 bis, apartado 8, y su artículo 43, apartado 1 y su artículo 43, apartado 4, letra a),

Visto el Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (3) (Reglamento Eurojust), y en particular su artículo 36, apartado 4, y su artículo 40, apartados 1 y 4,

Visto el Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (4) (Reglamento sobre la Fiscalía Europea), y en particular su artículo 48, apartado 1, su artículo 77, apartado 4, y su artículo 85, apartados 1 y 4,

Considerando lo siguiente:

(1)	El Tratado de Funcionamiento de la Unión Europea establece que una autoridad independiente debe controlar el cumplimiento de las normas sobre protección de los datos personales tratados por las instituciones, órganos y organismos de la Unión («instituciones, órganos y organismos de la Unión»).

(2)

El Reglamento (UE) 2018/1725 instituyó el Supervisor Europeo de Protección de Datos (SEPD), al que incumbe garantizar que las instituciones, órganos y organismos de la Unión respeten los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos. A tal efecto, el SEPD supervisa y hace cumplir dicho Reglamento por parte de tales instituciones, órganos y organismos de la Unión.

(3)	El Reglamento establece la designación obligatoria de un delegado de protección de datos («DPD») en cada institución, órgano y organismo de la Unión. Esta obligación de designación también está recogida en los Reglamentos (UE) 2016/794, (UE) 2018/1727 y (UE) 2017/1939.

(4)

Dado el papel esencial que desempeña el delegado de protección de datos en el asesoramiento al responsable del tratamiento y en la supervisión de la aplicación de las normas que rigen el tratamiento de datos personales, es esencial que los delegados de protección de datos sigan pudiendo desempeñar sus funciones de forma independiente y eficaz en cualquier situación. Esto es igualmente importante en relación con el tratamiento de datos personales administrativos relacionados con el funcionamiento interno de las instituciones y organismos de la Unión, así como con los datos personales operativos tratados en el desempeño de las funciones de las instituciones y organismos de la Unión cuando llevan a cabo actividades que entran en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE para cumplir los objetivos y funciones establecidos en los actos por los que se crean dichos órganos u organismos. Por lo tanto, debe garantizarse y apoyarse eficazmente la capacidad del delegado de protección de datos para proporcionar asesoramiento imparcial, supervisar el cumplimiento y actuar como interlocutor para los interesados y el SEPD.

(5)

La independencia del delegado de protección de datos es una garantía estructural esencial para garantizar el cumplimiento de las disposiciones aplicables en materia de protección de datos y permitir que el delegado de protección de datos desempeñe sus funciones legales sin temor a represalias. La independencia del RPD constituye un requisito esencial de un sistema eficaz de protección de datos en las instituciones, órganos y organismos de la Unión y una importante salvaguardia de los derechos fundamentales de las personas en virtud de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

(6)

A tal fin, el Reglamento establece que un delegado de protección de datos designado solo podrá ser destituido de su cargo si deja de cumplir las condiciones necesarias para el desempeño de sus funciones, y únicamente con el consentimiento previo del SEPD. Además, el Reglamento establece que el responsable o encargado del tratamiento no podrá despedir ni sancionar al delegado de protección de datos por el desempeño de sus funciones. Normas análogas se aplican también a los RPD de Europol, Eurojust y la Fiscalía Europea con arreglo a sus respectivos marcos jurídicos. El Tribunal de Justicia también ha aclarado que la prohibición impuesta al responsable o encargado del tratamiento de destituir a un delegado de protección de datos o de sancionarlo significa que dicho delegado debe estar protegido contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción (5).

(7)

Por lo tanto, toda destitución de un delegado de protección de datos debe estar sujeta a un procedimiento claro, predecible y justo que permita al SEPD verificar si se cumplen las condiciones legales y, en particular, si la destitución se basa en motivos objetivos que no menoscaben la independencia o el desempeño efectivo de las funciones del delegado de protección de datos.

(8)

A la luz de la experiencia adquirida por el SEPD en relación con la aplicación de las disposiciones relativas a los delegados de protección de datos, y en particular con el fin de garantizar la aplicación coherente del requisito de consentimiento previo del SEPD para el cese de los delegados de protección de datos en todas las instituciones y organismos de la Unión, y de evitar cualquier elusión del requisito obligatorio de consentimiento previo del SEPD, la información que debe facilitarse para que el SEPD pueda desempeñar su función debe establecerse de antemano para todas las instituciones, órganos y organismos de la Unión de manera clara y previsible.

(9)	En aras de la seguridad jurídica, el SEPD también debe aclarar cómo se ha de garantizar el derecho a ser oído del delegado de protección de datos y de la institución u organismo de la Unión, y debe especificar asimismo las condiciones en las que el SEPD dará o denegará su consentimiento.

(10)

También es necesario aclarar cómo garantizará el SEPD una intervención rápida cuando la independencia del DPD pueda correr un riesgo inminente, por ejemplo, en situaciones que impliquen posibles represalias, amenazas de destitución u otras circunstancias que requieran la intervención inmediata del SEPD en aras del interés general y del propio DPD. En estas situaciones, la importancia de garantizar que se solicite correctamente el consentimiento y, por lo tanto, se garantice la legalidad de la destitución, justifica un rápido ejercicio de las competencias del SEPD, sin perjuicio de cualquier medida legal disponible.

(11)

Por lo tanto, conviene establecer en un único instrumento la información que deben facilitar las IUE para que el SEPD evalúe las solicitudes de consentimiento previo para la destitución del DPD, junto con las normas que rigen la presentación y el examen de dichas solicitudes, los plazos aplicables, los requisitos de transparencia y publicación y las medidas correctivas ordinarias en caso de incumplimiento.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Las normas sobre la aplicación del requisito de consentimiento previo del SEPD para la destitución de los responsables de la protección de datos se establecen en el anexo de la presente Decisión.

Artículo 2

Estas normas se aplicarán a todas las instituciones, órganos y organismos de la Unión sujetos a la supervisión del SEPD.

Artículo 3

La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 16 de enero de 2026.

Por el SEPD

Wojciech Rafał WIEWIÓROWSKI

Supervisor Europeo de Protección de Datos

(1) DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.

(2) DO L 135 de 24.5.2016, p. 53, ELI: http://data.europa.eu/eli/reg/2016/794/oj.

(3) DO L 295 de 21.11.2018, p. 138, ELI: http://data.europa.eu/eli/reg/2018/1727/oj.

(4) DO L 283 de 31.10.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/1939/oj.

(5) Sentencia del Tribunal de Justicia de 22 de junio de 2022, C-534/20, Leistritz AG, ECLI:EU:C:2022:495, apartado 21.

ANEXO

Normas sobre la aplicación del requisito de consentimiento previo del SEPD para la destitución de los responsables de la protección de datos

1. Objeto y ámbito de aplicación

1.1.

El presente procedimiento regula las modalidades mediante las cuales una institución, órgano u organismo de la Unión (en lo sucesivo, «IUE») puede obtener el consentimiento previo del Supervisor Europeo de Protección de Datos («SEPD») antes de destituir a su delegado de protección de datos designado («DPD»), de conformidad con el artículo 44, apartado 8, del Reglamento (UE) 2018/1725 (RPDUE).

1.2.

La presente Decisión se aplicará asimismo a:

la Agencia de la Unión Europea para la Cooperación Policial (Europol), en aplicación del artículo 41 bis, apartado 8, del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (1) (Reglamento Europol);

la Agencia de la Unión Europea para la Cooperación en materia de Justicia Penal (Eurojust), en aplicación del artículo 36, apartado 4, del Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Cooperación en materia de Justicia Penal (Eurojust), y por el que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (2) (Reglamento Eurojust);

c)	la Fiscalía Europea, en aplicación del artículo 77, apartado 4, del Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (3) (Reglamento sobre la Fiscalía Europea).

1.3.

Por «destitución» se entenderá una decisión administrativa oficial de la IUE por la que se ponga fin al mandato del delegado de protección de datos antes de su expiración natural con arreglo a la decisión de su designación, a iniciativa de la IUE y no del delegado de protección de datos.

1.4.

Este procedimiento se aplicará a cualquier acto o decisión de una IUE que aparte al DPD de sus funciones, independientemente de la subsistencia de la relación laboral.

2. Obligación de solicitar el consentimiento del SEPD

2.1.

Cuando una IUE tenga la intención de destituir a su DPD, solicitará sin demora al SEPD el consentimiento previo para dicha destitución («solicitud»). La IUE deberá informar al DPD en cuestión de la presentación de la solicitud.

2.2.

La IUE remitirá la solicitud al SEPD por correo electrónico cifrado (supervision@edps.europa.eu) o por cualquier otro canal de comunicación seguro acordado con el SEPD.

2.3.

La solicitud deberá estar completa y contener toda la información necesaria para que el SEPD evalúe si se cumplen las condiciones para el consentimiento. La solicitud incluirá, como mínimo:

a)	el nombre y los datos de contacto de la IUE;

b)	el nombre y los datos de contacto del DPD en cuestión;

c)	la duración del mandato del DPD y la fecha en que concluye dicho mandato;

d)	la justificación de la IUE de su intención de destituir al DPD en cuestión;

e)	la explicación de la IUE sobre por qué el DPD ya no cumple las condiciones necesarias para el desempeño de sus funciones;

f)	en su caso, el motivo de destitución no relacionado con el desempeño de las funciones de DPD;

toda la documentación justificativa pertinente (por ejemplo, designación del DPD, decisiones, evaluaciones del rendimiento, organigramas, descripciones de puestos de trabajo, códigos de conducta, correspondencia interna o actas que justifiquen la decisión de destitución y, en su caso, la investigación interna o externa o procedimiento judicial en curso o ya concluidos);

h)	el compromiso formal de la IUE de no proceder a la destitución a la espera de la decisión del SEPD en virtud de este procedimiento y de mantener inalteradas las funciones, el acceso, las responsabilidades y los recursos del DPD.

2.4.

Si se dispone de ellas, la solicitud incluirá también las pruebas que demuestren que la destitución no constituye una penalización del DPD por el desempeño de sus funciones, de conformidad con el artículo 44, apartado 3, del RPDUE.

2.5.

En caso de que la solicitud no cumpla alguno de los requisitos establecidos en los puntos 2.2 y 2.3, el SEPD emitirá un requerimiento formal para que se subsane en un plazo determinado.

2.6.

Si la institución no subsana la solicitud en el plazo establecido con arreglo al punto 2.5, el SEPD considerará la solicitud formalmente inadmisible y denegará el consentimiento.

2.7.

Tras la presentación de una solicitud completa, el SEPD no tendrá en cuenta más alegaciones de las IUE afectadas.

2.8.

No obstante lo dispuesto en el punto 2.7, el SEPD podrá tener en cuenta las alegaciones con posterioridad a la solicitud presentada de conformidad con el punto 2.3 cuando contengan:

a)	hechos pertinentes que la IUE no conocía en el momento de presentar la solicitud, o

b)	una justificación razonada para la alegación de los hechos pertinentes tras la presentación de una solicitud completa.

3. Derecho a ser oído

3.1.

El SEPD podrá solicitar información adicional a la IUE y al DPD y fijará un plazo para responder por escrito. La IUE y el DPD cooperarán plenamente y dentro de los plazos fijados por el SEPD.

3.2.

Antes de tomar una decisión sobre su consentimiento, el SEPD dará al DPD en cuestión la oportunidad de ser oído comunicándole la decisión prevista, junto con un resumen de los motivos que la justifiquen.

3.3.

Antes de decidir sobre su consentimiento, el SEPD podrá dar a la IUE afectada la oportunidad de ser oída, previa solicitud en la que se detallen los motivos por los que las alegaciones de la sección 2 no son suficientes para presentar los puntos de vista de la IUE en cuestión.

3.4.

El SEPD podrá celebrar una vista por iniciativa propia o previa solicitud motivada de la institución o del DPD, presentada junto con observaciones escritas exhaustivas.

3.5.

El SEPD podrá denegar la vista cuando, tras evaluar la exhaustividad de las observaciones escritas y la necesidad de una vista oral para determinar los hechos pertinentes, considere que la IUE o el DPD en cuestión ya han tenido ocasión de presentar todos los hechos pertinentes, o cuando sus puntos de vista puedan presentarse o se hayan presentado efectivamente por escrito.

3.6.

En caso de celebrarse la vista, se aplicará por analogía la Decisión del SEPD de 27 de septiembre de 2023 relativa a las normas sobre la celebración de la vista oral en las investigaciones del SEPD (4).

4. Condiciones que debe evaluar el SEPD

4.1.

El SEPD evaluará si, en el momento de la solicitud, el DPD ya no cumple las condiciones necesarias para el desempeño de sus funciones, en particular en lo que respecta a lo siguiente:

a)	ausencia de cualidades profesionales y conocimientos especializados del Derecho y la práctica en materia de protección de datos suficiente para desempeñar el cargo (artículo 43, apartado 3, del RPDUE);

b)	incapacidad para llevar a cabo las funciones que asigna el RPDUE (artículo 45) a los DPD (por ejemplo, información/asesoramiento, supervisión del cumplimiento, cooperación con el SEPD);

c)	si la destitución no tiene por objeto sancionar al DPD por el desempeño de sus funciones (artículo 44, apartado 3, última frase, del RPDUE).

4.2.

Cuando proceda, el SEPD también tendrá en cuenta los motivos ajenos al desempeño de las funciones del DPD que pueda alegar la IUE para justificar la destitución.

5. Decisión sobre el consentimiento

5.1.

Cuando el SEPD considere que el DPD ya no cumple las condiciones necesarias para el desempeño de sus funciones, dará su consentimiento a la destitución. Cuando el SEPD considere que el DPD sigue cumpliendo las condiciones necesarias para el desempeño de sus funciones, denegará su consentimiento a la destitución.

5.2.

El SEPD también dará su consentimiento a la destitución cuando considere que la IUE ha demostrado motivos objetivos y proporcionados, ajenos al desempeño de las funciones del DPD, que no menoscaban ni directa ni indirectamente la independencia y el desempeño efectivo de las funciones del DPD dentro de la IUE.

5.3.

El SEPD no dará su consentimiento con carácter retroactivo; todo consentimiento otorgado será válido para el futuro.

6. Plazo y notificación

6.1.

El SEPD notificará su decisión a la IUE y al DPD, por regla general, en un plazo de seis semanas a partir de la recepción de la solicitud completa o de la expiración del plazo mencionado en el punto 2.5.

6.2.

Cuando sea necesario, teniendo en cuenta la complejidad de la solicitud y el grado de cooperación de la IUE, el SEPD podrá prorrogar el plazo mencionado en el punto 6.1 hasta dos períodos adicionales de ocho semanas.

7. Publicación e informes anuales

7.1.

El SEPD informará a los DPD de las instituciones de la UE acerca de las decisiones que adopte en virtud del artículo 44, apartado 8, del RPDUE, del artículo 41 bis, apartado 8, del Reglamento Europol, del artículo 36, apartado 4, del Reglamento Eurojust y del artículo 77, apartado 4, del Reglamento sobre la Fiscalía Europea, según corresponda.

7.2.

El SEPD hará pública una versión redactada o resumida de su decisión, teniendo en cuenta los intereses legítimos afectados, en particular en lo que respecta a la protección de los datos personales, los derechos y las libertades de terceros, la confidencialidad, el secreto profesional y comercial o la seguridad pública.

7.3.

El SEPD informará en su informe anual, de conformidad con el artículo 60 del RPDUE, sobre el funcionamiento de las presentes normas.

8. Medidas correctivas

8.1.

Cuando el SEPD tenga motivos suficientemente justificados para creer que una IUE tiene la intención de destituir a su DPD sin obtener antes el consentimiento previo del SEPD, en particular sobre la base de la información facilitada por el propio DPD, el SEPD adoptará una decisión inmediata para remitir el asunto a la IUE de conformidad con el artículo 58, apartado 2, letra c), del RPDUE, con el artículo 43, apartado 3, letra g), del Reglamento Europol, con el artículo 40, apartado 3, letra b), del Reglamento Eurojust o con el artículo 85, apartado 3, letra d), del Reglamento sobre la Fiscalía Europea, según corresponda. Al hacerlo, el SEPD indicará que cualquier destitución por parte de la IUE de su DPD sin haber obtenido el consentimiento previo del SEPD constituirá una infracción del artículo 44, apartado 8, del RPDUE, del artículo 41 bis, apartado 8, del Reglamento Europol, del artículo 36, apartado 4, del Reglamento Eurojust o del artículo 77, apartado 4, del Reglamento sobre la Fiscalía Europea, según corresponda.

8.2.

Procederá adoptar una decisión inmediata, en particular, cuando:

a)	el DPD se enfrente a una destitución inminente;

b)	existan pruebas creíbles de represalias relacionadas con el desempeño de las funciones del DPD;

c)	el retraso pueda causar un perjuicio irreversible a la independencia del DPD, o

d)	se adopte o prevea cualquier otra medida que pueda menoscabar la independencia o el desempeño efectivo de las funciones del DPD.

8.3.

Cuando el SEPD considere que una IUE ha destituido a su DPD sin haber obtenido el consentimiento previo del SEPD, este último:

notificará a la IUE la constatación del SEPD de que la destitución de su DPD sin el consentimiento previo del SEPD constituye una infracción del artículo 44, apartado 8, del RPDUE, del artículo 41 bis, apartado 8, del Reglamento Europol, del artículo 36, apartado 4, del Reglamento Eurojust o del artículo 77, apartado 4, del Reglamento sobre la Fiscalía Europea, según corresponda, así como de cualquier otra disposición pertinente que se considere infringida, y

ordenará a la IUE que rectifique, anulando la destitución y presentando una solicitud de consentimiento de conformidad con el presente procedimiento, en el plazo que se fije al efecto, de conformidad con el artículo 58, apartado 2, letra e), del RPDUE o con el artículo 43, apartado 3, letra j), del Reglamento Europol, según corresponda, e

informará a la IUE de que el incumplimiento de una orden del SEPD con arreglo al artículo 58, apartado 2, letra e), del RPDUE o al artículo 43, apartado 3, letra j), del Reglamento Europol, según corresponda, está sujeto a multas administrativas de hasta 25 000 EUR por infracción y hasta un total de 250 000 EUR al año, de conformidad con el artículo 66, apartados 1 y 2, del RPDUE, o con el artículo 43, apartado 3, letra l), del Reglamento Europol, según corresponda, y

d)	ejercerá cualquier otra facultad disciplinaria del SEPD que resulte oportuna a la luz de las circunstancias particulares del caso concreto.

8.4.

Los apartados 1 a 6 y 8 del artículo 18 del Reglamento interno del SEPD no se aplicarán a las facultades disciplinarias ejercidas de conformidad con los puntos 8.1 y 8.3.

8.5.

Las disposiciones de la presente sección se entienden sin perjuicio del ejercicio de cualquier otra facultad disciplinaria del SEPD que se considere adecuada a la luz de las circunstancias particulares del caso concreto.

(1) DO L 135 de 24.5.2016, p. 53, ELI: http://data.europa.eu/eli/reg/2016/794/oj.

(2) DO L 295 de 21.11.2018, p. 138, ELI: http://data.europa.eu/eli/reg/2018/1727/oj.

(3) DO L 283 de 31.10.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/1939/oj.

(4) Puede consultarse en la página web del SEPD: https://www.edps.europa.eu/data-protection/our-work/publications/investigations/2023-09-27-rules-hearing-edps-investigations_en.

source

¿Trabajas en emergencias?
En TodoEmergencias.com encontrarás uniformidad, señalización, mochilas tácticas, botiquines, luces de emergencia y todo el material profesional que necesitas.