Language of document : ECLI:EU:C:2009:694

CONCLUSIONI DELL’AVVOCATO GENERALE

JÁN MAZÁK

presentate il 12 novembre 2009 1(1)

Causa C‑518/07

Commissione delle Comunità europee

contro

Repubblica federale di Germania

«Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Assoggettamento delle autorità di controllo nazionali alla vigilanza dello Stato – Piena indipendenza nell’esercizio delle funzioni»





1.        Con il presente ricorso (2) la Commissione delle Comunità europee chiede alla Corte di dichiarare che, sottoponendo, in forza delle leggi dei Länder, le autorità incaricate di vigilare sull’applicazione delle disposizioni di attuazione della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (3) (in prosieguo: le «autorità di controllo in materia di protezione dei dati personali»), alla vigilanza dello Stato in relazione al controllo di organismi diversi da quelli pubblici, la Repubblica federale di Germania è venuta meno all’obbligo di garantire la totale indipendenza di dette autorità ad essa incombente ai sensi dell’art. 28, n. 1, secondo comma, della direttiva 95/46.

2.        Lo scopo della direttiva 95/46 è fare in modo che gli Stati membri, pur consentendo la libera circolazione dei dati personali, assicurino la tutela delle libertà e dei diritti fondamentali delle persone fisiche, e in particolare della loro vita privata, riguardo al trattamento di tali dati. In altre parole, la direttiva 95/46 mira a stabilire un equilibrio tra, da un lato, la libera circolazione dei dati personali, che costituisce uno degli elementi essenziali del funzionamento del mercato interno, e, dall’altro, la tutela delle libertà e dei diritti fondamentali delle persone fisiche.

3.        Anche le autorità nazionali incaricate di vigilare sul rispetto delle disposizioni nazionali adottate ai fini dell’applicazione della direttiva 95/46 contribuiscono alla realizzazione dell’obiettivo sopra menzionato. Risulta dal sessantaduesimo ‘considerando’ della direttiva 95/46 che la designazione di autorità di controllo che agiscano in modo indipendente negli Stati membri è un elemento essenziale per la tutela delle persone riguardo al trattamento dei dati personali. Per tale motivo l’art. 28, n. 1, della direttiva 95/46 dispone quanto segue:

«Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.

Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite» (4).

4.        Il presente ricorso trae origine da una divergenza tra la Commissione, sostenuta dal Garante europeo della protezione dei dati, e la Repubblica federale di Germania in ordine all’interpretazione dell’espressione «pienamente indipendenti», che figura all’art. 28, n. 1, della direttiva 95/46 ed è riferita all’esercizio delle funzioni delle autorità di controllo in materia di protezione dei dati personali.

5.        Il ricorso della Commissione si basa su due ipotesi. Secondo la prima, l’art. 28, n. 1, della direttiva 95/46 obbligherebbe gli Stati membri a fare in modo che le loro autorità di controllo in materia di protezione dei dati personali siano «totalmente indipendenti». Nella replica, la Commissione ha precisato che non si tratterebbe di un’indipendenza istituzionale e organizzativa, bensì di un’indipendenza funzionale totale, il che significherebbe che, nell’assolvimento dei loro compiti, le autorità di controllo in materia di protezione dei dati personali dovrebbero essere esenti da qualsiasi influenza esterna.

6.        In base alla seconda ipotesi, la vigilanza esercitata dallo Stato sulle sue autorità di controllo in materia di protezione dei dati personali in settori diversi da quello pubblico, la cui esistenza non è stata contestata dalla Repubblica federale di Germania, la quale ha peraltro precisato le affermazioni della Commissione concernenti le varie forme di tale vigilanza (5), sarebbe atta a compromettere la piena indipendenza, nel senso indicato dalla Commissione, di dette autorità di controllo.

7.        La difesa della Repubblica federale di Germania si basa su un’interpretazione diversa dell’espressione «pienamente indipendenti» riferita all’esercizio delle funzioni delle autorità di controllo in materia di protezione dei dati personali. Essa sostiene che tale espressione deve essere riferita all’indipendenza funzionale di tali autorità, vale a dire alla loro indipendenza istituzionale in materia di organizzazione unicamente rispetto agli organismi controllati. Nella controreplica essa ha aggiunto che la vigilanza esercitata dallo Stato non comporta alcuna influenza esterna, dal momento che le autorità di vigilanza non sono servizi esterni, bensì organi di controllo interni all’amministrazione.

8.        Benché sia intuibile il conflitto tra due concezioni dell’esercizio del potere esecutivo in seno allo Stato (6) nel merito del presente ricorso, tenterò di proporre una soluzione partendo, anzitutto, dal chiarire il contenuto dell’espressione «pienamente indipendenti nell’esercizio delle funzioni», per poi esaminare la questione se le autorità di controllo in materia di protezione dei dati personali soggette alla vigilanza dello Stato, secondo le modalità descritte dalla Commissione, possano effettivamente essere pienamente indipendenti nell’esercizio delle loro funzioni.

 Piena indipendenza nell’esercizio delle funzioni ai sensi dell’art. 28, n. 1, della direttiva 95/46

9.        Si può rilevare, in base a un esame della normativa comunitaria e della giurisprudenza della Corte, che l’impiego del termine «indipendenza» è frequente, non solo in relazione alle autorità pubbliche, ma anche in riferimento a determinati gruppi di persone che necessitano di indipendenza ai fini dell’espletamento delle proprie funzioni nell’ambito del sistema o del sottosistema sociale.

10.      A titolo d’esempio si può citare l’art. 19, n. 4, del regolamento (CE) del Parlamento europeo e del Consiglio 9 luglio 2008, n. 765, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (7), il quale esige che le autorità di vigilanza del mercato eseguano i loro compiti in modo indipendente, o l’art. 16, n. 1, del regolamento (CE) del Consiglio 15 febbraio 2007, n. 168, che istituisce l’Agenzia dell’Unione europea per i diritti fondamentali (8), il quale esige che tale Agenzia assolva i suoi compiti in completa indipendenza, o ancora l’art. 3, n. 2, della direttiva del Parlamento europeo e del Consiglio 7 marzo 2002, 2002/21/CE, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (direttiva quadro) (9), il quale esige che gli Stati membri garantiscano l’indipendenza delle autorità nazionali di regolamentazione.

11.      Il termine «indipendenza» appare anche nel contesto della soft law. Si può menzionare, ad esempio, l’art. 8, n. 1, del Codice europeo di buona condotta approvato dal Parlamento europeo il 6 settembre 2001 (10), secondo cui il funzionario è imparziale e indipendente.

12.      Analogamente, la Corte ha già avuto occasione di esaminare l’indipendenza della Banca centrale europea (11) o dei membri del Parlamento europeo (12), o degli avvocati (13).

13.      Benché il termine «indipendenza» venga utilizzato frequentemente, non è agevole determinarne il contenuto. Dato che l’indipendenza è tradizionalmente legata al potere giudiziario, esistono alcuni indizi in relazione all’indipendenza giurisdizionale. Il Garante europeo della protezione dei dati ha inoltre proposto, nella sua memoria di intervento, di dedurre dalla giurisprudenza della Corte in materia di indipendenza delle giurisdizioni i criteri per valutare se un organo possa essere considerato indipendente (14).

14.      A mio parere tali criteri non sono utilizzabili nel caso in esame. Infatti, definendoli, la Corte ha delimitato le giurisdizioni rispetto ad altre forme di poteri dello Stato. Nella fattispecie si tratta di autorità di controllo e nessuno contesta che tali autorità siano strutture amministrative e, pertanto, che esse appartengano alla sfera del potere esecutivo. Ne consegue che l’esigenza che esse siano pienamente indipendenti nell’esercizio delle loro funzioni dev’essere delimitata unicamente nell’ambito del potere esecutivo, e non rispetto ad altre forme di poteri dello Stato.

15.      A tal riguardo si deve osservare che l’art. 28, n. 1, della direttiva 95/46 non impone agli Stati membri di costituire autorità separate dal sistema amministrativo organizzato su base gerarchica. Occorre tuttavia aggiungere che nulla lo impedisce. L’art. 28, n. 1, della direttiva 95/46, richiedendo agli Stati membri di garantire che le autorità di controllo siano pienamente indipendenti nell’esercizio delle loro funzioni, e non di garantire l’indipendenza di tali autorità, lascia a detti Stati un margine di discrezionalità per stabilire le modalità con cui soddisfare tale richiesta.

16.      Non si deve nemmeno dimenticare che il termine «indipendenza» è un termine relativo e occorre quindi precisare nei confronti di chi o di che cosa, e a quale livello, debba sussistere tale indipendenza.

17.      È vero che, a prima vista, si potrebbe pensare che siffatta relatività venga meno con l’aggiunta dell’avverbio «pienamente» al termine «indipendenti». Ritengo tuttavia che tale conclusione sia errata. Se si accogliesse, ciò significherebbe che l’art. 28, n. 1, della direttiva 95/46, secondo cui le autorità di controllo in materia di protezione dei dati personali devono essere pienamente indipendenti nell’esercizio delle loro funzioni, esige un’indipendenza in tutte le dimensioni possibili, vale a dire un’indipendenza istituzionale, organizzativa, di bilancio, finanziaria, funzionale, decisionale o personale.

18.      Ritengo che tale interpretazione dell’art. 28, n. 1, della direttiva 95/46 non possa essere accolta e che pertanto, nonostante l’espressione «pienamente indipendenti», l’indipendenza rimanga relativa e da determinare.

19.      In tale procedimento di determinazione, che comporta al contempo un iter di ricerca del contenuto dell’esigenza di una «piena indipendenza nell’esercizio delle funzioni», occorre basarsi, a mio avviso, sullo scopo per il quale sono state create le autorità di controllo in materia di protezione dei dati personali.

20.      A questo proposito si deve rilevare che detto scopo presenta uno stretto rapporto con lo scopo principale della medesima direttiva 95/46. Pertanto, le autorità di controllo in parola costituiscono uno degli elementi che consentono di realizzare gli obiettivi perseguiti dalla direttiva 95/46 e ne consegue che l’indipendenza di dette autorità di controllo dev’essere tale da permettere loro di contribuire a stabilire un equilibrio tra, da un lato, la libera circolazione dei dati personali e, dall’altro, la tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata.

21.      Il livello di indipendenza di cui devono godere le autorità di controllo in materia di protezione dei dati personali per esercitare efficacemente le loro funzioni dipende dallo scopo dell’esistenza di tali autorità di controllo, inteso nel senso sopra indicato.

22.      Per quanto riguarda la questione dell’individuazione dei soggetti nei cui confronti occorre garantire l’indipendenza affinché le autorità di controllo in materia di protezione dei dati personali possano esercitare efficacemente le funzioni loro attribuite, non condivido la tesi della Repubblica federale di Germania secondo cui si tratterebbe di un’indipendenza solo rispetto agli organismi controllati.

23.      Ritengo che le autorità di controllo in materia di protezione dei dati personali debbano essere indipendenti anche rispetto ad altri organi del potere esecutivo di cui esse formano parte integrante, e questo a un livello tale da garantire un efficace esercizio delle loro funzioni.

24.      Appare difficile e, nelle circostanze del caso di specie, poco utile, definire tutti gli elementi necessari affinché sia garantita la piena indipendenza delle autorità pubbliche nell’esercizio delle loro funzioni. Per pronunciarsi sul ricorso della Commissione è più opportuno adottare un metodo negativo.

25.      Sorge quindi la questione se l’esistenza di una vigilanza da parte dello Stato sia compatibile con il livello di indipendenza richiesto ai fini dell’esercizio delle funzioni delle autorità di controllo in materia di protezione dei dati personali.

 Compatibilità della vigilanza esercitata dallo Stato con l’esigenza della piena indipendenza delle autorità di controllo in materia di protezione dei dati personali nell’esercizio delle loro funzioni

26.      Sia la Commissione che la Repubblica federale di Germania ammettono che il testo dell’art. 28, n. 1, secondo comma, della direttiva 95/46 è il risultato di un compromesso. Entrambe le parti fanno ciò nondimeno valere che il tenore letterale di tale disposizione corrobora il proprio argomento relativo alla portata della piena indipendenza delle autorità di controllo in materia di protezione dei dati personali nell’esercizio delle loro funzioni.

27.      Per quanto riguarda l’argomento della Repubblica federale di Germania, ossia che, nelle discussioni che hanno preceduto l’adozione della direttiva 95/46 (15), il rappresentante della ricorrente avrebbe confermato l’interpretazione data dalla stessa Repubblica federale di Germania all’art. 28, n. 1, della direttiva 95/46, è sufficiente richiamare l’attenzione sulla sentenza 14 gennaio 1987, Germania/Commissione (16), in cui la Corte ha dichiarato che una disposizione di diritto comunitario non può essere interpretata alla luce dei negoziati tra uno Stato membro e un’istituzione comunitaria. Ciò vale a maggior ragione se si considera che lo scambio di opinioni tra uno Stato membro e il rappresentante di un’istituzione comunitaria che ha redatto una proposta di atto comunitario non può essere posta a fondamento dell’interpretazione di una disposizione di diritto comunitario.

28.      Nel caso in esame si tratta di un organo che non è indipendente dal punto di vista istituzionale e che pertanto si inserisce in un determinato sistema, nella specie quello del potere esecutivo. In tale contesto emerge una reale tensione tra, da un lato, l’indipendenza dell’organo e, dall’altro, la sua responsabilità. A mio avviso, di fronte a tale situazione, la vigilanza dello Stato rappresenta una delle possibili soluzioni.

29.      L’indipendenza non può essere confusa con l’assenza della possibilità di essere controllato. A mio parere la vigilanza esercitata dallo Stato costituisce uno degli strumenti di controllo.

30.      Per rispondere alla questione se la vigilanza esercitata dallo Stato sia compatibile con l’esigenza di piena indipendenza delle autorità di controllo in materia di protezione dei dati personali nell’esercizio delle loro funzioni, è importante prendere in considerazione lo scopo perseguito con tale vigilanza. Dalla descrizione del sistema di vigilanza fornita dalla Commissione risulta che esso mira a verificare se il controllo esercitato dalle autorità ad esso preposte sia razionale, legittimo e proporzionato. Sotto questo profilo, mi sembra che la vigilanza esercitata dallo Stato contribuisca al funzionamento del sistema di controllo sull’applicazione delle disposizioni adottate in attuazione della direttiva 95/46. Infatti, qualora risultasse che le autorità di controllo non agiscono in modo razionale, legittimo e proporzionato, sarebbero messe a rischio la tutela dei diritti delle persone fisiche e, pertanto, la realizzazione dell’obiettivo perseguito dalla direttiva 95/46.

31.      Si deve rilevare che dagli atti non emerge alcun elemento idoneo a compromettere la realizzazione dell’obiettivo perseguito con la vigilanza dello Stato. Inoltre, nulla indica che tale vigilanza venga esercitata con modalità che potrebbero compromettere la piena indipendenza delle autorità di controllo in materia di protezione dei dati personali. A tal riguardo la Commissione non può limitarsi a formulare affermazioni; essa deve dimostrare che la vigilanza dello Stato produce tali effetti.

32.      La Commissione non ha dimostrato le ripercussioni negative della vigilanza sulla piena indipendenza delle autorità di controllo. A suo parere, l’esistenza della vigilanza esercitata dallo Stato sarebbe sufficiente per concludere che le autorità di controllo in materia di protezione dei dati personali non sono pienamente indipendenti nell’esercizio delle loro funzioni. Ne consegue che la Commissione si limita a presumere che la vigilanza dello Stato determini una perturbazione nell’esercizio in piena indipendenza dei compiti devoluti alle autorità di controllo.

33.      Secondo la giurisprudenza della Corte, nell’ambito di una procedura per inadempimento ai sensi dell’art. 226 CE, spetta alla Commissione provare l’asserito inadempimento, senza potersi basare su una qualsiasi presunzione (17).

34.      Ritengo che la Commissione non abbia assolto l’onere della prova che le incombeva. Essa non ha provato né l’inefficacia del sistema di vigilanza, né l’esistenza di una prassi costante delle autorità di vigilanza costituente un abuso di potere che comporta una perturbazione nell’esercizio in piena indipendenza dei compiti devoluti alle autorità di controllo in materia di protezione dei dati personali.

35.      Di conseguenza, il semplice fatto che autorità di controllo come quelle in discussione nella specie siano sottoposte alla vigilanza dello Stato non può giustificare la conclusione che dette autorità di controllo non sono pienamente indipendenti nell’esercizio delle loro funzioni ai sensi dell’art. 28, n. 1, della direttiva 95/46.

36.      La Commissione non ha dimostrato che la vigilanza esercitata sulle autorità di controllo in materia di protezione dei dati personali impedisca a tali autorità di controllo di essere pienamente indipendenti nell’esercizio delle loro funzioni; pertanto, il ricorso deve essere respinto.

 Sulle spese

37.      Ai sensi dell’art. 69, n. 2, primo comma, del regolamento di procedura, la parte soccombente è condannata alle spese, se ne è stata fatta domanda. Poiché la Repubblica federale di Germania ne ha fatto domanda, ritengo che la Commissione, rimasta soccombente, debba essere condannata alle spese.

 Conclusione

38.      Alla luce delle suesposte considerazioni, propongo alla Corte di dichiarare quanto segue:

1)         Il ricorso è respinto.

2)         La Commissione delle Comunità europee è condannata alle spese.

3)         Il Garante europeo della protezione dei dati sopporta le proprie spese.


1 – Lingua originale: il francese.


2 – Per quanto riguarda la fase precontenziosa del procedimento, è sufficiente rilevare che essa si è svolta conformemente all’art. 226 CE e che dinanzi alla Corte non è stato sollevato alcun argomento che mettesse in dubbio la legittimità di tale fase del procedimento.


3 – GU L 281, pag. 31.


4 –      L’esistenza di tali autorità è prevista anche da altri atti comunitari. Si tratta, ad esempio, dell’art. 41 del regolamento (CE) del Parlamento europeo e del Consiglio 9 luglio 2008, n. 767, concernente il sistema di informazioni visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS) (GU L 218, pag. 60), o dell’art. 9 della direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 54).


5 – Infatti, la Commissione ha spiegato che nei Länder di Brema e di Amburgo è espressamente previsto solo il controllo di servizio. Orbene, la Repubblica federale di Germania ha precisato che le autorità nazionali di controllo in materia di protezione dei dati personali per i settori diversi da quello pubblico in tutti i Länder tedeschi, vale a dire anche nei Länder di Brema e di Amburgo, sono soggette non solo al controllo di servizio, ma anche al controllo sotto il profilo della legittimità.


6 – Si tratta, da un lato, della concezione cosiddetta «classica» o «tradizionale» basata sull’esercizio del potere esecutivo da parte dell’amministrazione gerarchizzata e, dall’altro, della concezione basata sulla decentralizzazione dell’amministrazione che conduce alla creazione di autorità amministrative indipendenti.


7 – GU L 218, pag. 30.


8 – GU L 53, pag. 1.


9 – GU L 108, pag. 33.


10 – Il Codice europeo di buona condotta è disponibile sul sito http://www.ombudsman.europa.eu/resources/code.faces.


11 – V. sentenza 10 luglio 2003, causa C‑11/00, Commissione/BCE (Racc. pag. I‑7147).


12 – V. sentenza 30 marzo 2004, causa C‑167/02, Rothley e a./Parlamento (Racc. pag. I‑3149).


13 – V. sentenza 26 giugno 2007, causa C‑305/05, Ordre des barreaux francophones et germanophone e a. (Racc. pag. I‑5305).


14 – Si tratta delle sentenze 17 settembre 1997, causa C‑54/96, Dorsch Consult (Racc. pag. I‑4961, punto 35), e 31 maggio 2005, causa C‑53/03, Syfait e a. (Racc. pag. I‑4609, punto 31).


15 – Più precisamente, si tratta delle discussioni anteriori alla riunione del gruppo «questioni economiche (protezione dei dati)» del settembre 1994.


16 – Causa 278/84 (Racc. pag. 1, punto 18).


17– V. sentenza 11 gennaio 2007, causa C‑183/05, Commissione/Irlanda (Racc. pag. I‑137, punto 39 e giurisprudenza ivi citata).