CONCLUSIONES DEL ABOGADO GENERAL

SR. JÁN MAZÁK

presentadas el 12 de noviembre de 2009 ¹(1)

Asunto C‑518/07

Comisión de las Comunidades Europeas

contra

República Federal de Alemania

«Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Sujeción de las autoridades de control nacionales a supervisión estatal – Ejercicio de las funciones con total independencia»

1.        Mediante su recurso, (2) la Comisión de las Comunidades Europeas solicita al Tribunal de Justicia que declare que la República Federal de Alemania ha incumplido la obligación de garantizar la total independencia de las autoridades de control que le incumbe en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (3) (en lo sucesivo, «autoridades de control en materia de protección de datos personales»), al someter a las autoridades encargadas de vigilar la ejecución de las disposiciones por las que se adapta el ordenamiento jurídico alemán a la referida Directiva, en virtud del Derecho de los Länder, a la tutela ejercida por el Estado en lo relativo al control de los organismos que no sean públicos.

2.        El objeto de la Directiva 95/46 es que los Estados miembros, a la vez que permiten la libre circulación de datos personales, garanticen la protección de las libertades y los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad en relación con el tratamiento de dichos datos. En otras palabras, la Directiva 95/46 tiene por objeto establecer un equilibrio entre, por una parte, la libre circulación de datos personales, que constituye uno de los elementos esenciales del funcionamiento del mercado interior y, por otra, la protección de las libertades y los derechos fundamentales de las personas físicas.

3.        Las autoridades nacionales encargadas de controlar el cumplimiento de las disposiciones nacionales adoptadas para adaptar el ordenamiento jurídico interno a la Directiva 95/46 también contribuyen al alcance del objetivo antes citado. Del sexagésimo segundo considerando de la Directiva 95/46 se desprende que el establecimiento, en los Estados miembros, de autoridades de control que ejercen su función con total independencia es un elemento esencial de la protección de las personas en lo relativo al tratamiento de datos personales. Por dicha razón, el artículo 28, apartado 1, de la Directiva 95/46, dispone:

«1.      Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.» (4)

4.        El presente recurso tiene su origen en una controversia entre la Comisión, apoyada por el Supervisor Europeo de Protección de Datos, y la República Federal de Alemania, sobre la interpretación de la expresión «con total independencia» que figura en el artículo 28, apartado 1, de la Directiva 95/46 y que guarda relación con el ejercicio de las funciones de las autoridades de control en materia de protección de datos personales.

5.        El recurso de la Comisión se basa en dos hipótesis. Según la primera, el artículo 28, apartado 1, de la Directiva 95/46, exige a los Estados miembros que sus autoridades de control en materia de protección de datos personales sean «totalmente independientes». En su réplica, la Comisión precisó que no se trata de una independencia institucional y organizativa, sino de una independencia funcional completa, lo que significa que, en la ejecución de sus funciones, las autoridades de control en materia de protección de datos personales deben estar exentas de toda influencia externa.

6.        Según la segunda hipótesis, la tutela ejercida por el Estado sobre sus autoridades de control en materia de protección de datos personales en el sector privado, cuya existencia no ha sido negada por la República Federal de Alemania quien, además, ha precisado las afirmaciones de la Comisión relativas a las diferentes formas de dicha tutela, (5) puede resultar contraria a la total independencia, en el sentido expuesto por la Comisión, de las referidas autoridades de control.

7.        La defensa de la República Federal de Alemania descansa en una interpretación diferente de la expresión «con total independencia» en relación con el ejercicio de las funciones de las autoridades de control en materia de datos personales. Considera que dicha expresión se refiere a una independencia funcional de dichas autoridades, lo que supone la independencia institucional de las mismas en materia de organización únicamente por lo que a los organismos controlados se refiere. En su dúplica añadió que la tutela ejercida por el Estado no presenta influencia externa alguna, dado que las autoridades de tutela no son servicios externos sino órganos de control internos de la administración.

8.        Si bien en el fondo del presente recurso puede adivinarse la existencia de una colisión de las dos formas de ejercer el poder ejecutivo en el seno del Estado, (6) intentaré proponer una solución partiendo, en primer lugar, del esclarecimiento del contenido de la expresión «ejercicio de las funciones con total independencia» y, en segundo lugar, de la apreciación de si las autoridades de control en materia de protección de datos personales que están sometidas a tal tutela ejercida por el Estado, como la ha descrito la Comisión, pueden efectivamente ejercer sus funciones con total independencia.

 Ejercicio de las funciones con total independencia en el sentido del artículo 28, apartado 1, de la Directiva 95/46

9.        El examen de la normativa comunitaria y de la jurisprudencia del Tribunal de Justicia, revela que la utilización del término «independencia» es frecuente, no sólo en relación con las autoridades públicas, sino también por lo que respecta a determinados grupos de personas que requieren independencia para desempeñar sus funciones dentro del sistema o subsistema social.

10.      A modo de ejemplo podemos citar el artículo 19, apartado 4, del Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) nº 339/93 (7) del Consejo, por el que se exige que las autoridades de vigilancia del mercado ejerzan sus funciones de manera independiente, o el artículo 16, apartado 1, del Reglamento (CE) nº 168/2007 del Consejo, de 15 de febrero de 2007, por el que se crea una Agencia de los Derechos Fundamentales de la Unión Europea, (8) por el que se exige que dicha agencia realice sus cometidos con total independencia, o el artículo 3, apartado 2, de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco), (9) por el que se exige que los Estados miembros garanticen la independencia de las autoridades nacionales de reglamentación.

11.      El término «independencia» aparece también en el denominado soft law. Procede citar de este modo, el artículo 8, apartado 1, del Código europeo de buena conducta, aprobado por el Parlamento Europeo el 6 de septiembre de 2001, (10) según el cual el funcionamiento es imparcial e independiente.

12.      Asimismo, el Tribunal de Justicia ya ha tenido la ocasión de examinar la independencia frente al Banco Central Europeo, (11) los miembros del Parlamento Europeo (12) o los abogados. (13)

13.      Pese al frecuente uso del término «independencia», no es fácil determinar el contenido de dicho término. Habida cuenta de que la independencia está tradicionalmente vinculada al poder judicial, existen determinados indicios relativos a dicha independencia judicial. El Supervisor Europeo de Protección de Datos también propone, en su escrito de formalización de la intervención, deducir de la jurisprudencia del Tribunal de Justicia relativa a la independencia de los órganos jurisdiccionales los criterios para apreciar si un órgano puede considerarse independiente. (14)

14.      Considero que dichos criterios no pueden utilizarse en el presente asunto. En efecto, el Tribunal de Justicia delimitó los órganos jurisdiccionales, al definirlos, frente a otras formas de poderes del Estado. En el caso de autos, nos ocupamos de las autoridades de control y nadie niega que las referidas autoridades son estructuras administrativas y que, como tales, forman parte de la esfera del poder ejecutivo. De ello resulta que la exigencia de que sus funciones se ejerzan con total independencia únicamente debe delimitarse en el marco del poder ejecutivo y no frente a otras formas de poderes del Estado.

15.      A este respecto procede señalar que el artículo 28, apartado 1, de la Directiva 95/46 no exige a los Estados miembros que establezcan autoridades separadas del sistema administrativo organizado jerárquicamente. No obstante, debe añadirse que nada se lo impide. Dado que el artículo 28, apartado 1, de la Directiva 95/46, exige a los Estados miembros que garanticen que las autoridades de control ejerzan las funciones con total independencia y no que garanticen la independencia de tales autoridades, les concede un margen de apreciación para decidir la manera en que cumplirán dicha exigencia.

16.      Tampoco ha de perderse de vista que el término «independencia» es un término relativo, por lo que procede precisar frente a quién o qué y a qué nivel debe darse dicha independencia.

17.      Es cierto que a primera vista podría pensarse que esa relatividad desaparece por el hecho de agregarse la locución «con total» al término «independencia». Sin embargo, considero que tal conclusión es errónea. Si se admitiera, significaría que el artículo 28, apartado 1, de la Directiva 95/46, al prever que las autoridades de control en materia de protección de datos personales ejerzan las funciones con total independencia, exige una independencia en todas sus dimensiones posibles, es decir, una independencia institucional, organizativa, presupuestaria, económica, funcional, decisoria o personal.

18.      Considero que no puede darse tal interpretación al artículo 28, apartado 1, de la Directiva 95/46 y que, por consiguiente, pese a la locución «con total independencia», la independencia requerida sigue siendo relativa y ha de determinarse.

19.      Durante el proceso de dicha determinación que, paralelamente, presenta un procedimiento de investigación del contenido de la exigencia del «ejercicio de las funciones con total independencia», procede basarse, en mi opinión, en la razón por la que se crearon las autoridades de control en materia de protección de datos personales.

20.      A este respecto procede señalar que dicha razón guarda estrecha relación con el objeto principal de la propia Directiva 95/46. Por consiguiente, las referidas autoridades de control constituyen uno de los medios que permiten alcanzar los objetivos que persigue la Directiva 95/46 y de ello se desprende que la independencia en el marco del ejercicio de las funciones de dichas autoridades de control puede permitirles que contribuyan al establecimiento del equilibrio entre, por un lado, la libre circulación de datos personales y, por otro, la protección de las libertades y derechos fundamentales de las personas físicas, en particular, del derecho a la intimidad.

21.      El nivel de independencia del que deben disfrutar las autoridades de control en materia de protección de datos personales para poder ejercer eficazmente sus funciones depende de la razón por la que existen dichas autoridades de control entendida en este sentido.

22.      Por lo que respecta a la cuestión de frente a quién ha de garantizarse la independencia para que las autoridades de control en materia de protección de datos personales puedan ejercer eficazmente las funciones que se les atribuyeron, no comparto la tesis de la República Federal de Alemania de que únicamente se trata de una independencia frente a los organismos controlados.

23.      Considero que las autoridades de control en materia de protección de datos personales deben ser igualmente independientes frente a otros órganos del poder ejecutivo del que forman parte, y ello a un nivel que garantice el ejercicio eficaz de sus funciones.

24.      Parece difícil, y en las circunstancias del caso de autos poco útil, definir todos los criterios necesarios para garantizar que las funciones de las autoridades públicas se ejerzan con total independencia. A efectos de decidir sobre el recurso de la Comisión, es preferible definirlos por vía negativa.

25.      Así, se plantea la cuestión de si la existencia de la tutela ejercida por el Estado es compatible con el nivel de independencia requerido en el ejercicio de las funciones de las autoridades de control en materia de protección de datos personales.

 Compatibilidad de la tutela ejercida por el Estado con la exigencia de que las autoridades de control en materia de protección de datos personales ejerzan las funciones con total independencia

26.      Tanto la Comisión como la República Federal de Alemania reconocen que el tenor del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, es el resultado de un compromiso. No obstante, ambas partes alegan que dicho tenor corrobora su argumento relativo a la extensión del ejercicio de las funciones de las autoridades de control en materia de protección de datos personales con total independencia.

27.      Por lo que respecta al argumento de la República Federal de Alemania, a saber, con ocasión de las discusiones previas a la adopción de la Directiva (15) el representante de la demandante confirmó la interpretación del artículo 28, apartado 1, de la Directiva 95/46 efectuada por la República Federal de Alemania, basta con llamar la atención sobre la sentencia de 14 de enero de 1987, Alemania/Comisión, (16) en la que el Tribunal de Justicia declaró que de ningún modo se podría interpretar una disposición de Derecho comunitario desde el punto de vista de las negociaciones entre un Estado miembro y una de las instituciones comunitarias. Esto es tanto más cierto cuanto que se considera que el intercambio entre uno de los Estados miembros y el representante de una institución comunitaria que ha redactado una propuesta de acto comunitario no puede servir de base a la interpretación de una disposición de Derecho comunitario.

28.      En el caso de autos se trata de un órgano que no es independiente desde un punto de vista institucional y que, por consiguiente, forma parte de un determinado sistema, en el presente asunto, en el del poder ejecutivo. En tal supuesto, aparece realmente una tensión entre, por una parte, la independencia del órgano y, por otra, su responsabilidad. Considero que la tutela podría presentar una de las soluciones a dicha situación.

29.      La independencia no puede confundirse con la imposibilidad de ser controlado. Considero que la tutela por el Estado constituye uno de los medios de control.

30.      Para responder a la cuestión de si la tutela ejercida por el Estado es compatible con la exigencia de que las autoridades de control en materia de protección de datos personales ejerzan las funciones con total independencia, ha de tomarse en consideración la finalidad de tal tutela. Se desprende de la presentación de la tutela hecha por la Comisión, que la referida tutela tiene por objeto examinar si el control ejercido por las autoridades de control es racional, legal y proporcionado. Desde este punto de vista, me parece que la tutela ejercida por el Estado contribuye al funcionamiento del sistema de vigilancia de la aplicación de las disposiciones adoptadas en ejecución de la Directiva 95/46. En efecto, si resultara que las autoridades de control no actúan de manera racional, legal y proporcionada, se vería amenazada la protección de los derechos de las personas físicas y, por consiguiente, el objetivo que se persigue con la Directiva 95/46.

31.      Ha de señalarse que de los autos no se desprende elemento alguno que pueda afectar al alcance del objetivo perseguido por la tutela. Además, nada indica que la tutela se ejerza de una manera que pueda afectar al ejercicio de las funciones con total independencia por parte de las autoridades de control. La Comisión no puede limitarse a hacer afirmaciones a este respecto; tiene que demostrar tales efectos de la tutela.

32.      La Comisión no ha demostrado las consecuencias negativas de la tutela para el ejercicio de las funciones con total independencia por parte de las autoridades de control. En su opinión, la existencia de la tutela ejercida por el Estado basta para concluir que las autoridades de control en materia de protección de datos personales no ejercen sus funciones con total independencia. De ello resulta que la Comisión únicamente supone que la tutela provoca perturbaciones en el ejercicio de las funciones atribuidas a las autoridades de control con total independencia.

33.      Según la jurisprudencia del Tribunal de Justicia, en el marco de un procedimiento por incumplimiento entablado con arreglo al artículo 226 CE, corresponde a la Comisión demostrar la existencia del incumplimiento alegado, sin que pueda basarse en presunción alguna. (17)

34.      Considero que la Comisión no ha cumplido las obligaciones que le incumben en materia de carga de la prueba. No ha demostrado el fallo del sistema de tutela ni la existencia de una práctica constante por parte de las autoridades de tutela consistente en un abuso de sus competencias que implique la perturbación del ejercicio con total independencia de las funciones atribuidas a las autoridades de control en materia de protección de datos personales.

35.      Por consiguiente, el mero hecho de que las autoridades de control, como las del caso de autos, estén sujetas a la tutela ejercida por el Estado, no puede ser la base para concluir que las referidas autoridades de control no ejercen sus funciones con total independencia, con arreglo a lo dispuesto en el artículo 28, apartado 1, de la Directiva 95/46.

36.      La Comisión no ha demostrado que la tutela ejercida sobre las autoridades de control en materia de protección de datos personales impida a dichas autoridades de control ejercer sus funciones con total independencia. Por consiguiente, procede desestimar su recurso.

 Costas

37.      A tenor del artículo 69, apartado 2, párrafo primero, del Reglamento de Procedimiento, la parte que pierda el proceso será condenada en costas, si así lo hubiera solicitado la otra parte. Puesto que la República Federal de Alemania ha pedido que se condene en costas a la Comisión y al haber sido desestimados los motivos formulados por esta última, considero que procede condenarla en costas.

 Conclusión

38.      Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que decida:

1)         Desestimar el recurso.

2)         Condenar en costas a la Comisión de las Comunidades Europeas.

3)         Condenar al Supervisor Europeo de Protección de Datos a cargar con sus propias costas.

1 –      Lengua original: francés.

2 –      Por lo que respecta al procedimiento administrativo previo, basta con señalar que se desarrolló de conformidad con el artículo 226 CE y que no se ha formulado ante el Tribunal de Justicia alegación alguna que cuestione la legalidad de dicha fase del procedimiento.

3 –      DO L 281, p. 31.

4 –      Otros actos de Derecho comunitario también prevén la existencia de tales autoridades. Se trata, por ejemplo, del artículo 41 del Reglamento (CE) nº 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS) (DO L 218, p. 60), o del artículo 9 de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54).

5 –      En efecto, la Comisión explicó que en los Länder de Bremen y de Hamburgo únicamente se prevé expresamente la tutela de servicio. Ahora bien, la República Federal de Alemania precisó que las autoridades nacionales de control en materia de protección de datos personales en el sector privado en todos los Länder alemanes, es decir, incluidos los Länder de Bremen y de Hamburgo, están sujetos no sólo a la tutela del servicio sino también a la tutela de la legalidad.

6 –      Se trata, por una parte, de la concepción llamada «clásica» o «tradicional», basada en el ejercicio del poder ejecutivo por parte de la administración jerárquica y, por otra, de la concepción basada en la descentralización de la administración que conduce a la creación de autoridades administrativas independientes.

7 –      DO L 218, p. 30.

8 –      DO L 53, p. 1.

9 – DO L 108, p. 33.

10 –      El Código europeo de buena conducta está disponible en el sitio internet: http://www.ombudsman.europa.eu/resources/code.faces.

11 –      Véase la sentencia de 10 de julio de 2003, Comisión/BCE (C‑11/00, Rec. p. I‑7147).

12 –      Véase la sentencia de 30 de marzo de 2004, Rothley y otros/Parlamento (C‑167/02 P, Rec. p. I‑3149).

13 –      Véase la sentencia de 26 de junio de 2007, Ordre des barreaux francophones et germanophone y otros (C‑305/05, Rec. p. I‑5305).

14 –      Se trata de las sentencias de 17 de septiembre de 1997, Dorsch Consult (C‑54/96, Rec. p. I‑4961), apartado 35, y de 31 de mayo de 2005, Syfait y otros (C‑53/03, Rec. p. I‑4609), apartado 31.

15 –      Más concretamente se trata de las discusiones previas a la reunión del grupo «cuestiones económicas (protección de datos)», de septiembre de 1994.

16 –      Asunto 278/84, Rec. p. 1, apartado 18.

17 –      Véase la sentencia de 11 de enero de 2007, Comisión/Irlanda (C‑183/05, Rec. p. I‑137), apartado 39 y jurisprudencia que se cita.