Language of document : ECLI:EU:C:2010:662

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 9 de noviembre de 2010 (*)

«Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Publicación de información sobre los beneficiarios de ayudas agrícolas – Validez de las disposiciones del Derecho de la Unión que establecen dicha publicación y determinan sus modalidades – Carta de los Derechos Fundamentales de la Unión Europea – Artículos 7 y 8 – Directiva 95/46/CE – Interpretación de los artículos 18 y 20»

En los asuntos acumulados C‑92/09 y C‑93/09,

que tienen por objeto sendas peticiones de decisión prejudicial planteadas, con arreglo al artículo 234 CE, por el Verwaltungsgericht Wiesbaden (Alemania), mediante resoluciones de 27 de febrero de 2009, recibidas en el Tribunal de Justicia el 6 de marzo de 2009, en los litigios entre

Volker und Markus Schecke GbR (C‑92/09),

Hartmut Eifert (C‑93/09)

y

Land Hessen,

en los que participa:

Bundesanstalt für Landwirtschaft und Ernährung,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, y los Sres. A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts (Ponente), J.-C. Bonichot, K. Schiemann, A. Arabadjiev y J.-J. Kasel, Presidentes de Sala, y el Sr. E. Juhász, la Sra. C. Toader y el Sr. M. Safjan, Jueces;

Abogado General: Sra. E. Sharpston;

Secretario: Sr. B. Fülöp, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 2 de febrero de 2010;

consideradas las observaciones presentadas:

–        en nombre de Volker und Markus Schecke GbR, por los Sres. R. Seimetz y P. Breyer, Rechtsanwälte, y el Sr. Schecke;

–        en nombre del Sr. Eifert, por los Sres. R. Seimetz y P. Breyer, Rechtsanwälte;

–        en nombre del Land Hessen, por el Sr. H.-G. Kamann, Rechtsanwalt;

–        en nombre del Gobierno helénico, por los Sres. V. Kontolaimos e I. Chalkias y las Sras. K. Marinou y V. Karra, en calidad de agentes;

–        en nombre del Gobierno neerlandés, por la Sra. C. Wissels y el Sr. Y. de Vries, en calidad de agentes;

–        en nombre del Gobierno sueco, por las Sras. A. Falk y C. Meyer-Seitz, en calidad de agentes;

–        en nombre del Consejo de la Unión Europea, por el Sr. E. Sitbon y la Sra. Z. Kupčová, en calidad de agentes;

–        en nombre de la Comisión Europea, por los Sres. B. Smulders y F. Erlbacher y la Sra. P. Costa de Oliveira, en calidad de agentes;

oídas las conclusiones de la Abogado General, presentadas en audiencia pública el 17 de junio de 2010;

dicta la siguiente

Sentencia

1        Las presentes peticiones de decisión prejudicial se refieren, por una parte, a la validez de los artículos 42, punto 8 ter, y 44 bis del Reglamento (CE) nº 1290/2005 del Consejo, de 21 de junio de 2005, sobre la financiación de la política agrícola común (DO L 209, p. 1), en su versión modificada por el Reglamento (CE) nº 1437/2007 del Consejo, de 26 de noviembre de 2007 (DO L 322, p. 1) (en lo sucesivo, «Reglamento nº 1290/2005»), y, por otra parte, a la validez del Reglamento (CE) nº 259/2008 de la Comisión, de 18 de marzo de 2008, por el que se establecen disposiciones de aplicación del Reglamento nº 1290/2005 en lo que se refiere a la publicación de información sobre los beneficiarios de fondos procedentes del Fondo Europeo Agrícola de Garantía (FEAGA) y del Fondo Europeo Agrícola de Desarrollo Rural (Feader) (DO L 76, p. 28), y de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54). Para el supuesto de que el Tribunal de Justicia considerase que la mencionada normativa de la Unión no es inválida, las peticiones de decisión prejudicial se refieren igualmente a la interpretación del artículo 7, del artículo 18, apartado 2, segundo guión, y del artículo 20 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).

2        Estas peticiones se han presentado en el contexto de unos litigios en los que Volker und Markus Schecke GbR, por una parte, y el Sr. Eifert, por otra (en lo sucesivo, «demandantes en los procedimientos principales») se oponen al Land Hessen (Estado Federado de Hesse) en lo que respecta a la publicación en el sitio web de la Bundesanstalt für Landwirtschaft und Ernährung (Agencia Federal de Agricultura y Alimentación; en lo sucesivo, «Bundesanstalt») de datos de carácter personal de dichos demandantes en cuanto beneficiarios de fondos procedentes del FEAGA o del Feader.

I.      Marco jurídico

A.      El Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales

3        Bajo el título «Derecho al respeto a la vida privada y familiar», el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), establece lo siguiente:

«1.      Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

2.      No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.»

B.      El Derecho de la Unión

1.      La Directiva 95/46

4        Del artículo 1, apartado 1, de la Directiva 95/46 se desprende que el objetivo de esta última consiste en garantizar la protección de las libertades y de los derechos fundamentales de las personas físicas, y en particular del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales. Según el artículo 2, letra a), de dicha Directiva, se considerarán datos personales «toda información sobre una persona física identificada o identificable».

5        Con arreglo al artículo 7 de dicha Directiva: «Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a)      el interesado ha dado su consentimiento de forma inequívoca, o

[…]

c)      es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

[…]

e)      es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, [...]

[…]»

6        Según los términos del artículo 18, apartado 1, de la Directiva 95/46, «los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artículo 28, con anterioridad a la realización de un tratamiento [...] total o parcialmente [automatizado] […]».

7        El artículo 18, apartado 2, segundo guión, de la Directiva 95/46 establece que los Estados miembros podrán disponer la simplificación o la omisión de la notificación en el siguiente caso, entre otros:

«cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular:

–        hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,

–        llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21,

garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados».

8        El artículo 19, apartado 1, de la Directiva 95/46 dispone:

«Los Estados miembros determinarán la información que debe figurar en la notificación, que será como mínimo:

a)      el nombre y la dirección del responsable del tratamiento y, en su caso, de su representante;

b)      el o los objetivos del tratamiento;

c)      una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a los que se refiere el tratamiento;

d)      los destinatarios o categorías de destinatarios a los que se pueden comunicar los datos;

e)      las transferencias de datos previstas a países terceros;

[…]»

9        El artículo 20 de la Directiva 95/46, titulado «Controles previos», establece lo siguiente en sus apartados 1 y 2:

«1.      Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

2.      Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.»

10      Con arreglo al artículo 21, apartado 2, párrafos primero y segundo, de la Directiva 95/46, «los Estados miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18 [en el que] se harán constar, como mínimo, las informaciones a las que se refieren las letras a) a e) del apartado 1 del artículo 19».

11      Según establece el artículo 28 de la Directiva 95/46, los Estados miembros dispondrán que una o más autoridades públicas (en lo sucesivo, «autoridad de control») se encarguen de vigilar, con total independencia, la aplicación en el territorio de cada Estado de las disposiciones nacionales adoptadas en aplicación de dicha Directiva.

2.      El Reglamento (CE) nº 45/2001

12      El Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p.1), dispone lo siguiente en su artículo 27, apartados 1 y 2:

«1.      Los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance u objetivos estarán sujetos a control previo por parte del Supervisor Europeo de Protección de Datos.

2.      Pueden suponer tales riesgos los siguientes tratamientos:

a)      los tratamientos de datos relativos a la salud y los tratamientos de datos relativos a sospechas, infracciones, condenas penales o medidas de seguridad;

b)      los tratamientos destinados a evaluar aspectos de la personalidad del interesado, como su competencia, rendimiento o conducta;

c)      los tratamientos que permitan interconexiones entre datos tratados para fines diferentes, que no estén previstas en virtud de la legislación nacional o comunitaria;

d)      los tratamientos destinados a excluir a personas de un derecho, una prestación o un contrato.»

3.      La Directiva 2006/24

13      La Directiva 2006/24 obliga a los Estados miembros a conservar, durante cierto tiempo, los datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones.

4.      El Reglamento nº 1290/2005

14      El Reglamento nº 1290/2005 determina las condiciones y normas específicas aplicables a la financiación de los gastos de la política agrícola común (en lo sucesivo, «PAC»).

15      El artículo 42 del Reglamento nº 1290/2005 dispone que la Comisión aprobará las disposiciones de aplicación de dicho Reglamento. Según el artículo 42, punto 8 ter, de dicho Reglamento, la Comisión adoptará así, entre otras,

«disposiciones detalladas sobre la publicación de la información relativa a los beneficiarios prevista en el artículo 44 bis y sobre los aspectos prácticos relacionados con la protección de los particulares en lo que atañe al tratamiento de sus datos personales con arreglo a los principios establecidos en la legislación comunitaria sobre protección de datos. Estas disposiciones garantizarán, en particular, que se informe a los beneficiarios de los fondos de que estos datos podrán hacerse públicos y podrán ser procesados por organismos de control y de investigación con el fin de salvaguardar los intereses financieros de las Comunidades, incluido el momento en que se produzca esta información».

16      El artículo 44 bis del Reglamento nº 1290/2005, titulado «Publicación de los beneficiarios», dispone:

«[…] los Estados miembros garantizarán la publicación anual a posteriori de los beneficiarios del FEAGA y del Feader y de los importes recibidos por beneficiario con cargo a cada uno de estos fondos.

La publicación incluirá como mínimo:

a)      en el caso del FEAGA, el importe subdividido en pagos directos, en el sentido del artículo 2, letra d), del Reglamento (CE) nº 1782/2003, y otros gastos;

b)      en el caso del Feader, el importe total de la financiación pública por beneficiario.»

17      A este respecto, los considerandos decimotercero y decimocuarto del Reglamento nº 1437/2007, por el que se modifica el Reglamento nº 1290/2005, están redactados como sigue:

«(13) En el contexto de la revisión del Reglamento (CE, Euratom) nº 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas [DO L 248, p. 1], las disposiciones relativas a la publicación anual a posteriori de la lista de los beneficiarios de fondos procedentes del presupuesto, se han incluido en dicho Reglamento para la aplicación de la iniciativa europea en materia de transparencia. Los reglamentos sectoriales deben proporcionar los medios adecuados para tal publicación. Tanto el FEAGA como el Feader forman parte del presupuesto general de las Comunidades Europeas y financian los gastos en un contexto de gestión compartida entre los Estados miembros y la Comunidad. Por lo tanto, deben establecerse las normas para la publicación de la información relativa a los beneficiarios de tales fondos. A tal fin, los Estados miembros deben garantizar la publicación anual a posteriori de la lista de beneficiarios y de las cantidades recibidas por cada uno de ellos en virtud de cada uno de estos fondos.

(14)      Posibilitar el acceso del público a esta información aumenta la transparencia del uso de los fondos comunitarios en la [PAC] y mejora la gestión financiera de estos fondos, en especial mediante el refuerzo del control público del dinero utilizado. Habida cuenta de la gran importancia de los objetivos perseguidos, está justificado, en virtud del principio de proporcionalidad y de los requisitos de protección de datos de carácter personal, prever la publicación general de la información pertinente ya que esta medida no rebasa los límites de lo necesario en una sociedad democrática para la prevención de irregularidades. Teniendo en cuenta el dictamen del Supervisor Europeo de Protección de Datos del 10 de abril de 2007 [DO C 134, p. 1], conviene prever que se informe a los beneficiarios de los fondos de que estos datos podrán hacerse públicos y podrán ser procesados por organismos de control y de investigación.»

5.      El Reglamento nº 259/2008

18      La Comisión adoptó el Reglamento nº 259/2008 en base a lo dispuesto en el artículo 42, punto 8 ter, del Reglamento nº 1290/2005.

19      El sexto considerando de dicho Reglamento está redactado así:

«Poner [la] información [relativa a los beneficiarios de fondos procedentes del FEAGA y del Feader] al alcance del público aumenta la transparencia sobre la utilización de los fondos comunitarios para la [PAC] y mejora la correcta gestión financiera de estos, en particular intensificando el control público del dinero empleado. Dada la importancia primordial de los objetivos que se persiguen está justificado, con respecto al principio de proporcionalidad y a la exigencia de protección de los datos personales, disponer la publicación general de la información pertinente sin rebasar los límites de lo necesario en una sociedad democrática y prevenir irregularidades.»

20      En el séptimo considerando de este mismo Reglamento se especifica que «con el fin de cumplir los requisitos sobre la protección de datos, los beneficiarios de los Fondos deben ser informados de la publicación de sus datos antes de que se publiquen».

21      El artículo 1, apartado 1, del Reglamento nº 259/2008 precisa el contenido de la publicación mencionada en el artículo 44 bis del Reglamento nº 1290/2005, disponiendo que incluirá la siguiente información:

«a)      el nombre y los apellidos de los beneficiarios, en caso de que estos sean personas físicas;

b)      la razón social completa registrada de los beneficiarios, en caso de que estos sean personas jurídicas;

c)      el nombre completo de la asociación registrado o reconocido oficialmente de otro modo, en caso de que los beneficiarios sean asociaciones de personas físicas o jurídicas sin personalidad jurídica propia;

d)      el municipio en el que reside o está registrado el beneficiario y, si está disponible, el código postal o la parte de éste que identifique al municipio;

e)      en el caso del [FEAGA], el importe de los pagos directos, según se definen en el artículo 2, letra d), del Reglamento (CE) nº 1782/2003, recibidos por cada beneficiario durante el ejercicio financiero correspondiente;

f)      en el caso del FEAGA, el importe de los pagos distintos de los mencionados en la letra e) recibidos por cada beneficiario durante el ejercicio financiero correspondiente;

g)      en el caso del [Feader], el importe total de la financiación pública recibida por cada beneficiario durante el ejercicio financiero correspondiente, lo que incluye tanto la contribución comunitaria como la nacional;

h)      la suma de los importes a que se refieren las letras e), f) y g) recibidos por cada beneficiario durante el ejercicio financiero correspondiente;

i)      la moneda de estos importes.»

22      Según los términos del artículo 2 del Reglamento nº 259/2008, «la información mencionada en el artículo 1 deberá figurar en el sitio web único de cada Estado miembro y los usuarios podrán consultarla a través de una función de búsqueda que les permita buscar los beneficiarios por nombres, municipios e importes recibidos mencionados en el artículo 1, letras e), f), g) y h), o una combinación de estos datos, y extraer toda la información correspondiente a través de una única serie de datos».

23      El artículo 3, apartado 3, de dicho Reglamento precisa que «la información se podrá consultar en el sitio web durante dos años a partir de la fecha de su publicación inicial».

24      El artículo 4 del Reglamento nº 259/2008 dispone:

«1.      Los Estados miembros informarán a los beneficiarios de que sus datos se publicarán con arreglo al Reglamento (CE) nº 1290/2005 y al presente Reglamento y podrán ser tratados por organismos de auditoría e investigación de las Comunidades y de los Estados miembros, para salvaguardar los intereses financieros de las Comunidades.

2.      En el caso de los datos de carácter personal, la información mencionada en el apartado 1 se facilitará de conformidad con los requisitos establecidos en la Directiva 95/46/CE y los beneficiarios serán informados de sus derechos en cuanto interesados, con arreglo a dicha Directiva, y de los procedimientos aplicables al ejercicio de sus derechos.

3.      La información a que refieren los apartados 1 y 2 se facilitará a los beneficiarios mediante su inclusión en los impresos de solicitud de los fondos procedentes del FEAGA y del Feader, o en el momento en que se recopilen los datos.

[…]»

II.    Litigios principales y cuestiones prejudiciales

25      Los demandantes en los procedimientos principales son, respectivamente, una empresa agrícola con forma jurídica de sociedad civil establecida en el Land Hessen (asunto C‑92/09) y un agricultor a tiempo completo residente en dicho Land (asunto C‑93/09). Ambos presentaron ante la autoridad local competente unas solicitudes de fondos procedentes del FEAGA o del Feader correspondientes al ejercicio de 2008, que fueron estimadas mediante resoluciones de 5 de diciembre (asunto C‑93/09) y de 31 de diciembre de 2008 (asunto C‑92/09).

26      En ambos casos, el formulario de solicitud contenía la siguiente fórmula:

«Reconozco haber sido informado de que el artículo 44 bis del Reglamento (CE) nº 1290/2005 obliga a publicar los datos de los beneficiarios [de fondos procedentes] del FEAGA y del Feader y los importes recibidos por cada beneficiario. La publicación se referirá a todas las medidas solicitadas en la solicitud común, que constituye la solicitud única contemplada en el artículo 11 del Reglamento (CE) nº 796/2004, y tendrá lugar anualmente, antes del 31 de marzo del año siguiente.»

27      El órgano jurisdiccional remitente explica que el sitio web de la Bundesanstalt pone a disposición del público los nombres de los beneficiarios de ayudas del FEAGA y del Feader, la localidad en la que están establecidos o en la que residen y el código postal de dicha localidad, así como los importes anuales percibidos. Dicho sitio web dispone de una función de búsqueda.

28      El 26 de septiembre (asunto C‑92/09) y el 18 de diciembre de 2008 (asunto C‑93/09), los demandantes en los procedimientos principales presentaron sendos recursos destinados a impedir la publicación de los datos que les concernían, alegando que no existen intereses públicos preponderantes que justifiquen la publicación de los importes percibidos del FEAGA o del Feader. Por otra parte sostienen que la normativa aplicable al Fondo Social Europeo no contempla la designación nominal de los beneficiarios. En sus recursos solicitan que se ordene al Land Hessen que no publique ni trasmita tales datos a efectos de una publicación general de información sobre los recursos económicos procedentes del FEAGA y del Feader que se les han concedido.

29      El Land Hessen, que considera que la obligación de publicar los datos concernientes a los demandantes en los procedimientos principales se deriva de los Reglamentos nos 1290/2005 y 259/2008, se ha comprometido no obstante a no publicar los importes percibidos por dichos demandantes como beneficiarios de ayudas del FEAGA o del Feader antes de que se haya dictado una resolución definitiva en los procedimientos principales.

30      El órgano jurisdiccional remitente estima que la obligación de publicación establecida en el artículo 44 bis del Reglamento nº 1290/2005 constituye una lesión injustificada del derecho fundamental a la protección de los datos personales. Considera que esta disposición, que persigue el objetivo de aumentar la transparencia sobre la utilización de los fondos europeos, no mejora la prevención de las irregularidades, pues existen mecanismos de control de considerable amplitud a esos efectos. Basándose en la sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989), el órgano jurisdiccional remitente opina que, en cualquier caso, tal obligación de publicación no es proporcionada al objetivo perseguido. Por otra parte, según dicho órgano jurisdiccional, el artículo 42, punto 8 ter, del Reglamento nº 1290/2005 otorgar un margen de apreciación excesivamente amplio a la Comisión tanto en lo que respecta a la determinación de los datos que deben publicarse como al medio elegido para publicarlos, por lo que resulta incompatible con los artículos 202 CE, tercer guión, y 211 CE, cuarto guión.

31      Independientemente de la cuestión de la validez de los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005, el órgano jurisdiccional remitente considera que el Reglamento nº 259/2008, que obliga a publicar exclusivamente en Internet la información relativa a los beneficiarios de ayudas del FEAGA y del Feader, viola el derecho fundamental a la protección de los datos personales. Subraya así que este último Reglamento no obliga a reservar el acceso al sitio web de que se trata a las direcciones del «Protocolo Internet» (en lo sucesivo, «direcciones IP») localizadas en el territorio de la Unión Europea. Por lo demás, resulta imposible retirar los datos de Internet tras la expiración del plazo de dos años establecido en el artículo 3, apartado 3, del Reglamento nº 259/2008. Según este órgano jurisdiccional, el hecho de publicar los datos exclusivamente en Internet tiene, además, efectos disuasorios. Así, por una parte, los ciudadanos que deseen informarse deben disponer de acceso a Internet. Por otra parte, esos ciudadanos se exponen al riesgo de que sus datos queden almacenados con arreglo a la Directiva 2006/24. A su juicio, resulta paradójico reforzar el control sobre las telecomunicaciones, por una parte, y, por otra parte, disponer que la información destinada a permitir que los ciudadanos participen en los asuntos públicos sólo sea accesible por vía electrónica.

32      Para el supuesto de que Tribunal de Justicia considerase que las disposiciones citadas en los apartados 30 y 31 de la presente sentencia no son inválidas, el órgano jurisdiccional remitente solicita además una interpretación de diversas disposiciones de la Directiva 95/46. Dicho órgano jurisdiccional considera que sólo cabe publicar datos personales si se han adoptado las medidas previstas en el artículo 18, apartado 2, segundo guión, de esa Directiva. Según la información aportada por el órgano jurisdiccional nacional, el legislador alemán, en particular el del Land Hessen, ha hecho uso de la posibilidad ofrecida por tal disposición. No obstante, según este mismo órgano jurisdiccional, la notificación al encargado de la protección de los datos personales efectuada por el Ministerio de Medio Ambiente, Espacio Rural y Protección de los Consumidores del Land Hessen ha sido incompleta. Indica así que existen, en efecto, ciertas informaciones que no han sido comunicadas a dicho encargado, tales como el hecho de que el tratamiento de los datos lo realiza la Bundesanstalt por cuenta de ese Land y, en su caso, con ayuda de una empresa privada, informaciones concretas sobre los plazos de supresión y sobre el proveedor de acceso a Internet y datos sobre el registro de las direcciones IP.

33      Por otra parte, el órgano jurisdiccional remitente considera que antes de publicar la información relativa a los beneficiarios de las ayudas agrícolas hubiera debido procederse al control previo establecido en el artículo 20 de la Directiva 95/46. Ahora bien, según dicho órgano jurisdiccional, en el presente caso el control previo fue efectuado, no por una autoridad de control central, sino por el encargado de la protección de datos de la empresa o del órgano administrativo responsable, y basándose en notificaciones incompletas.

34      Por último, el órgano jurisdiccional remitente plantea la cuestión de si, con arreglo al artículo 7, letra e), de la Directiva 95/46, cabe considerar lícito el registro de las direcciones IP de los usuarios que consulten, en el sitio web de la Bundesanstalt, la información relativa a los beneficiarios de ayudas del FEAGA y del Feader.

35      Dadas estas circunstancias, el Verwaltungsgericht Wiesbaden decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales, redactadas de idéntico modo en los asuntos C‑92/09 y C‑93/09:

«1)      ¿Son inválidos el artículo 42, punto 8 ter, y el artículo 44 bis del Reglamento (CE) nº 1290/2005 [...], insertados por el Reglamento (CE) nº 1437/2007 […]?

2)      ¿El Reglamento (CE) nº 259/2008 […]

a)      es inválido,

b)      o únicamente válido por ser inválida la Directiva 2006/24 […]?

En caso de ser válidas las disposiciones indicadas en la cuestión primera y segunda:

3)      ¿El artículo 18, apartado 2, segundo guión, de la Directiva 95/46 […] debe ser interpretado en el sentido de que la publicación con arreglo al Reglamento (CE) nº 259/2008 […] solamente puede efectuarse cuando se haya seguido el procedimiento, previsto en ese artículo, que sustituye a la notificación a la autoridad de control?

4)      ¿El artículo 20 de la Directiva 95/46 […] debe ser interpretado en el sentido de que la publicación con arreglo al Reglamento (CE) nº 259/2008 […] solamente puede efectuarse cuando se haya realizado el control previo previsto por el Derecho nacional para este supuesto?

5)      En caso de respuesta afirmativa a la cuarta pregunta: ¿El artículo 20 de la Directiva 95/46 […] debe ser interpretado en el sentido de que no se ha realizado un control previo efectivo si se ha practicado basándose en un registro, establecido conforme al artículo 18, apartado 2, segundo guión, de esa Directiva, que omite información preceptiva?

6)      ¿El artículo 7, y en este asunto especialmente la letra e), de la Directiva 95/46 […] debe ser interpretado en el sentido de que se opone a la práctica de almacenar las direcciones IP de los usuarios de un sitio web sin su expreso consentimiento?»

36      Mediante auto del Presidente del Tribunal de Justicia de 4 de mayo de 2009 se ordenó acumular los asuntos C‑92/09 y C‑93/09 a efectos de las fases escrita y oral y de la sentencia.

III. Sobre las cuestiones prejudiciales

37      Las resoluciones de remisión contienen, por una parte, cuestiones relativas a la validez de los Reglamentos nos 1290/2005 y 259/2008, a saber, las cuestiones primera y segunda, y, por otra parte, cuestiones relativas a la interpretación de la Directiva 95/46, a saber, las cuestiones tercera a sexta. Antes de entrar a examinar el fondo del asunto, procede analizar la admisibilidad de la segunda parte de la segunda cuestión y de la sexta cuestión.

A.      Sobre la admisibilidad

38      En la segunda parte de su segunda cuestión y en su sexta cuestión, el órgano jurisdiccional remitente pregunta al Tribunal de Justicia, respectivamente, sobre la validez de la Directiva 2006/24 y sobre la interpretación del artículo 7, letra e), de la Directiva 95/46, a fin de poder apreciar si es legal la conservación de ciertos datos de los usuarios de los sitios web prevista en la normativa de la Unión y en la normativa alemana.

39      A este respecto procede recordar, en primer lugar, que si bien el órgano judicial nacional es el único competente, habida cuenta del reparto de competencias en el marco del procedimiento prejudicial, para definir el objeto de las cuestiones que desea plantear al Tribunal de Justicia, este último ha declarado que, en casos excepcionales, le corresponde examinar las circunstancias en las que el juez nacional se dirige a él, con objeto de verificar su propia competencia (sentencia de 1 de octubre de 2009, Woningstichting Sint Servatius, C‑567/07, Rec. p. I‑9021, apartado 42).

40      Así ocurre, entre otros casos, cuando el problema planteado al Tribunal de Justicia es de naturaleza puramente hipotética o cuando la interpretación de una norma comunitaria solicitada por el órgano jurisdiccional nacional no tiene relación alguna con la realidad o con el objeto del litigio principal (véanse, en este sentido, las sentencias de 15 de diciembre de 1995, Bosman, C‑415/93, Rec. p. I‑4921, apartado 61; de 15 de junio de 2006, Acereda Herrera, C‑466/04, Rec. p. I‑5341, apartado 48; de 31 de enero de 2008, Centro Europa 7, C‑380/05, Rec. p. I‑349, apartado 53, y Woningstichting Sint Servatius, antes citada, apartado 43).

41      Las resoluciones de remisión muestran claramente que los demandantes en los procedimientos principales han interpuesto recurso ante el órgano jurisdiccional remitente contra la publicación, en virtud de los Reglamentos nos 1290/2005 y 259/2008, de datos que les concernían. En sus recursos, ambos solicitan que se ordene al Land Hessen que no publique ni trasmita información sobre las ayudas que percibieron del FEAGA y del Feader.

42      La segunda parte de la segunda cuestión y la sexta cuestión no guardan relación con el objeto de los litigios principales. En efecto, dichas cuestiones se refieren, no a la publicación de los datos relativos a los beneficiarios de ayudas de dichos Fondos, como los demandantes de los procedimientos principales, sino a la conservación de los datos relativos a las personas que consultan los sitios web. Dado que el examen de la segunda parte de la segunda cuestión y de la sexta cuestión no tiene, pues, utilidad alguna para la solución de los litigios principales, no procede responder a tales cuestiones.

B.      Sobre el fondo

1.      Primera cuestión y primera parte de la segunda cuestión

a)      Observaciones preliminares

43      En su primera cuestión y en la primera parte de su segunda cuestión, el órgano jurisdiccional remitente pide al Tribunal de Justicia que examine, por una parte, la validez del artículo 44 bis del Reglamento nº 1290/2005 y del Reglamento nº 259/2008, por el que se establecen disposiciones de aplicación de la obligación de publicación establecida en dicho artículo 44 bis, y, por otra parte, la validez del artículo 42, punto 8 ter, del Reglamento nº 1290/2005, disposición que constituye el fundamento jurídico del Reglamento nº 259/2008.

44      El órgano jurisdiccional remitente considera que la obligación de publicar los datos relativos a los beneficiarios de ayudas del FEAGA y del Feader, establecida en las disposiciones citadas en el apartado anterior, constituye una lesión injustificada del derecho fundamental a la protección de los datos de carácter personal, e invoca principalmente a este respecto el artículo 8 del CEDH.

45      Procede recordar que, con arreglo a lo dispuesto en el artículo 6 TUE, apartado 1, la Unión reconoce los derechos, libertades y principios enunciados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), «la cual tendrá el mismo valor jurídico que los Tratados».

46      Por consiguiente, la validez de los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y del Reglamento nº 259/2008 debe apreciarse con arreglo a lo dispuesto en la Carta.

47      A este respecto es preciso señalar que el artículo 8, apartado 1, de la Carta dispone que «toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan». Este derecho fundamental se halla íntimamente ligado al derecho al respeto de la vida privada, consagrado en el artículo 7 de dicha Carta.

48      Sin embargo, el derecho a la protección de los datos de carácter personal no constituye una prerrogativa absoluta, sino que debe ser considerado en relación con su función en la sociedad (véase en este sentido la sentencia de 12 de junio de 2003, Schmidberger, C‑112/00, Rec. p. I‑5659, apartado 80 y jurisprudencia citada).

49      El artículo 8, apartado 2, de la Carta autoriza así el tratamiento de los datos de carácter personal si concurren ciertos requisitos. Dicha disposición establece a este respecto que los datos de carácter personal «se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley».

50      Por otra parte, el artículo 52, apartado 1, de la Carta reconoce que pueden introducirse limitaciones al ejercicio de derechos como los consagrados de los artículos 7 y 8 de la misma, siempre que tales limitaciones estén establecidas por la ley, respeten el contenido esencial de dichos derechos y libertades y, respetando el principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

51      Por último, el artículo 52, apartado 3, de la Carta precisa que, en la medida en que esta última contenga derechos que correspondan a derechos garantizados por el CEDH, su sentido y alcance serán iguales a los que les confiere dicho Convenio. El artículo 53 de la Carta añade a estos efectos que ninguna de las disposiciones de dicha Carta podrá interpretarse como limitativa o lesiva de los derechos reconocidos, en particular, por el CEDH.

52      En consecuencia, procede considerar, por una parte, que el respeto del derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal, reconocido por los artículos 7 y 8 de la Carta, se aplica a toda información sobre una persona física identificada o identificable (véase, en particular, TEDH, sentencias Amann c. Suiza de 16 de febrero de 2000, Recueil des arrêts et décisions 2000-II, § 65, y Rotaru c. Rumanía de 4 de mayo de 2000, Recueil des arrêts et décisions 2000-V, § 43) y, por otra parte, que las limitaciones al derecho a la protección de los datos de carácter personal que pueden establecerse legítimamente corresponden a las toleradas en el contexto del artículo 8 del CEDH.

b)      Sobre la validez del artículo 44 bis del Reglamento nº 1290/2005 y del Reglamento nº 259/2008

53      En primer lugar procede recordar que, en la publicación exigida por el artículo 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008, que desarrolla dicho artículo, se identifica por su nombre a todos los beneficiarios de ayudas del FEAGA y del Feader, entre los que figuran tanto personas físicas como jurídicas. Ahora bien, habida cuenta de lo expuesto en el apartado 52 de la presente sentencia, las personas jurídicas sólo pueden acogerse a la protección de los artículos 7 y 8 de la Carta frente a dicha identificación en la medida en que en la razón social de la persona jurídica se identifique a una o varias personas físicas.

54      Éste es el caso de la demandante en el procedimiento principal en el asunto C‑92/09. En efecto, en la razón social de dicha sociedad se identifica directamente a unas personas físicas que son socios de la misma.

55      En segundo lugar procede verificar si, en lo que respecta a los beneficiarios de ayudas del FEAGA y del Feader que sean personas físicas identificadas o identificables (en lo sucesivo, «beneficiarios afectados»), el artículo 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008 lesionan los derechos que les reconocen los artículos 7 y 8 de la Carta y, en su caso, si dicha lesión está justificada con arreglo al artículo 52 de dicha Carta.

i)      Sobre la existencia de una lesión a los derechos reconocidos en los artículos 7 y 8 de la Carta

56      El artículo 44 bis del Reglamento nº 1290/2005 obliga a los Estados miembros a garantizar la publicación anual a posteriori de los nombres de los beneficiarios de ayudas del FEAGA y del Feader y de los importes percibidos por cada beneficiario con cargo a cada uno de estos Fondos. El decimocuarto considerando del Reglamento nº 1437/2007, por el que se modifica el Reglamento nº 1290/2005, indica que dicha información debe ser objeto de una «publicación general».

57      El Reglamento nº 259/2008 precisa el contenido de dicha publicación en su artículo 1, apartado 1, letra d), disponiendo que, además de los datos mencionados en el apartado anterior y de otros datos sobre las ayudas recibidas, deberán publicarse «el municipio en el que reside o está registrado el beneficiario y, si está disponible, el código postal o la parte de este que identifique al municipio». El artículo 2 de este mismo Reglamento dispone que la información deberá figurar en el sitio web único por Estado miembro y podrá consultarse a través de una función de búsqueda.

58      No se discute que los importes que los beneficiarios afectados reciben del FEAGA y del Feader representan con frecuencia una parte considerable de sus ingresos. La publicación en un sitio web de los datos nominales de dichos beneficiarios y de los importes específicos percibidos por ellos constituye una injerencia en su vida privada a efectos del artículo 7 de la Carta, ya que tales datos resultan así accesibles a terceros (véase en este sentido la sentencia Österreichischer Rundfunk y otros, antes citada, apartados 73 y 74).

59      A este respecto es irrelevante el hecho de que los datos publicados se refieran a actividades profesionales (véase la sentencia Österreichischer Rundfunk y otros, antes citada, apartados 73 y 74). El Tribunal Europeo de Derechos Humanos ha declarado a este respecto que los términos «vida privada» no debían interpretarse restrictivamente y que «ninguna razón de principio permite excluir las actividades profesionales [...] del concepto de “vida privada”» (véase, en particular, TEDH, sentencias antes citadas Amann c. Suiza, § 65, y Rotaru c. Rumanía, § 43).

60      Por otra parte, la publicación de ciertos datos exigida por el artículo 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008 constituye un tratamiento de datos de carácter personal al que se aplica el artículo 8, apartado 2, de la Carta.

61      El Land Hessen niega sin embargo la propia existencia de una injerencia en la vida privada de los demandantes en los procedimientos principales, alegando que éstos habían sido informados, en sus formularios de solicitud de ayudas, de la publicación obligatoria de los datos que les concernían y que al presentar sus solicitudes habían dado su consentimiento para dicha publicación, conforme a lo dispuesto en el artículo 8, apartado 2, de la Carta.

62      A este respecto procede hacer constar que el artículo 42, punto 8 ter, del Reglamento nº 1290/2005 se limita a prescribir que «se informe a los beneficiarios de los fondos de que estos datos [los datos que les conciernen, a saber, sus nombres y los importes recibidos de cada Fondo] podrán hacerse públicos». El artículo 4, apartado 1, del Reglamento nº 259/2008 contiene una disposición similar, en la que se establece que «los Estados miembros informarán a los beneficiarios de que sus datos se publicarán».

63      La normativa de la Unión controvertida, que se limita a disponer que se informará previamente a los beneficiarios de las ayudas de que sus datos serán publicados, no pretende, pues, basar el tratamiento de los datos personales regulado por ella en el consentimiento de los beneficiarios afectados. Por otra parte, procede hacer constar que, en los asuntos de que se trata, los demandantes se limitaron a reconocer, en sus formularios de solicitud de ayudas, «haber sido informado[s] de que el artículo 44 bis del Reglamento (CE) nº 1290/2005 obliga a publicar los datos de los beneficiarios [de fondos procedentes] del FEAGA y del Feader».

64      Dado que, por una parte, la publicación de los datos nominales de los beneficiarios afectados y de los importes específicos procedentes del FEAGA y del Feader percibidos por ellos lesiona los derechos reconocidos a estos beneficiarios por los artículos 7 y 8 de la Carta y, por otra parte, tal tratamiento de datos de carácter personal no se basa en el consentimiento de tales beneficiarios, es preciso examinar si la lesión de estos derechos está justificada con arreglo al artículo 52, apartado 1, de la Carta.

ii)    Sobre la justificación de la lesión a los derechos reconocidos por los artículos 7 y 8 de la Carta

65      Procede recordar que el artículo 52, apartado 1, de la Carta reconoce que pueden introducirse limitaciones al ejercicio de derechos como los consagrados de los artículos 7 y 8 de la misma, siempre que tales limitaciones estén establecidas por la ley, respeten el contenido esencial de dichos derechos y libertades y, respetando el principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

66      En primer lugar, es pacífico que la injerencia resultante de la publicación en un sitio web de los datos nominales de los beneficiarios afectados debe considerarse una injerencia «establecida por la ley» en el sentido del artículo 52, apartado 1, de la Carta. En efecto, los artículos 1, apartado 1, y 2 del Reglamento nº 259/2008 exigen expresamente tal publicación.

67      En segundo lugar, en cuanto a la cuestión de si dicha injerencia responde a un objetivo de interés general reconocido por la Unión, en el sentido del artículo 52, apartado 1, de la Carta, se deduce del decimocuarto considerando del Reglamento nº 1437/2007, por el que se modifica el Reglamento nº 1290/2005, y del sexto considerando del Reglamento nº 259/2008 que la publicación de los nombres de los beneficiarios de las ayudas del FEAGA y del Feader y de los importes que perciben de dichos Fondo persigue el objetivo de «aumenta[r] la transparencia sobre la utilización de los fondos comunitarios para la [PAC] y mejora[r] la correcta gestión financiera de estos, en particular intensificando el control público del dinero empleado».

68      Procede recordar que el principio de transparencia se recoge en los artículos 1 TUE y 10 TUE y en el artículo 15 TFUE, y permite garantizar una mayor participación de los ciudadanos en el proceso de toma de decisiones, así como una mayor legitimidad, eficacia y responsabilidad de la Administración para con los ciudadanos en un sistema democrático (véanse las sentencias de 6 de marzo de 2003, Interporc/Comisión, C‑41/00 P, Rec. p. I‑2125, apartado 39, y de 29 de junio de 2010, Comisión/Bavarian Lager, C‑28/08 P, Rec. p. I‑0000, apartado 54).

69      Pues bien, al reforzar el control público sobre la utilización de los importes abonados por el FEAGA y el Feader, la publicación exigida por las disposiciones cuya validez es objeto de controversia contribuye a que la Administración utilice apropiadamente los fondos públicos (véase en este sentido la sentencia Österreichischer Rundfunk y otros, antes citada, apartado 81).

70      Por otra parte, esa publicación de datos relativos a la utilización de los importes abonados por los Fondos agrícolas de que se trata permitirá que los ciudadanos participen más activamente en el debate público suscitado por las decisiones relativas a las orientaciones de la PAC.

71      Por lo tanto, al tratar de aumentar la transparencia en la utilización de los fondos de la PAC, el artículo 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008 persiguen un objetivo de interés general reconocido por la Unión.

72      En tercer lugar, es preciso verificar igualmente si la limitación de los derechos consagrados por los artículos 7 y 8 de la Carta es proporcionada a la finalidad legítima perseguida (véanse, en particular, TEDH, sentencia Gillow c. Reino Unido de 24 de noviembre de 1986, serie A nº 109, § 55, y la sentencia Österreichischer Rundfunk y otros, antes citada, apartado 83).

73      A estos efectos, los demandantes en los procedimientos principales alegan que los datos cuya publicación exigen el artículo 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008 permiten que terceros efectúen deducciones sobre sus ingresos. Explican que estas ayudas representan entre un 30 % y un 70 % de los ingresos totales de los beneficiarios afectados. A su juicio, los intereses legítimos del público quedarían satisfechos con la publicación de datos estadísticos anónimos.

74      Según reiterada jurisprudencia, el principio de proporcionalidad, que forma parte de los principios generales del Derecho de la Unión, exige que los medios empleados por un acto de la Unión permitan alcanzar el objetivo que éste persigue y no vayan más allá de lo que es necesario para alcanzarlo (sentencia de 8 de junio de 2010, Vodafone y otros, C‑58/08, Rec. p. I‑0000, apartado 51 y jurisprudencia citada).

75      No se discute que la publicación en Internet de los datos nominales de los beneficiarios afectados y de los importes específicos procedentes del FEAGA y del Feader percibidos por ellos permite aumentar la transparencia en lo que respecta a la utilización de tales ayudas agrícolas. Poner a disposición del público esa información refuerza el control público sobre la utilización de las cantidades de que se trata y contribuye a la utilización óptima de los fondos públicos.

76      Por lo que se refiere a la cuestión de si dicha medida es necesaria, procede recordar que no cabe intentar alcanzar el objetivo perseguido con la publicación de los datos de que se trata sin tener en cuenta que dicho objetivo ha de conciliarse con los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta (véase en este sentido la sentencia de 16 de diciembre de 2008, Satakunnan Markkinapörssi y Satamedia, C‑73/07, Rec. p. I‑9831, apartado 53).

77      Así pues, es preciso verificar si el Consejo de la Unión Europea y la Comisión ponderaron equilibradamente, por un lado, el interés de la Unión en garantizar la transparencia de su actuación y la utilización óptima de los fondos públicos y, por otro, la lesión del derecho de los beneficiarios afectados al respeto de su vida privada, en general, y a la protección de sus datos de carácter personal, en particular. A este respecto, el Tribunal de Justicia ha declarado ya que las excepciones a la protección de los datos de carácter personal y las limitaciones de dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario (sentencia Satakunnan Markkinapörssi y Satamedia, antes citada, apartado 56).

78      Los Estados miembros que han presentado observaciones escritas ante el Tribunal de Justicia, el Consejo y la Comisión alegan que el objetivo perseguido por el artículo 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008 al obligar a publicar ciertos datos no podía alcanzarse con medidas menos lesivas para el derecho de los beneficiarios afectados al respeto de su vida privada, en general, y a la protección de sus datos de carácter personal, en particular. A su juicio, si únicamente se ofreciera información sobre los beneficiarios afectados que perciben ayudas superiores a un límite mínimo, los contribuyentes no obtendrían una imagen fiel de la PAC, ya que se crearía la impresión de que sólo existen «grandes» beneficiarios de las ayudas de los Fondos agrícolas de que se trata, a pesar de que los «pequeños» beneficiarios son muy numerosos. Publicar únicamente los datos de las personas jurídicas tampoco sería satisfactorio, en su opinión. La Comisión alega a este respecto que algunos de los mayores beneficiarios de las ayudas agrícolas son personas físicas.

79      Si bien es cierto que, en una sociedad democrática, los contribuyentes tienen derecho a ser informados de la utilización de los fondos públicos (sentencia Österreichischer Rundfunk y otros, antes citada, apartado 85), no es menos cierto que para ponderar equilibradamente los diversos intereses en conflicto se requería que, antes de adoptar las disposiciones cuya validez es objeto de controversia, las instituciones competentes verificasen si la publicación, en un sitio web único por Estado miembro y de consulta libre, de los datos nominales de todos los beneficiarios afectados y de los importes específicos procedentes del FEAGA y del Feader percibidos por cada uno de ellos –y ello sin establecer diferencias en función de la duración de las ayudas percibidas, de su frecuencia, o del tipo o magnitud de las mismas– no iba más allá de lo necesario para alcanzar los objetivos legítimos perseguidos, en especial habida cuenta de que tal publicación lesionaba los derechos reconocidos por los artículos 7 y 8 de la Carta.

80      Pues bien, por lo que respecta a las personas físicas beneficiarias de ayudas del FEAGA y del Feader, no parece que el Consejo y la Comisión hayan intentado ponderar equilibradamente, por un lado, el interés de la Unión en garantizar la transparencia de su actuación y la utilización óptima de los fondos públicos y, por otro, los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.

81      En efecto, nada indica que, al adoptar el artículo 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008, el Consejo y la Comisión hayan tomado en consideración otras formas de publicación de la información relativa a los beneficiarios afectados que respetasen el objetivo perseguido por dicha publicación y, al mismo tiempo, fueran menos lesivas para el derecho de tales beneficiarios al respeto de su vida privada, en general, y a la protección de sus datos de carácter personal, en particular, tales como la limitación de la publicación de los datos nominales de dichos beneficiarios en función de los períodos durante los cuales hubieran percibido ayudas, de la frecuencia de éstas o, incluso, del tipo y magnitud de las mismas.

82      La publicación de datos nominales con estas limitaciones podría ir acompañada, en su caso, de explicaciones adecuadas sobre las demás personas físicas beneficiarias de ayudas de dichos Fondos y sobre los importes percibidos por estas últimas.

83      Así pues, a la hora de ponderar equilibradamente los diversos intereses en conflicto, las instituciones hubieran debido analizar la cuestión de si una publicación de datos nominales limitada, como la mencionada en el apartado 81 de la presente sentencia, habría bastado o no para alcanzar los objetivos de la normativa de la Unión controvertida en los litigios principales. Concretamente, no parece que una limitación de esa índole, que protegería de una injerencia en su vida privada a algunos de los beneficiarios afectados, impida ofrecer a los ciudadanos una imagen de las ayudas abonadas por el FEAGA y el Feader lo bastante fiel como para permitir que se alcancen los objetivos de dicha normativa.

84      Los Estados miembros que han presentado observaciones escritas ante el Tribunal de Justicia, el Consejo y la Comisión justifican la necesidad de la publicación exigida por el artículo 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008 invocando igualmente el importante porcentaje del presupuesto de la Unión que representa la PAC.

85      Procede rechazar esta alegación. Es preciso recordar que, antes de divulgar información sobre una persona física, las instituciones están obligadas a poner en la balanza, por una parte, el interés de la Unión en garantizar la transparencia de sus acciones y, por otra, la lesión de los derechos reconocidos en los artículos 7 y 8 de la carta. Ahora bien, no cabe atribuir una primacía automática al objetivo de transparencia frente al derecho a la protección de los datos de carácter personal (véase en este sentido la sentencia Comisión/Bavarian Lager, antes citada, apartados 75 a 79), ni siquiera aunque estén en juego intereses económicos importantes.

86      Se deduce del conjunto de consideraciones expuestas que no parece que las instituciones hayan ponderado equilibradamente, por un lado, los objetivos del artículo 44 bis del Reglamento nº 1290/2005 y del Reglamento nº 259/2008 y, por otro, los derechos que los artículos 7 y 8 de la Carta reconocen a las personas físicas. Dado que las excepciones a la protección de los datos de carácter personal y las limitaciones de dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario (sentencia Satakunnan Markkinapörssi y Satamedia, antes citada, apartado 56) y que cabe concebir medidas que entrañen lesiones de menor gravedad a este derecho fundamental de las personas físicas, sin dejar por ello de contribuir eficazmente al logro de los objetivos de la normativa de la Unión controvertida, procede concluir que el Consejo y la Comisión han sobrepasado los límites que impone el respeto del principio de proporcionalidad al obligar a publicar los nombres de todas las personas físicas beneficiarias de ayudas del FEAGA y del Feader y los importes específicos percibidos por ellas.

87      Finalmente, por lo que respecta a las personas jurídicas beneficiarias de ayudas del FEAGA y del Feader, en la medida en que puedan invocar los derechos reconocidos en los artículos 7 y 8 de la Carta (véase el apartado 53 de la presente sentencia), procede considerar que la obligación de publicación impuesta por la normativa de la Unión cuya validez es objeto de controversia no sobrepasa los límites que impone el respeto del principio de proporcionalidad. En efecto, para las personas jurídicas, la gravedad de la lesión del derecho a la protección de sus datos de carácter personal se presenta de modo diferente que para las personas físicas. A este respecto es preciso recordar que las personas jurídicas ya están sometidas a una obligación acrecentada de publicación de los datos que les conciernen. Por otra parte, supondría una carga administrativa desmesurada para las autoridades nacionales competentes obligarlas a examinar, antes de publicar los datos de que se trata, si el nombre de cada persona jurídica beneficiaria de ayudas del FEAGA o del Feader identifica o no a alguna persona física (véase en este sentido TEDH, sentencia K.U. c. Finlandia de 2 de marzo de 2009, demanda nº 2872/02, pendiente de publicación, § 48).

88      Dadas estas circunstancias, procede concluir que, en la medida en que se refieren a la publicación de los datos relativos a personas jurídicas, las disposiciones del Derecho de la Unión cuya validez pone en duda el órgano jurisdiccional remitente respetan un justo equilibrio en lo que respecta a la toma en consideración de los intereses que aquí se enfrentan.

89      Basándose en el conjunto de consideraciones expuestas, procede declarar inválidos el artículo 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008 en la medida en que obligan, por lo que respecta a las personas físicas beneficiarias de ayudas del FEAGA y del Feader, a publicar datos de carácter personal de todos los beneficiarios, sin establecer distinciones en función de criterios pertinentes, tales como los períodos durante los cuales dichas personas han percibido estas ayudas, su frecuencia o, incluso, el tipo y magnitud de las mismas.

c)      Sobre la validez del artículo 42, punto 8 ter, del Reglamento nº 1290/2005

90      Procede recordar que el artículo 42, punto 8 ter, del Reglamento nº 1290/2005 únicamente faculta a la Comisión para que determine los mecanismos de ejecución del artículo 44 bis de dicho Reglamento.

91      Pues bien, como el artículo 44 bis del Reglamento nº 1290/2005 debe declararse inválido por las razones expuestas supra, procede igualmente declarar inválido el artículo 42, punto 8 ter, de dicho Reglamento.

92      Por lo tanto, procede responder a la primera cuestión y a la primera parte de la segunda cuestión que los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y el Reglamento nº 259/2008 son inválidos en la medida en que obligan, por lo que respecta a las personas físicas beneficiarias de ayudas del FEAGA y del Feader, a publicar datos de carácter personal de todos los beneficiarios, sin establecer distinciones en función de criterios pertinentes, tales como los períodos durante los cuales dichas personas han percibido estas ayudas, su frecuencia o, incluso, el tipo y magnitud de las mismas.

d)      Sobre los efectos en el tiempo de la invalidez constatada

93      Procede recordar que, con arreglo al artículo 264 TFUE, párrafo segundo, aplicable por analogía a las cuestiones prejudiciales relativas a la apreciación de la validez de los actos de la Unión contempladas en el artículo 267 TFUE, el Tribunal de Justicia dispone, cuando así lo justifiquen consideraciones imperiosas de seguridad jurídica, de una facultad de apreciación para indicar, en cada caso concreto, los efectos del acto de que se trate que deban considerarse definitivos (véase en este sentido la sentencia de 22 de diciembre de 2008, Regie Networks, C‑333/07, Rec. p. I‑10807, apartado 121 y jurisprudencia citada).

94      Habida cuenta de las numerosas publicaciones efectuadas en los Estados miembros con arreglo a una normativa que se consideraba válida, procede reconocer que la invalidez de las disposiciones mencionadas en el apartado 92 de la presente sentencia no permite impugnar los efectos de las publicaciones de las listas de beneficiarios de ayudas del FEAGA y del Feader llevadas a cabo por las autoridades nacionales, en virtud de dichas disposiciones, en el período anterior a la fecha de pronunciamiento de la presente sentencia.

2.      Sobre la tercera cuestión

95      En su tercera cuestión, el órgano jurisdiccional remitente pregunta, esencialmente, si el artículo 18, apartado 2, segundo guión, de la Directiva 95/46 debe interpretarse en el sentido de que la publicación de informaciones regulada por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008 sólo podrá tener lugar si, antes de dicha publicación, el encargado de la protección de los datos personales lleva el registro completo al que se refiere el mencionado artículo 18, apartado 2, segundo guión.

96      A este respecto procede recordar que el artículo 18, apartado 1, de la Directiva 95/46 sienta el principio de la notificación a la autoridad de control antes de realizar un tratamiento de datos personales total o parcialmente automatizado, o un conjunto de tratamientos de esta índole destinados a la consecución de un mismo fin o de varios fines conexos. Como explica el cuadragésimo octavo considerando de dicha Directiva, «los procedimientos de notificación a la autoridad de control tienen por objeto asegurar la publicidad de los fines de los tratamientos y de sus principales características, a fin de controlarlos a la luz de las disposiciones nacionales adoptadas en aplicación de la presente Directiva».

97      El artículo 18, apartado 2, segundo guión, de la Directiva 95/46 indica, sin embargo, que los Estados miembros pueden en ciertos casos establecer una notificación simplificada o disponer que se omita la notificación, en particular cuando el responsable del tratamiento de datos designe a un encargado de la protección de los datos personales. De las resoluciones de remisión se desprende que en el Land Hessen se había designado a dicha persona en relación con la publicación de datos regulada por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008.

98      Según el artículo 18, apartado 2, segundo guión, de la Directiva 95/46, al encargado de la protección de los datos personales le incumbe ejecutar diversas tareas destinadas a garantizar que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados. Así, entre otras tareas, corresponde a dicho encargado «llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21 [de la Directiva 95/46]». Esta última disposición remite al artículo 19, apartado 1, letras a) a e), de dicha Directiva.

99      Sin embargo, en contra de lo que opina el órgano jurisdiccional remitente, el artículo 18, apartado 2, segundo guión, de la Directiva 95/46 no impone al encargado de la protección de los datos personales obligación alguna de llevar, con anterioridad a la realización del tratamiento de datos de que se trata, un registro que contenga la información enumerada en el artículo 21, apartado 2, de dicha Directiva, puesto en relación con el artículo 19, apartado 1, letras a) a e), de la misma. En efecto, el registro mencionado en el artículo 18, apartado 2, segundo guión, de la mencionada Directiva sólo debe recoger «los tratamientos efectuados».

100    Por consiguiente, la inexistencia de un registro completo con anterioridad al tratamiento de datos, de la que da cuenta el órgano jurisdiccional remitente, no puede afectar a la legalidad de una publicación de la índole de la regulada por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008.

101    Procede responder, pues, a la tercera cuestión que el artículo 18, apartado 2, segundo guión, de la Directiva 95/46 debe interpretarse en el sentido de que no impone al encargado de la protección de los datos personales la obligación de llevar el registro contemplado en esta disposición con anterioridad a la realización de un tratamiento de datos personales, como el regulado por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008.

3.      Sobre la cuarta cuestión

102    En su cuarta cuestión, el órgano jurisdiccional remitente pregunta, esencialmente, si el artículo 20 de la Directiva 95/46 debe interpretarse en el sentido de que la publicación de informaciones regulada por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008 está sujeta al control previo establecido en dicho artículo 20.

103    Procede comenzar recordando que el artículo 20, apartado 1, de la Directiva 95/46 dispone que «los Estados miembros precisarán los tratamientos [de datos personales] que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento».

104    De ello se deduce que la Directiva 95/46 no impone a los tratamientos de datos personales un control previo generalizado. En efecto, como indica el quincuagésimo segundo considerando de dicha Directiva, el legislador de la Unión ha estimado que «el control a posteriori por parte de las autoridades competentes debe considerarse, en general, una medida suficiente».

105    Por lo que respecta a los tratamientos de datos personales sometidos a controles previos, a saber, los que puedan suponer riesgos específicos para los derechos y libertades de los interesados, el quincuagésimo tercer considerando de la Directiva 95/46 indica que ciertos tratamientos pueden presentar tales riesgos «por su naturaleza, su alcance o su finalidad». Aunque esta Directiva permite que los Estados miembros precisen con más detalle en su legislación los tratamientos que pueden presentar riesgos específicos para los derechos y libertades de los interesados, su quincuagésimo cuarto considerando indica que el número de los mismos «debería ser muy limitado».

106    Procede señalar además que, con arreglo al artículo 27, apartado 1, del Reglamento nº 45/2001, los tratamientos de datos personales que puedan suponer riesgos específicos para los derechos y libertades de los interesados están igualmente sujetos a control previo cuando son efectuados por las instituciones y los organismos de la Unión. El apartado 2 de dicho artículo especifica cuáles son los tratamientos que pueden entrañar tales riesgos. Habida cuenta del paralelismo existente entre las disposiciones de la Directiva 95/46 y las del Reglamento nº 45/2001 relativas a los controles previos, la lista de tratamientos de datos personales que pueden suponer riesgos específicos para los derechos y libertades de los interesados recogida en el artículo 27, apartado 2, de dicho Reglamento debe considerarse pertinente para la interpretación del artículo 20 de la Directiva 95/46.

107    Pues bien, no parece que la publicación de datos exigida por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008 encaje en alguna de las categorías de tratamientos de datos personales mencionadas en el artículo 27, apartado 2, del Reglamento nº 45/2001.

108    Por consiguiente, procede responder a la cuarta cuestión que el artículo 20 de la Directiva 95/46 debe interpretarse en el sentido de que no impone a los Estados miembros la obligación de someter a los controles previos contemplados en dicha disposición la publicación de informaciones regulada por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 y por el Reglamento nº 259/2008.

109    Habida cuenta de respuesta que se ha dado a la cuarta cuestión, no es necesario responder a la quinta cuestión.

IV.    Costas

110    Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

1)      Los artículos 42, punto 8 ter, y 44 bis del Reglamento (CE) nº 1290/2005 del Consejo, de 21 de junio de 2005, sobre la financiación de la política agrícola común, en su versión modificada por el Reglamento (CE) nº 1437/2007 del Consejo, de 26 de noviembre de 2007, y el Reglamento (CE) nº 259/2008 de la Comisión, de 18 de marzo de 2008, por el que se establecen disposiciones de aplicación del Reglamento (CE) nº 1290/2005 en lo que se refiere a la publicación de información sobre los beneficiarios de fondos procedentes del Fondo Europeo Agrícola de Garantía (FEAGA) y del Fondo Europeo Agrícola de Desarrollo Rural (Feader), son inválidos en la medida en que obligan, por lo que respecta a las personas físicas beneficiarias de ayudas del FEAGA y del Feader, a publicar datos de carácter personal de todos los beneficiarios, sin establecer distinciones en función de criterios pertinentes, tales como los períodos durante los cuales dichas personas han percibido estas ayudas, su frecuencia o, incluso, el tipo y magnitud de las mismas.

2)      La invalidez de las disposiciones del Derecho de la Unión mencionadas en el punto 1 del fallo no permite impugnar los efectos de las publicaciones de las listas de beneficiarios de ayudas del FEAGA y del Feader llevadas a cabo por las autoridades nacionales, en virtud de dichas disposiciones, en el período anterior a la fecha de pronunciamiento de la presente sentencia.

3)      El artículo 18, apartado 2, segundo guión, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que no impone al encargado de la protección de los datos personales la obligación de llevar el registro contemplado en esta disposición con anterioridad a la realización de un tratamiento de datos personales, como el regulado por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005, en su versión modificada por el Reglamento nº 1437/2007, y por el Reglamento nº 259/2008.

4)      El artículo 20 de la Directiva 95/46 debe interpretarse en el sentido de que no impone a los Estados miembros la obligación de someter a los controles previos contemplados en dicha disposición la publicación de informaciones regulada por los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005, en su versión modificada por el Reglamento nº 1437/2007, y por el Reglamento nº 259/2008.

Firmas


* Lengua de procedimiento: alemán.