Language of document : ECLI:EU:C:2010:353

CONCLUSIONES DE LA ABOGADO GENERAL

SRA. ELEANOR SHARPSTON

presentadas el 17 de junio de 2010 1(1)

Asuntos acumulados C‑92/09 y C‑93/09

Volker und Markus Schecke GbR (Asunto C‑92/09)

contra

Land Hessen

[Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Alemania)]

«Protección de las personas en cuanto al tratamiento de datos personales – Publicación de información sobre los beneficiarios de importes a cargo del Fondo Europeo Agrícola de Garantía y del Fondo Europeo Agrícola de Desarrollo Rural – Validez de las disposiciones legales que prevén esa publicación y la forma en que debe hacerse»

Hartmut Eifert (Asunto C‑93/09)

contra

Land Hessen

[Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Alemania)]

«Protección de las personas en cuanto al tratamiento de datos personales – Publicación de información sobre los beneficiarios de importes a cargo del Fondo Europeo Agrícola de Garantía y del Fondo Europeo Agrícola de Desarrollo Rural – Validez de las disposiciones legales que prevén esa publicación y la forma en que debe hacerse»





1.        Desde el punto de vista presupuestario, la política agrícola común (en lo sucesivo, «PAC») ha sido la política más importante de la Unión Europea durante más de cuarenta años. En 1984, la PAC absorbía más del 71 % del gasto, y actualmente representa aproximadamente el 40 %, por lo que sigue siendo la partida de mayor volumen.

2.        Esta petición de decisión prejudicial del Verwaltungsgericht (Tribunal Administrativo) de Wiesbaden (Alemania), pone en duda la validez de la legislación de la Unión Europea que exige la publicación de los importes concedidos a los agricultores con cargo a los fondos de la PAC, así como sus nombres, su municipio de residencia y, en su caso, el código postal. Este asunto plantea cuestiones constitucionales importantes en el ámbito del Derecho de la UE: en esencia, si el objetivo de conseguir transparencia en la gestión financiera de la PAC puede en principio prevalecer sobre el derecho fundamental de las personas al respeto de su vida privada y datos personales y, en tal caso, dónde debe situarse el equilibrio entre ambos.

 Marco jurídico

 Derechos fundamentales

 El Convenio Europeo de Derechos Humanos (2)

3.        El artículo 8 del Convenio Europeo de Derechos Humanos (en lo sucesivo, «CEDH») establece:

«1.      Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.

2.      No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.»

4.        Como complemento de esa disposición, el Consejo de Europa aprobó el 28 de enero de 1981 el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (en lo sucesivo, «Convenio nº 108»), cuyo artículo 1 describe el objetivo del Convenio en los siguientes términos: «El fin del presente Convenio es garantizar [...] a cualquier persona física [...] el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona.» (3)

 La Carta de los Derechos Fundamentales de la Unión Europea (4)

5.        El artículo 7 de la Carta establece: «Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.»

6.        El artículo 8 establece:

«1.      Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2.      Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.

3.      El respeto de estas normas quedará sujeto al control de una autoridad independiente.»

7.        El artículo 52 de la Carta establece las condiciones que rigen las injerencias o excepciones a los derechos garantizados en la Carta. En particular:

«1.      Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

[...]

3.      En la medida en que la presente Carta contenga derechos que correspondan a derechos garantizados por el [CEDH], su sentido y alcance serán iguales a los que les confiere dicho Convenio. Esta disposición no impide que el Derecho de la Unión conceda una protección más extensa.»

8.        El artículo 6 TUE, apartado 1, establece que los derechos, libertades y principios enunciados en la Carta tendrán «el mismo valor jurídico que los Tratados».

 Protección de datos

 Directiva 95/46 (5)

9.        El primer considerando recuerda que:

«[...] los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en [...] promover la democracia, basándose en los derechos fundamentales reconocidos en las constituciones y leyes de los Estados miembros y en el [CEDH];».

10.      Los considerandos décimo, undécimo y duodécimo establecen que el objetivo de la Directiva es garantizar un elevado nivel de protección de los derechos fundamentales:

«(10) [...] las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del [CEDH], así como en los principios generales del Derecho comunitario; [...] por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

(11)      [...] los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto de la intimidad, contenidos en la presente Directiva, precisan y amplían los del [Convenio nº 108] [...];

(12)      [...] los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario [...]».

11.      El vigesimoctavo considerando establece que el tratamiento de datos personales debe ser proporcional: «[...] todo tratamiento de datos personales debe efectuarse de forma lícita y leal con respecto al interesado; [...] en particular, a datos adecuados, pertinentes y no excesivos en relación con los objetivos perseguidos; que estos objetivos han de ser explícitos y legítimos, y deben estar determinados en el momento de obtener los datos; que los objetivos de los tratamientos posteriores a la obtención no pueden ser incompatibles con los objetivos originalmente especificados».

12.      Los considerandos trigésimo y trigesimotercero establecen:

«(30) [...] para ser lícito el tratamiento de datos personales debe basarse además en el consentimiento del interesado o ser necesario con vistas a la celebración o ejecución de un contrato que obligue al interesado, o para la observancia de una obligación legal o para el cumplimiento de una misión de interés público o para el ejercicio de la autoridad pública o incluso para la realización de un interés legítimo de una persona, siempre que no prevalezcan los intereses o los derechos y libertades del interesado;

[...]

(33)      [...] los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su consentimiento explícito; que deberán constar de forma explícita las excepciones a esta prohibición para necesidades específicas, en particular cuando el tratamiento de dichos datos se realice con fines relacionados con la salud, por parte de personas físicas sometidas a una obligación legal de secreto profesional, o para actividades legítimas por parte de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales;

[...]».

13.      El artículo 1, apartado 1, de la Directiva 95/46 dispone lo siguiente: «Los Estados miembros garantizarán [...] la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.»

14.      El artículo 2 define los «datos personales», el «tratamiento de datos personales» y el «consentimiento del interesado», respectivamente, del siguiente modo:

«a)      “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)      “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]

h)      “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

15.      El artículo 7 establece que el tratamiento de datos personales sólo puede efectuarse si se cumplen determinados requisitos, en particular, que el interesado haya dado su consentimiento de forma inequívoca [letra a)], o que el tratamiento sea «necesario» para uno o varios objetivos, enumerados de forma exhaustiva. De ellos, sólo dos son potencialmente relevantes en el presente caso:

«c)      [el tratamiento] es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento,

[…]

e)      [el tratamiento es] necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento [ (6)] o a un tercero a quien se comuniquen los datos [...]».

16.      El artículo 18 establece:

«1.      Los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artículo 28, [ (7)] con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos, total o parcialmente automatizados, destinados a la consecución de un fin o de varios fines conexos.

2.      Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:

–        cuando, para las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos, los datos o categorías de datos tratados, la categoría o categorías de los interesados, los destinatarios o categorías de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o

–        cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular:

–        hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva;

–        llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21,

garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.

[...]»

17.      El artículo 20 establece:

«1.      Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.

2.      Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.

3.      Los Estados miembros podrán también llevar a cabo dicha comprobación en el marco de la elaboración de una norma aprobada por el Parlamento o basada en la misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.»

18.      El artículo 21, apartado 2, dispone que los Estados miembros establecerán que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.

 Directiva 2006/24 (8)

19.      El artículo 1, apartado 1, establece que «[la] Directiva se propone armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro».

20.      El artículo 1, apartado 2, establece que la Directiva se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o al usuario registrado. (9)

21.      El artículo 3 exige a los Estados miembros que adopten medidas para garantizar que determinadas categorías de datos (los especificados en el artículo 5) se conserven de conformidad con lo dispuesto en la Directiva. Entre ellos se incluyen los datos necesarios para rastrear e identificar el origen de una comunicación relativos, entre otros, al acceso a Internet, [artículo 5, apartado 1, letra a), número 2]. Prevé que los datos conservados «solamente se proporcion[en] a las autoridades nacionales competentes, en casos específicos y de conformidad con la legislación nacional», observando las garantías adecuadas (incluida la obligación de respetar el CEDH) (artículo 4).

22.      El artículo 6 establece: «Los Estados miembros garantizarán que las categorías de datos mencionadas en el artículo 5 se conserven por un período de tiempo que no sea inferior a seis meses ni superior a dos años a partir de la fecha de la comunicación».

 La Iniciativa Europea en favor de la Transparencia

23.      Al poner en marcha la Iniciativa Europea en Favor de la Transparencia (en lo sucesivo, la «IET»), la Comisión destacó la importancia de un «alto nivel de transparencia», con el fin de velar por que la Unión «se preste a un control público y dé cuenta del trabajo que realiza». (10) La Comisión identificó como una de las principales áreas de acción la destinada a «mejorar el control de la utilización de los fondos de la Unión Europea [...]». (11)

 El Reglamento Financiero (12)

24.      La importancia de la transparencia en la gestión del presupuesto general se subraya expresamente en el Reglamento Financiero.

25.      En el tercer considerando se reconoce la transparencia como un principio fundamental. Por su parte, el duodécimo considerando establece: «[...] respecto del principio de transparencia, es conveniente garantizar una mejor información sobre la ejecución del presupuesto y la contabilidad».

26.      Como parte de la iniciativa para mejorar la transparencia, el artículo 30, apartado 3, establece:

«La Comisión facilitará, del modo más adecuado, la información relativa a los beneficiarios de fondos procedentes del presupuesto de que disponga en caso de que el presupuesto se ejecute de modo centralizado y aquella de que dispongan directamente sus servicios, y la información relativa a los beneficiarios facilitada por las entidades en las que haya delegado competencias de ejecución en los demás modos de gestión.

Dicha información se facilitará teniendo debidamente en cuenta los requisitos de confidencialidad, en particular la protección de datos personales según lo dispuesto en la [Directiva 95/46/CE] [ (13)] y el [Reglamento nº 45/2001], [ (14)] y los requisitos de seguridad, atendiendo a las características específicas de cada uno de los modos de gestión a que se refiere el artículo 53 y, en su caso, de conformidad con las normas sectoriales pertinentes.»

27.      El artículo 53 ter, apartado 2, letra d) establece que los Estados miembros deben «garantizar, mediante los reglamentos sectoriales pertinentes y de conformidad con el artículo 30, apartado 3, la oportuna publicación anual a posteriori de los beneficiarios de fondos procedentes del presupuesto».

 La financiación de la PAC

 Reglamento del Consejo nº 1290/2005 (15)

28.      El Reglamento nº 1290/2005 del Consejo establece las normas básicas para la gestión financiera de la PAC y constituye dos fondos: el Fondo Europeo Agrícola de Garantía (FEAGA) y del Fondo Europeo Agrícola de Desarrollo Rural (Feader). (16)

29.      En el trigesimosexto considerando se hace constar que «[p]uesto que en el ámbito de la aplicación de los sistemas de control nacionales y de la liquidación de conformidad pueden comunicarse datos personales o secretos comerciales, es necesario que los Estados miembros y la Comisión garanticen la confidencialidad de la información recibida en ese contexto».

30.      El artículo 1 del Reglamento nº 1290/2005 del Consejo explica que su objeto es establecer «condiciones y normas específicas aplicables a la financiación de los gastos de la política agrícola común, incluidos los de desarrollo rural».

31.      El artículo 2 crea el FEAGA y el FEADER y establece que ambos Fondos constituirán partes del presupuesto general de la UE.

32.      Los artículos 6, 7 y 11 establecen que los pagos se abonarán a los beneficiarios por los organismos pagadores, que serán servicios u organismos de los Estados miembros. Los organismos pagadores deben comprobar que las solicitudes cumplen los requisitos necesarios de las disposiciones en virtud de las cuales se conceden.

33.      El artículo 9 impone a la Comisión y a los Estados miembros la obligación de garantizar una protección eficaz de los intereses financieros de la Comunidad. (17)

34.      El artículo 44 establece: «Los Estados miembros y la Comisión adoptarán todas las medidas necesarias para garantizar la confidencialidad de la información comunicada u obtenida en el contexto de las medidas de control y liquidación de cuentas efectuadas en aplicación del presente Reglamento. Se aplicarán a esa información los principios a que se refiere el artículo 8 del [Reglamento (Euratom, CE) nº 2185/96 del Consejo] [ (18)]».

35.      El Reglamento nº 1290/2005 del Consejo fue modificado por el Reglamento nº 1437/2007. (19) El objeto de esa modificación se explica en los considerandos duodécimo a decimocuarto del Reglamento nº 1437/2007, del siguiente modo:

«(12) Es necesario precisar la base jurídica para la adopción de las disposiciones de aplicación del Reglamento (CE) nº 1290/2005. Concretamente, la Comisión debe adoptar disposiciones de aplicación en lo que atañe a la publicación de la información relativa a los beneficiarios de la política agrícola común, las medidas de intervención para las que no se haya establecido ningún importe unitario en una organización común de mercado y los créditos que se hayan transferido para financiar los pagos directos a los productores en virtud de la política agrícola común.

(13)      En el contexto de la revisión del Reglamento (CE, Euratom) nº 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas, las disposiciones relativas a la publicación anual a posteriori de la lista de los beneficiarios de fondos procedentes del presupuesto, se han incluido en dicho Reglamento para la aplicación de la iniciativa europea en materia de transparencia. Los reglamentos sectoriales deben proporcionar los medios adecuados para tal publicación. Tanto el FEAGA como el Feader forman parte del presupuesto general de las Comunidades Europeas y financian los gastos en un contexto de gestión compartida entre los Estados miembros y la Comunidad. Por lo tanto, deben establecerse las normas para la publicación de la información relativa a los beneficiarios de tales fondos. A tal fin, los Estados miembros deben garantizar la publicación anual a posteriori de la lista de beneficiarios y de las cantidades recibidas por cada uno de ellos en virtud de cada uno de estos fondos.

(14)      Posibilitar el acceso del público a esta información aumenta la transparencia del uso de los fondos comunitarios en la política agrícola común y mejora la gestión financiera de estos fondos, en especial mediante el refuerzo del control público del dinero utilizado. Habida cuenta de la gran importancia de los objetivos perseguidos, está justificado, en virtud del principio de proporcionalidad y de los requisitos de protección de datos de carácter personal, prever la publicación general de la información pertinente ya que esta medida no rebasa los límites de lo necesario en una sociedad democrática para la prevención de irregularidades. Teniendo en cuenta el dictamen del Supervisor Europeo de Protección de Datos, [ (20)] conviene prever que se informe a los beneficiarios de los fondos de que estos datos podrán hacerse públicos y podrán ser procesados por organismos de control y de investigación.

[...].»

36.      Las dos modificaciones que tienen relevancia para el presente asunto son el artículo 42, punto 8 ter, y el artículo 44 bis.

37.      El artículo 42 permite a la Comisión adoptar disposiciones de aplicación del Reglamento nº 1290/2005 del Consejo. El punto 8 ter establece expresamente que la Comisión deberá adoptar:

«[d]isposiciones detalladas sobre la publicación de la información relativa a los beneficiarios prevista en el artículo 44 bis y sobre los aspectos prácticos relacionados con la protección de los particulares en lo que atañe al tratamiento de sus datos personales con arreglo a los principios establecidos en la legislación comunitaria sobre protección de datos. Estas disposiciones garantizarán, en particular, que se informe a los beneficiarios de los fondos de que estos datos podrán hacerse públicos y podrán ser procesados por organismos de control y de investigación con el fin de salvaguardar los intereses financieros de las Comunidades, incluido el momento en que se produzca esta información».

38.      El artículo 44 bis establece:

«De conformidad con el artículo 53 ter, apartado 2, letra d), del Reglamento (CE, Euratom) nº 1605/2002, los Estados miembros garantizarán la publicación anual a posteriori de los beneficiarios del FEAGA y del Feader y de los importes recibidos por beneficiario con cargo a cada uno de estos fondos. La publicación incluirá como mínimo:

a)      en el caso del FEAGA, el importe subdividido en pagos directos, en el sentido del artículo 2, letra d), del Reglamento (CE) nº 1782/2003, y otros gastos;

b)      en el caso del Feader, el importe total de la financiación pública por beneficiario.»

Reglamento nº 259/2008 de la Comisión (21)

39.      En la exposición de motivos se confirma que el Reglamento ha sido adoptado previa consulta al Supervisor Europeo de Protección de Datos. (22)

40.      En el segundo considerando se explica que el objetivo de la publicación es aumentar la transparencia sobre el uso de los Fondos comunitarios y mejorar la gestión financiera de estos Fondos.

41.      El tercer considerando señala que, para cumplir ese objetivo, «Deben establecerse los requisitos mínimos relativos al contenido de la publicación. Dichos requisitos no deben rebasar los límites de lo necesario en una sociedad democrática para alcanzar los objetivos perseguidos».

42.      El quinto considerando reconoce que «[…] [dado que] el objetivo de transparencia no exige que la información siga disponible durante un tiempo indefinido, es preciso establecer un período de disponibilidad razonable de la información publicada».

43.      Según se hace constar en el sexto considerando: «[p]oner esta información al alcance del público aumenta la transparencia sobre la utilización de los fondos comunitarios para la política agrícola común y mejora la correcta gestión financiera de estos, en particular intensificando el control público del dinero empleado. Dada la importancia primordial de los objetivos que se persiguen está justificado, con respecto al principio de proporcionalidad y a la exigencia de protección de los datos personales, disponer la publicación general de la información pertinente sin rebasar los límites de lo necesario en una sociedad democrática y prevenir irregularidades».

44.      El artículo 1, apartado 1, del Reglamento nº 259/2008 de la Comisión establece que la publicación sobre los beneficiarios de los fondos debe incluir la siguiente información:

«a)      el nombre y los apellidos de los beneficiarios, en caso de que estos sean personas físicas;

b)      la razón social completa registrada de los beneficiarios, en caso de que estos sean personas jurídicas;

c)      el nombre completo de la asociación registrado o reconocido oficialmente de otro modo, en caso de que los beneficiarios sean asociaciones de personas físicas o jurídicas sin personalidad jurídica propia;

d)      el municipio en el que reside o está registrado el beneficiario y, si está disponible, el código postal o la parte de este que identifique al municipio;

e)      en el caso del Fondo Europeo Agrícola de Garantía, denominado en lo sucesivo FEAGA, el importe de los pagos directos, según se definen en el artículo 2, letra d), del Reglamento (CE) nº 1782/2003, recibidos por cada beneficiario durante el ejercicio financiero correspondiente;

f)      en el caso del FEAGA, el importe de los pagos distintos de los mencionados en la letra e) recibidos por cada beneficiario durante el ejercicio financiero correspondiente;

g)      en el caso del Fondo Europeo Agrícola de Desarrollo Rural, denominado en lo sucesivo Feader, el importe total de la financiación pública recibida por cada beneficiario durante el ejercicio financiero correspondiente, lo que incluye tanto la contribución comunitaria como la nacional;

h)      la suma de los importes a que se refieren las letras e), f) y g) recibidos por cada beneficiario durante el ejercicio financiero correspondiente;

i)      la moneda de estos importes.»

45.      El artículo 1, apartado 2, permite a los Estados miembros publicar una información más detallada que la prevista en el artículo 1, apartado 1.

46.      El artículo 2 prevé que «[l]a información mencionada en el artículo 1 deberá figurar en el sitio web único de cada Estado miembro y los usuarios podrán consultarla a través de una función de búsqueda que les permita buscar los beneficiarios por nombres, municipios e importes recibidos mencionados en el artículo 1, letras e), f), g) y h), o una combinación de estos datos, y extraer toda la información correspondiente a través de una única serie de datos».

47.      El artículo 3 establece que la información sobre los beneficiarios se publicará a más tardar el 30 de abril de cada año en relación con el ejercicio financiero anterior y se podrá consultar en el sitio web durante dos años a partir de la fecha de su publicación inicial.

48.      El artículo 4 establece:

«1.      Los Estados miembros informarán a los beneficiarios de que sus datos se publicarán con arreglo al Reglamento (CE) nº 1290/2005 y al presente Reglamento y podrán ser tratados por organismos de auditoría e investigación de las Comunidades y de los Estados miembros, para salvaguardar los intereses financieros de las Comunidades.

2.      En el caso de los datos de carácter personal, la información mencionada en el apartado 1 se facilitará de conformidad con los requisitos establecidos en la Directiva 95/46/CE y los beneficiarios serán informados de sus derechos en cuanto interesados, con arreglo a dicha Directiva, y de los procedimientos aplicables al ejercicio de sus derechos.

3.      La información a que refieren los apartados 1 y 2 se facilitará a los beneficiarios mediante su inclusión en los impresos de solicitud de los fondos procedentes del FEAGA y del Feader, o en el momento en que se recopilen los datos.

[...]»

49.      El artículo 5 exige a la Comisión crear y mantener un sitio web comunitario en su portal de Internet, que incluya un enlace a los sitios web de los Estados miembros.

 Hechos, procedimiento y cuestiones prejudiciales planteadas

50.      Los demandantes en estos dos asuntos son una sociedad (Volker und Markus Schecke GbR en el asunto C‑92/09) y una persona física (el Sr. Hartmut Eifert en el asunto C‑93/09), que en ambos casos se dedican a la explotación de actividades agrícolas. Ambos demandantes se oponen a la publicación de sus datos, de conformidad con el Reglamento nº 259/2008 de la Comisión, como beneficiarios de ayudas agrícolas. El 31 de diciembre de 2008, a Volker und Markus Schecke GbR le fue concedido un pago de 64.623,65 euros. El 5 de diciembre de 2008, el Sr. Eifert recibió un pago de 6.110,11 euros para el fomento de las explotaciones agrarias de las zonas desfavorecidas.

51.      En el formulario de solicitud de las ayudas se incluía el siguiente aviso: «Me consta que, conforme al artículo 44 bis del Reglamento (CE) nº 1290/2005, es obligatorio publicar los datos de los beneficiarios del FEAGA y del Feader y los importes recibidos por cada beneficiario. La publicación tiene por objeto todas las medidas solicitadas en relación con la solicitud común, que constituye la solicitud única en el sentido del artículo 11 del Reglamento (CE) nº 796/2004, [ (23)] y se efectúa anualmente antes del 31 de marzo del año siguiente».

52.      Los nombres de los beneficiarios, sus respectivos municipios, códigos postales y los importes recibidos se publicaron en el portal (24) del Bundesanstalt für Landwirtschaft und Ernährung (Agencia Federal de Alimentación, Agricultura y Consumo; en lo sucesivo, «BfLE»), la coadyuvante en el procedimiento nacional. El portal de Internet incluye una herramienta de búsqueda que permite a los usuarios, introduciendo datos en un único campo (por ejemplo, el código postal), obtener la lista correspondiente de beneficiarios identificados de ayudas del FEAGA y del Feader. En las observaciones sobre la protección de datos en el apartado de información legal de la página de Internet se afirma: «En cada acceso al servidor se almacenan datos para fines estadísticos y de seguridad. Durante un tiempo limitado se almacena la dirección IP del proveedor de servicios de Internet, la fecha y la hora, así como la página de Internet visitada. Estos datos se utilizan exclusivamente para mejorar el sitio de Internet y no se facilitan a terceros ni se analizan de forma que pueda deducirse la identidad del usuario.»

53.      Volker und Markus Schecke GbR y el Sr. Eifert ejercieron sendas acciones contra el Land Hessen, respectivamente, el 26 de septiembre de 2008 y el 18 de diciembre de 2008. En ambos casos, solicitaban una resolución que prohibiera la publicación de sus datos personales como beneficiarios de las ayudas recibidas con cargo a los Fondos.

54.      Los demandantes consideran que el artículo 44 bis del Reglamento nº 1290/2005 del Consejo viola el Derecho de la Unión Europea en materia de protección de datos. La información publicada en la página de Internet consiste en datos personales, y no hay intereses generales superiores que justifiquen esa injerencia en sus derechos.

55.      El Land Hessen alega que la obligación de los Estados miembros de publicar esos datos en Internet se deriva del artículo 44 bis del Reglamento nº 1290/2005 del Consejo, en relación con el Reglamento nº 259/2008 de la Comisión. En su opinión, no puede haber ninguna duda de que las citadas disposiciones son válidas. Existe un interés general superior en la publicación, pues sirve a la transparencia del gasto agrícola y para prevenir irregularidades, y no se excede de lo que en una sociedad democrática es necesario. Además, los solicitantes fueron informados ya en el formulario de solicitud de que las autoridades están obligadas a publicar sus datos personales, de modo que la presentación de la solicitud constituye su consentimiento a dicha publicación a efectos del artículo 7, letra a), de la Directiva 95/46. El Land Hessen argumenta que, en cualquier caso, los solicitantes podrían haber optado por evitar la publicación no solicitando la ayuda.

56.      El órgano jurisdiccional remitente considera que el fundamento de la acción ejercitada por los demandantes depende de la validez de los artículos 42, punto 8 ter, y 44 bis del Reglamento nº 1290/2005 del Consejo, y del Reglamento nº 259/2008 de la Comisión. Si dichas disposiciones son inválidas, el tratamiento de datos realizado por el BfLE es ilícito y, por ende, la resolución de prohibición que los demandantes solicitan debería ser concedida.

57.      El órgano jurisdiccional remitente también ha señalado una serie de cuestiones más técnicas sobre si el requisito de publicar los datos personales de los beneficiarios que reciben ayudas a cargo del FEAGA y el Feader es compatible con determinados aspectos de la legislación de la Unión Europea sobre la protección de datos, en particular las Directivas 95/46 y 2006/24.

58.      En consecuencia, el órgano jurisdiccional remitente suspendió el procedimiento y solicitó al Tribunal de Justicia que se pronunciara con carácter prejudicial sobre las siguientes cuestiones:

«1.      ¿Son inválidos el artículo 42, punto 8 ter y el artículo 44 bis del [Reglamento nº 1290/2005 del Consejo], insertados por el [Reglamento nº 1437/2007 del Consejo]?

2.      ¿El Reglamento nº 259/2008 de la Comisión

a)      es inválido

b)      o únicamente válido por ser inválida la [Directiva 2006/24]?

En caso de ser válidas las disposiciones indicadas en la cuestión primera y segunda:

3.      ¿El artículo 18, apartado 2, segundo guión, de la Directiva [95/46] debe ser interpretado en el sentido de que la publicación con arreglo al [Reglamento nº 259/2008 de la Comisión] solamente puede efectuarse cuando se haya seguido el procedimiento, previsto en ese artículo, que sustituye a la notificación a la autoridad de control?

4.      ¿El artículo 20 de la Directiva [95/46] debe ser interpretado en el sentido de que la publicación con arreglo al [Reglamento nº 259/2008 de la Comisión] solamente puede efectuarse cuando se haya realizado el control previo previsto por el Derecho nacional para este supuesto?

5.      En caso de respuesta afirmativa a la cuarta pregunta: ¿El artículo 20 de la Directiva [95/46] debe ser interpretado en el sentido de que no se ha realizado un control previo efectivo si se ha practicado basándose en un registro establecido conforme al artículo 18, apartado 2, segundo guión, de esa Directiva, que omite información preceptiva?

6.      ¿El artículo 7, y en este asunto especialmente la letra e), de la Directiva [95/46], debe ser interpretado en el sentido de que se opone a la práctica de almacenar las direcciones IP de los usuarios de una página web sin su expreso consentimiento?»

59.      Han presentado observaciones escritas Volker und Markus Schecke GbR, el Land Hessen, los Gobiernos de Grecia, los Países Bajos y Suecia, el Consejo y la Comisión, todos los cuales (excepto el Gobierno de los Países Bajos) formularon también observaciones en la vista celebrada el 2 de febrero de 2010.

 Apreciación

60.      Las seis cuestiones planteadas por el órgano jurisdiccional remitente pueden subdividirse del siguiente modo.

61.      Las cuestiones primera y segunda, letra a), constituyen la parte central de la remisión prejudicial. En ellas, el órgano jurisdiccional remitente pregunta sobre la validez de la legislación comunitaria que prevé la publicación obligatoria en Internet de determinados datos sobre los beneficiarios del FEAGA y el Feader. Examinaré en primer lugar esas dos cuestiones, tras hacer una serie de observaciones preliminares.

62.      A continuación, el órgano jurisdiccional remitente formula tres preguntas detalladas que atañen a determinadas disposiciones de la Directiva 95/46, que rigen las notificaciones del tratamiento de datos (cuestiones tercera, cuarta y quinta). Si el Tribunal de Justicia acogiera las respuestas que propongo dar a las cuestiones primera y segunda, letra a), resultaría innecesario (hablando en sentido estricto) responder a esas cuestiones. Para el caso de que el Tribunal no siguiera mi criterio, me detendré en ellas brevemente.

63.      Por último, el órgano jurisdiccional remitente plantea dos cuestiones relativas a los «usuarios» de los datos a los que se accede por Internet y a la interpretación de la Directiva 2006/24 [cuestiones segunda, letra b), y sexta]. Por razones que expondré más adelante, considero que ninguna de esas cuestiones es admisible.

 Cuestiones primera y segunda, letra a)

 Observaciones preliminares

–        Introducción

64.      No voy a consumir tiempo ni espacio en una prolongada exégesis sobre la importancia de los derechos fundamentales en el ordenamiento jurídico de la Unión Europea. Desde hace muchos años, los derechos fundamentales son parte esencial de dicho ordenamiento jurídico. (25) El CEDH disfruta de una posición privilegiada como fuente de tales derechos, y el Tribunal de Justicia presta especial atención a la jurisprudencia del Tribunal Europeo de Derechos Humanos (en lo sucesivo, me referiré al «Tribunal de Estrasburgo» en aras de mayor brevedad). (26) Considero inconcebible que el Derecho derivado de la UE que contraviniese los derechos fundamentales en general, o el CEDH o la Carta, en particular, pudiera ser declarado válido por el Tribunal de Justicia. (27)

65.      Comenzaré con una breve descripción de los objetivos concurrentes que deben ponderarse en el presente asunto: el derecho de acceso a la información en interés de la transparencia, por un lado, y los derechos a la intimidad y a la protección de datos personales, por el otro. A continuación analizaré una objeción específica que se ha opuesto a los demandantes que invocan derechos que disfrutarían de no ser fundada tal objeción (el derecho a la intimidad y a la protección de sus datos personales), en particular, que al firmar las solicitudes de ayuda de la PAC, dieron su consentimiento a la publicación que después impugnaron.

–        Transparencia y divulgación de información

66.      La importancia de la transparencia está firmemente establecida en el Derecho de la Unión. El artículo 1 UE menciona que las decisiones serán tomadas «de la forma más abierta que sea posible». (28) El Tribunal de Justicia ha descrito el objetivo del principio de transparencia como el de dar el mayor acceso posible a los ciudadanos a la información, con el fin de reforzar el carácter democrático de las instituciones y de la administración. (29) La publicación de los datos sobre los beneficiarios de los fondos de la UE bajo gestión conjunta es una de las medidas específicas identificadas en la IET. (30) En el plano político, la transparencia ha sido reconocida, por tanto, como un componente esencial de una administración pública democrática.

67.      Menos claro queda si la transparencia es un principio general del ordenamiento de la UE (31) o si en realidad constituye por sí misma un derecho fundamental. El concepto de transparencia y su rango en el Derecho de la UE se ha planteado en asuntos relativos al acceso a documentos. (32) En las conclusiones presentadas en el asunto Hautala, (33) el Abogado General Léger describía la transparencia del proceso de toma de decisiones en el contexto de otorgar al público el mayor acceso posible a los documentos que obran en poder de las instituciones como un derecho fundamental. Sin embargo, el Tribunal de Justicia no examinó expresamente ese punto. En el asunto Interporc, (34) el Tribunal de Justicia no estimó la alegación de la parte recurrente de que la transparencia era un principio general del Derecho de la UE que tenía el efecto de hacer inválida la Decisión 94/90/CECA, CE, Euratom, (35) el instrumento jurídico en el que la Comisión había basado su decisión de denegarle el acceso a los documentos. (36) Voy a dejar deliberadamente esta cuestión abierta aquí, ya que no es necesario dilucidarla en el presente asunto, puesto que la clasificación de un objetivo particular como un derecho fundamental no es una condición previa para que ese objetivo esté incluido en las excepciones previstas en el artículo 8, apartado 2, del CEDH.

68.      El órgano jurisdiccional nacional parece albergar ciertas dudas sobre si la transparencia puede constituir un objetivo en sí misma, al considerarla meramente como una característica de las medidas impugnadas. Para mí, esas dudas están fuera de lugar. Aunque es cierto que la transparencia no es un «derecho» en el sentido que enumera explícitamente el texto clásico del CEDH, la transparencia ha sido respaldada (de forma muy clara) como un objetivo deseable y necesario en una sociedad democrática. También aparece mencionada expresamente en la Carta, una enumeración democrática de derechos fundamentales mucho más reciente. (37) Mi punto de partida es, por tanto, que las acciones emprendidas en interés de la transparencia son acciones que se han emprendido en búsqueda de un objetivo deseable para la democracia.

69.      La transparencia, por su propia naturaleza, tiene que ser un concepto abierto. Su finalidad es ampliar la apertura en una sociedad democrática. La transparencia puede ayudar a proteger al ciudadano frente a la arbitrariedad en el ejercicio del poder. De forma más general, conceder un amplio acceso a la información para conseguir un público informado y un debate democrático permite a los ciudadanos ejercer una supervisión efectiva sobre cómo utilizan las autoridades públicas el poder que esos mismos ciudadanos les han conferido. Así, la transparencia está relacionada con el control público sobre las instituciones públicas. En la medida en que una mayor transparencia equivale a más apertura y mayor responsabilidad democrática, siempre ha de ser bien recibida una mayor transparencia (no menos).

70.      Sin embargo, algunas veces (como sucede en este caso) es posible que se deba ponderar la transparencia con otro objetivo concurrente. En esa medida, la transparencia absoluta no es necesariamente un bien absoluto. No siempre se trata de que «cuanto más, mejor». Así, la «máxima transparencia por el interés público» no puede convertirse en un mantra que prevalezca sobre los derechos individuales. En el presente asunto, para determinar si se ha alcanzado el equilibrio correcto entre la transparencia, por un lado, y la intimidad y la protección de los datos personales, por el otro, será necesario analizar exactamente qué transparencia se desea conseguir en el contexto específico de la PAC.

–        Los derechos a la intimidad y a la protección de datos personales

71.      En el presente asunto se invocan dos derechos diferentes: un derecho clásico (la protección de la vida privada, plasmada en el artículo 8 del CEDH) y un derecho más moderno (las disposiciones sobre protección de datos del Convenio nº 108). En la redacción de la Carta, se identifican unos derechos similares respectivamente, en los artículos 7 y 8. El Tribunal de Justicia ha reconocido la estrecha relación entre el derecho fundamental a la intimidad y el derecho a la protección de datos. (38)

72.      El Tribunal de Estrasburgo ya ha afirmado que las personas jurídicas (al igual que las físicas) pueden invocar el artículo 8 de la CEDH (39) y que esa protección se extiende a las actividades profesionales y empresariales. (40) Los derechos a la intimidad y la protección de datos, por tanto, se aplican prima facie a ambos demandantes en los procedimientos nacionales (dado el contenido respectivo de esos derechos, sería absurdo afirmar que una persona jurídica puede invocar el artículo 8 del CEDH pero no el Convenio nº 108). El Tribunal de Estrasburgo ha sostenido igualmente que la vida privada incluye la identidad personal, como el nombre de una persona, (41) y que la protección de los datos personales tiene una importancia fundamental para el disfrute por parte de esa persona de su derecho al respeto de la vida privada. (42)

73.      Como varios otros derechos clásicos del CEDH, el derecho a la intimidad no es un derecho absoluto. El artículo 8, apartado 2, del CEDH reconoce expresamente la posibilidad de excepciones a ese derecho, al igual que el artículo 9 del Convenio nº 108 respecto al derecho a la protección de los datos personales. El artículo 52 de la Carta establece, asimismo (en términos generales) criterios similares que, en caso de cumplirse, permiten excepciones (o limitaciones) a los derechos de la Carta.

–        ¿Impide el «consentimiento» de la publicación la invocación posterior de los derechos alegados?

74.      En la resolución de remisión y las observaciones escritas presentadas por el Land Hessen se analiza si el hecho de que los demandantes hubiesen sido informados, en los formularios de la solicitud de las ayudas de la PAC, de que sus datos iban a ser procesados, y a pesar de ello firmaron los formularios de solicitud, significa que posteriormente no pueden formular objeciones a esa publicación. Ese análisis plantea dos cuestiones distintas: a) ¿otorgaron los demandantes su consentimiento de forma «inequívoca», en el sentido del artículo 7, letra a), de la Directiva 95/46 [es decir, fue «una manifestación de voluntad, libre, específica e informada» en el sentido del artículo 2, letra h), de esa Directiva], convirtiendo en lícito el tratamiento de sus datos en virtud de ese consentimiento?; b) ¿hay algún principio del Derecho administrativo de la UE, que les impida invocar los derechos que, de no ser por el consentimiento, podrían disfrutar?

75.      En lo concerniente al primer punto, en respuesta a una pregunta directa del Tribunal de Justicia durante la vista, el representante de la Comisión confirmó expresamente que esa institución no intentaba fundamentar su posición en el consentimiento, conforme al artículo 7, letra a) de la Directiva, sino que se basaba exclusivamente en las disposiciones del artículo 7, letra c) (es decir, que el tratamiento era «necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento»). El Consejo argumentó de forma similar.

76.      Al basarse en el artículo 7, letra c) de la Directiva 95/46, la premisa de la Comisión es que son válidas las dos obligaciones legales en virtud de las cuales se procesan los datos de los beneficiarios que reciben fondos del FEAGA y el Feader (el artículo 44 bis del Reglamento nº 1290/2005 del Consejo y, especialmente, el Reglamento nº 259/2008 de la Comisión). Sin embargo, si se considera inválida una, o ambas disposiciones, será infundado dicho motivo de justificación para el tratamiento de datos. El responsable del tratamiento ya no tendría la obligación jurídica de procesar los datos. Por lo tanto, en el contexto de un procedimiento en el que (precisamente) se discute la validez de las disposiciones que imponen la obligación jurídica, esa alegación resulta una petición de principio. No voy a profundizar más en esa cuestión, sino que volveré a la cuestión del consentimiento.

77.      ¿Dieron los demandantes su consentimiento inequívoco al firmar el formulario de solicitud? Según su abogado, la redacción concreta que aparecía en el formulario de la PAC (43) significa que la firma manifestaba meramente el conocimiento de que la publicación tendría lugar y no en cambio el consentimiento de la publicación en sí misma. Si se analiza con más detenimiento, no carece de fundamento tan técnica argumentación.

78.      El formulario de solicitud, de hecho, hace referencia a «publicar los datos de los beneficiarios del FEAGA y del Feader y los importes recibidos por cada beneficiario», y cita el artículo 44 bis del Reglamento nº 1290/2005 del Consejo (además del artículo 11 del Reglamento nº 796/2005). Considerado de forma aislada –es decir, sin tener que consultar los textos completos, no sólo del Reglamento nº 1290/2005 del Consejo, sino también del Reglamento nº 259/2008 de la Comisión–, el formulario de solicitud no deja inequívocamente claro que el solicitante esté dando su consentimiento a la publicación de su nombre, municipio de residencia (y, en su caso, el código postal), así como de los importes que se le conceden en virtud del FEAGA y el Feader. El solicitante sólo tendría conciencia del verdadero significado de su consentimiento de la publicación si conociese el texto del artículo 1, apartado 1, del Reglamento nº 259/2008 de la Comisión. Únicamente en esa disposición se describe con todo detalle el contenido de la publicación. Pero en el aviso del formulario no se menciona el Reglamento nº 259/2008 de la Comisión, y su existencia no puede deducirse de la lectura del texto de los dos reglamentos a los que se hace referencia en el formulario de solicitud.

79.      El artículo 7 de la Directiva 95/46 enumera de forma exhaustiva los requisitos estrictos conforme a los que el tratamiento de datos puede hacerse de forma totalmente legal. El artículo 7, letra a), exige que el interesado haya dado su consentimiento «inequívoco». El reconocimiento de haber sido informado de que se va a producir alguna clase de publicación no es lo mismo que dar un consentimiento «inequívoco» a una clase específica de publicación detallada. Y tampoco puede describirse como una «manifestación libre y específica» de la voluntad del interesado de conformidad con la definición del consentimiento del interesado que recoge el artículo 2, letra h). Por lo tanto, considero que los demandantes no dieron su consentimiento al tratamiento (es decir, a la publicación) de sus datos en el sentido del artículo 7, letra a), de la Directiva 95/46.

80.      No obstante, la alegación técnica tiene poco valor a largo plazo. Incluso aunque se estimara en el presente caso, podría desestimarse en el futuro mediante el sencillo procedimiento de modificar la redacción del formulario y mencionar el Reglamento nº 259/2008 de la Comisión, haciendo inequívoco el consentimiento dado por el interesado. Se hace necesario, por tanto, analizar el segundo punto.

81.      El artículo 7 de la Directiva 95/46 establece un marco jurídico que define la forma legítima de realizar el tratamiento de los datos personales en los Estados miembros. (44) En él se refleja el artículo 8, apartado 2, de la Carta, que establece que los datos deben tratarse de modo leal y «sobre la base del consentimiento de la persona afectada» (o en virtud de otro fundamento legítimo previsto por la ley). El artículo 7, letra a), de la Directiva 95/46 añade el requisito adicional de que el consentimiento sea «inequívoco». En ese marco jurídico, me parece que en primer lugar se debe examinar necesariamente la naturaleza del supuesto consentimiento, y que un demandante debe tener la posibilidad de aducir bien que, aunque el consentimiento fue voluntario, no debería haber sido obligado a prestarlo (es decir, renunciar al derecho en cuestión), o bien que el consentimiento no fue dado libremente.

82.      La primera alternativa no requiere más explicaciones. En lo que concierne a la segunda, estaría dispuesta a aceptar que una presión económica significativa es suficiente para hacer que el consentimiento no sea voluntario [y, por lo tanto, no otorgado de forma «libre», en el sentido del artículo 2, letra h), de la Directiva 95/46].

83.      Si realmente existió esa presión o no, es una cuestión fáctica que corresponde dilucidar al órgano jurisdiccional nacional. Merece la pena dejar constancia de que, durante la vista, el abogado de los demandantes indicó (sin que le contradijera ninguna institución) que la financiación obtenida en virtud de la PAC puede representar entre el 30 % y el 70 % de los ingresos de un agricultor.

84.      Desde el propio Tribunal de Justicia se sugirió un posible contraejemplo: la situación en la que una persona solicita un préstamo a un banco: ¿puede elegir si acepta o no el préstamo en los términos en los que le es ofrecido? Sea cual sea el verdadero grado de elección comercial del que dispone un solicitante en el mercado libre, en este caso existe únicamente un «banco» que pone a su disposición los fondos de ayuda que la Unión Europea considera apropiado y pertinente proporcionar a los agricultores. Se sugirió que, en realidad, no existe ninguna alternativa práctica a la PAC para la mayoría de los agricultores que solicitan las ayudas derivadas de esa política. Los agricultores se apoyan en esa financiación para poder mantener explotaciones agrícolas viables de pequeño y mediano tamaño que generen un nivel de ingresos adecuado para ellos y sus familias. Una vez más, ésta es una cuestión fáctica que corresponde a la competencia exclusiva del órgano jurisdiccional nacional.

85.      Sin embargo, me parece que, por principio, una persona que solicita ayudas a una organización pública como la Unión Europea (con independencia de que la Unión actúe de forma independiente o en concierto con los Estados miembros) no puede ser obligada, únicamente como condición para obtener esa financiación, a renunciar a un derecho fundamental que le asistiría de no ser por tal condición.

86.      En esas circunstancias, soy de la opinión de que los demandantes no han perdido la facultad de hacer valer su derecho a la protección de datos (ya sea en virtud de la Directiva 95/46 o del Convenio nº 108) por haber firmado los formularios de solicitud de ayudas de la PAC. Por lo tanto, el Tribunal de Justicia debe proceder a analizar los aspectos que constituyen la cuestión central de este caso.

 Análisis jurídico

87.      Es evidente que el Tribunal de Justicia debe enfocar las cuestiones primera y segunda, letra a), en una serie de fases analíticas (algunas de las cuales, sin embargo, pueden tratarse de forma muy breve). (45) Dado que la acción ejercitada ante el órgano jurisdiccional nacional se basa en la supuesta vulneración del derecho a la intimidad y la protección de datos personales de los demandantes, el punto de partida han de ser esos derechos, y no el derecho de transparencia. ¿Existe una injerencia en los derechos a la intimidad y a la protección de datos personales? En tal caso, ¿está «prevista por la ley»? ¿Es (en principio) «necesaria en una sociedad democrática» porque responde a una necesidad social apremiante? ¿Y es proporcionada? Responder a esta última pregunta implica especificar con claridad y precisión cuál es exactamente el objetivo de las medidas impugnadas, analizar si las medidas específicas elegidas (con el grado particular de injerencia en los derechos que pueden entrañar) son adecuadas para conseguir ese objetivo y comprobar que no vayan más allá de lo necesario para conseguirlo.

–        ¿Existe injerencia en un derecho protegido?

88.      Tanto el Consejo como la Comisión aceptan que de la legislación analizada se deriva una injerencia en el derecho de los demandantes al respeto por su intimidad, pero la consideran menos grave que la injerencia analizada por el Tribunal en la sentencia Örf. (46) Sin embargo, la Comisión alega que la legislación es compatible con el derecho fundamental a la protección de los datos personales. El Consejo no trata específicamente esa cuestión.

89.      En mi opinión, las medidas impugnadas constituyen una injerencia clara en los derechos de los demandantes tanto a la intimidad como a la protección de los datos personales.

90.      En el asunto ÖRF, las entidades públicas sujetas al control del Rechnungshof (Tribunal de Cuentas austriaco) estaban obligadas a comunicar a éste las retribuciones y pensiones superiores a un nivel determinado que tales entidades abonaban a sus empleados y pensionistas, así como el nombre de los beneficiarios. Esa información se utilizaba con el objeto de elaborar un informe anual que había de presentarse al Nationalrat (Cámara baja del Parlamento federal), al Bundesrat (Cámara alta del Parlamento federal) y a los Landtage (Parlamentos de los Länder) y ponerse a la disposición del público en general. El Tribunal de Justicia afirmó que la Directiva 95/46 era aplicable, estimó que la comunicación de datos relativos a las retribuciones por un empleador a un tercero constituía una injerencia en el derecho a la vida privada regulado en el artículo 8 del CEDH, y continuó analizando si esa injerencia estaba justificada.

91.      En el asunto Satakunnan Markkinapörssi, (47) los datos a los que hacían referencia las cuestiones comprendían el nombre y apellido de diversas personas físicas cuyos ingresos superaban determinados umbrales, y con un margen de aproximación de 100 euros, los datos relativos a las rentas derivadas de sus rendimientos del trabajo y del capital, así como indicaciones relativas a la imposición de su patrimonio. Los datos, que el periódico pudo obtener de la Administración fiscal finlandesa en virtud de la normativa nacional sobre acceso a la información, se publicaban en listas por orden alfabético y se clasificaban por municipios y tipos de renta. Toda persona física podía, sin embargo, solicitar la retirada de sus datos de esa lista. Los datos eran claramente «datos personales» que eran «tratados» en el sentido de la Directiva 95/46. En caso de que el Tribunal de Justicia no hubiese considerado que las actividades de procesamiento denunciadas se ejercían «exclusivamente con fines periodísticos» en el sentido de las excepciones contenidas en el artículo 9 de la Directiva, esas actividades habrían constituido una infracción ilícita de los derechos al respeto a la intimidad y a la protección de los datos personales de esas personas físicas.

92.      En el presente asunto, los beneficiarios de la PAC aparecen identificados de forma individual, por su nombre. La dirección en la que pueden ser encontrados se identifica con un considerable grado de precisión, puesto que se señala el municipio en el que residen y, en su caso, el código postal. Los códigos postales normalmente abarcan áreas de limitada extensión (de lo contrario, resultarían poco útiles para la clasificación del correo). Cuando se utilizan junto con otras fuentes de información disponible en Internet (como las guías de teléfonos), permiten con frecuencia que se determine con precisión la dirección exacta de una persona. También se muestra la cuantía determinada de las ayudas que reciben los beneficiarios de la PAC. Parece probable que, al menos en algunos casos, esa información permita extraer conclusiones (sean éstas correctas o equivocadas) respecto al nivel general de ingresos de los beneficiarios. (48) Por tanto, el criterio del Tribunal de Justicia en las sentencias ÖRF y Satakunnan Markkinapörssi puede aplicarse perfectamente a este asunto. De hecho, las dos primeras cuestiones planteadas, al preguntar sobre la validez de esas medidas, buscan en esencia determinar si esa injerencia está o no justificada. Su punto de partida (en mi opinión, correcto) es que la injerencia existe.

–        ¿Está esa injerencia «prevista por la ley»?

93.      Con la excepción del artículo 1, apartado 2, del Reglamento nº 259/2008 de la Comisión, sobre el que volveré más adelante, (49) considero que los requisitos de publicación son suficientemente claros y precisos para satisfacer la exigencia de que la publicación esté «prevista por la ley» o «establecida por la ley»: las distintas expresiones –que yo entiendo sinónimas– pueden encontrarse, respectivamente, en el artículo 8, apartado 2 del CEDH, el artículo 8, apartado 2, de la Carta y en el artículo 52, apartado 1, de la Carta. Las disposiciones impugnadas dejan claro que se publicará cierta información relativa a los beneficiarios, y especifican la forma en que se llevará a cabo dicha publicación.

–        ¿Es la publicación (en principio) «necesaria en una sociedad democrática» porque responde a una necesidad social apremiante?

94.      El objetivo general expreso de las disposiciones cuya validez se pone en duda en las dos primeras cuestiones (el artículo 42, punto 8 ter, y el artículo 44 bis del Reglamento nº 1290/2005 del Consejo, y el Reglamento nº 259/2008 de la Comisión) es aplicar la IET y mejorar la transparencia sobre el uso de los fondos de la PAC. (50) Fomentar la transparencia es, en principio, un motivo legítimo para interferir en los derechos a la intimidad y la protección de datos personales. Al hacer esa afirmación quiero decir sólo que es, potencialmente, un objetivo legítimo que puede ser considerado necesario en una sociedad democrática. (51) Por tanto, me inclino por aceptar que en principio –y subrayo esas palabras– es «necesario en una sociedad democrática» un cierto grado de injerencia en los derechos a la intimidad y a la protección de datos personales para fomentar la transparencia del proceso democrático porque responde a una necesidad social apremiante.

95.      Si se expresa esa misma opinión en los términos empleados en la Carta, el fomento de la transparencia del proceso democrático constituye un «fundamento legítimo» para el tratamiento de datos en el sentido del artículo 8, apartado 2, y un «objetivo de interés general reconocido por la Unión» a efectos del artículo 52, apartado 1.

96.      En la medida en que una aplicación adecuada del principio de transparencia supone que deben adoptarse medidas para informar al público en general (a diferencia de grupos particulares de personas dentro del público, como los periodistas de investigación, que –tal vez– tengan más tiempo y recursos para consultar fuentes tradicionales de información, como los registros mantenidos en oficinas municipales y obras de referencia disponibles únicamente en las principales bibliotecas públicas), el medio obvio de publicación en la actualidad es Internet. Sin embargo, la propia accesibilidad, capacidad de búsqueda y comodidad de Internet hace que esa publicación sea, potencialmente, mucho más intrusiva en los derechos a la intimidad y la protección de los datos personales de los demandantes que la publicación en otros medios más tradicionales. Al considerar si una publicación de datos personales con un nivel de detalle particular constituye una injerencia justificada y proporcionada en esos derechos, deben tenerse en cuenta la naturaleza y consecuencias de la publicación en Internet.

97.      El Consejo y la Comisión han interpretado el artículo 42, punto 8 ter, y el artículo 44 bis del Reglamento nº 1290/2005 del Consejo en el sentido de que hacen referencia a una publicación en la que los beneficiarios individuales son identificados por su nombre y por las cantidades que reciben. Yo distinguiría entre las dos disposiciones citadas.

98.      El artículo 42, punto 8 ter, es una norma atributiva de competencia, ni más ni menos. Confiere a la Comisión las competencias delegadas necesarias para adoptar disposiciones detalladas. No comparto la opinión del órgano jurisdiccional remitente de que el artículo 42, punto 8 ter, infringe el artículo 202 CE, tercer guión (atribución a la Comisión de competencias de ejecución por parte del Consejo), y el artículo 211 CE, cuarto guión (ejercicio por la Comisión de esas competencias delegadas). (52)

99.      Es cierto que el artículo 42, punto 8 ter, tiene una redacción muy amplia. Sin embargo, al establecer los parámetros dentro de los cuales la Comisión puede actuar en el ejercicio de las competencias delegadas, el Consejo disfruta de amplias facultades discrecionales. El Consejo no está obligado a especificar los componentes esenciales de las potestades delegadas: es suficiente con una potestad general. (53)

100. Además, a la Comisión no se le han otorgado potestades ilimitadas dentro de las que actuar. El artículo 42, punto 8 ter, establece que la Comisión adoptará la normativa detallada «con arreglo a los principios establecidos en la legislación comunitaria sobre protección de datos». Así, cuando el artículo 42, punto 8 ter, exige que esas normas contengan disposiciones en el sentido de que los datos «podrán hacerse públicos», no significa que las normas adoptadas sean cualesquiera que elija la Comisión. Antes bien, a la Comisión se le otorgó potestad para adoptar normas detalladas, pero únicamente normas que no vulnerasen el derecho a la protección de los datos personales en un grado intolerable.

101. Consecuentemente, no veo ninguna razón para poner en duda la validez del artículo 42, punto 8 ter, del Reglamento nº 1290/2005 del Consejo.

102. Algo muy distinto es lo que sucede con el artículo 44 bis. Aunque la expresión «publicación anual a posteriori de los beneficiarios del FEAGA y del Feader» no exige por sí misma que los beneficiarios individuales sean identificados [de hecho, únicamente sigue la redacción del artículo 53 ter, apartado 2, letra d), del Reglamento Financiero], los requisitos posteriores para garantizar la publicación de «los importes recibidos por beneficiario con cargo a cada uno de estos fondos», y que la publicación deba contener, «en el caso del Feader, el importe total de la financiación pública por beneficiario», puesto en relación con los considerandos decimotercero y decimocuarto del Reglamento nº 1437/2007 del Consejo (que introduce la modificación crucial del Reglamento nº 1290/2005 del Consejo), indican que el artículo 44 bis del Reglamento nº 1290/2005 debe interpretarse en el sentido de que exige la publicación individualizada.

103. Esa publicación individualizada puede ser del tipo definido mediante los requisitos expuestos por el Reglamento nº 259/2008 de la Comisión. En el presente asunto, de esa forma específica de «publicación en interés de la transparencia» hay que valorar la proporcionalidad. Sin embargo, considero que en principio es posible que la publicación individualizada pueda implicar facilitar menos detalles sobre la persona afectada, por ejemplo, no vinculando el nombre de cada beneficiario con su municipio de residencia o código postal.

–        ¿Es proporcionada la injerencia?

104. La reiterada jurisprudencia del Tribunal de Justicia establece que «[...] el principio de proporcionalidad, que forma parte de los principios generales del Derecho comunitario, exige que los actos de las instituciones comunitarias no rebasen los límites de lo que resulta apropiado y necesario para el logro de los objetivos legítimos perseguidos por la normativa controvertida, entendiéndose que, cuando se ofrezca una elección entre varias medidas adecuadas, debe recurrirse a la menos onerosa, y que las desventajas ocasionadas no deben ser desproporcionadas con respecto a los objetivos perseguidos». (54)

105. No puede bastar con que el Consejo y la Comisión se limiten a invocar el principio de transparencia en términos generales para demostrar que las medidas específicas adoptadas están justificadas y que la legislación es, consecuentemente, perfectamente válida, ya que la necesidad, adecuación y proporcionalidad de una medida legislativa únicamente puede ser valorada con referencia a un objetivo preciso y específico. La transparencia, como tal, ha sido claramente identificada como deseable, como un bien social y democrático. Pero ¿qué pretende conseguir exactamente la transparencia en el contexto específico de estos dos Reglamentos?

106. Los considerandos del Reglamento nº 1437/2007 del Consejo (que introdujo las modificaciones relevantes en el Reglamento nº 1290/2005), junto con los considerandos del Reglamento nº 259/2008 de la Comisión, establecían los objetivos de las disposiciones impugnadas en términos adecuados para satisfacer el requisito de que los actos jurídicos estén motivados. (55)

107. Así, el decimotercer considerando explica que el objetivo del Reglamento nº 1437/2007 del Consejo es aplicar la iniciativa europea en favor de la transparencia a los gastos de la PAC. El decimocuarto considerando confirma que la publicación anual a posteriori de los beneficiarios en virtud del FEAGA y el Feader aumenta la transparencia y mejora la correcta gestión financiera del uso de los fondos de la PAC, en particular intensificando el control público del dinero empleado. Esos considerandos también indican que el legislador era consciente de que toda injerencia en el derecho a la intimidad y a la protección de datos personales debía ser proporcionada.

108. El segundo considerando del Reglamento nº 259/2008 de la Comisión imita las palabras iniciales del decimocuarto considerando de la exposición de motivos del Reglamento nº 1437/2007 del Consejo, al indicar que «el objetivo de la publicación [...] es aumentar la transparencia sobre el uso de los Fondos comunitarios y mejorar la gestión financiera de estos Fondos». El tercer considerando proclama que deben establecerse los «requisitos mínimos» relativos al contenido de la publicación, recordando que «[d]ichos requisitos no deben rebasar los límites de lo necesario en una sociedad democrática para alcanzar los objetivos perseguidos». El sexto considerando es una repetición literal de las dos primeras frases del decimocuarto considerando del Reglamento nº 1437/2007 del Consejo. Otros considerandos del Reglamento nº 259/2008 de la Comisión se limitan a añadir que «con el fin de cumplir los requisitos sobre la protección de datos, los beneficiarios deben ser informados de la publicación y de los derechos derivados de la [Directiva 95/46]» (séptimo considerando); (56) y que, «por razones de transparencia», los beneficiarios de los Fondos «deben ser informados también de que [...] sus datos de carácter personal pueden ser tratados por organismos de auditoría e investigación de las Comunidades y de los Estados miembros» (octavo considerando).

109. En las observaciones escritas se ha dedicado atención a analizar los requisitos de publicación al amparo de diversos otros fondos de la UE, en particular el Fondo Social Europeo («FSE»). En esencia, los demandantes señalan que el FSE no exige la divulgación del nombre de los beneficiarios de ayudas. Por analogía, alegan, la posición de los beneficiarios de los fondos de la PAC debería ser la misma. Tanto el Consejo como la Comisión rebaten esa analogía, argumentando que la posición de los beneficiarios no es la misma en los dos sectores. En primer lugar, los pagos al amparo del FSE no se abonan directamente a personas físicas o jurídicas como beneficiarios, sino que se entregan a organizaciones intermediarias (como las autoridades regionales), para proyectos particulares. En segundo lugar, una divulgación equivalente en el contexto del FSE representaría una injerencia mucho más grave en el derecho al respeto a la intimidad del beneficiario último, porque la divulgación revelaría aspectos de la situación o estado personal del beneficiario, como el desempleo o una discapacidad, lo que (según alegaban las instituciones) no ocurría en absoluto con los beneficiarios de la PAC.

110. Me parece que existen tanto similitudes como diferencias entre los fondos, y no estoy segura de que se consiga mucho haciendo aquí una comparación detallada. La estructura de las disposiciones financieras es, de hecho, diferente. Al mismo tiempo, el modo en que las instituciones han implantado la IET en otros sectores puede arrojar algo de luz, al mostrar modos alternativos de conciliar los objetivos de transparencia, por un lado, y los derechos a la intimidad y a la protección de datos personales, por el otro.

111. En el sector de la pesca las ayudas se abonan directamente a los beneficiarios, pero el objetivo de la transparencia se consigue de forma diferente, tal vez más centrada en el objetivo. Así, el artículo 51 del Reglamento nº 1198/2006 (57) dispone que se haga una publicación de forma que exista un vínculo claro entre la ayuda, el proyecto y el beneficiario. Por lo tanto, es relativamente fácil ver cómo esa información puede servir a un debate público sobre la financiación del sector de la pesca. Ese vínculo entre, por un lado, el beneficiario y el importe de la ayuda que recibe y, por otro lado, el fin con el que se le concede la ayuda no existe en las disposiciones relativas a la publicación que se están analizando en el presente asunto.

112. Sin embargo, entiendo en definitiva que las disposiciones relativas a la publicación establecidas respecto de cada fondo para aplicar la iniciativa europea en favor de la transparencia deben evaluarse, en la medida en que sea necesario, en vista de las circunstancias, requisitos y objetivos particulares identificados por el legislador. Por lo tanto, en mi opinión no existe ninguna regla inamovible respecto a lo que es aceptable y lo que no lo es.

113. En resumen: la redacción de los considerandos y las disposiciones de fondo que se están analizando pueden apoyar la conclusión de que la injerencia, en interés de la transparencia, en los derechos a la intimidad y la protección de datos personales puede cumplir la prueba de proporcionalidad. Sin embargo, para alcanzar una opinión fundada sobre si la injerencia es de hecho proporcionada se hace necesario analizar las alegaciones adicionales de las partes durante la vista oral del procedimiento.

114. En la vista, los diversos objetivos posibles fueron analizados con mayor detalle. Ambas instituciones hicieron alegaciones generales sobre la transparencia como derecho fundamental y su importancia como un principio de la democracia. El Consejo alegó que la publicación no permitía extraer conclusiones sobre las circunstancias personales o los ingresos de los beneficiarios (una alegación que fue rechazada de plano tanto por el abogado de los demandantes como por el Sr. Volker Schecke, que respondió personalmente a una pregunta del Tribunal de Justicia). (58) Las dos instituciones formularon alegaciones generales acerca de la importancia de una gestión adecuada de los fondos comunitarios y sobre la necesidad de que los ciudadanos puedan participar en un debate público (59) (definido de forma muy imprecisa) de alguna forma (no especificada). El Consejo destacó que la publicación no se hacía únicamente a efectos de la transparencia: atañía también al control público. Si la publicación se restringiese a los principales beneficiarios del FEAGA y del Feader, no informaría ni permitiría ejercer control a los contribuyentes de una comunidad determinada que estuviesen interesados en la ayuda concedida a sus vecinos. También eso era parte del debate público, y por lo tanto se hacía necesario identificar tanto a los grandes receptores de ayuda como a los pequeños, sin distinción. La Comisión no se mostró de acuerdo: según afirmó, el objetivo de las medidas no era permitir que la gente satisficiera su curiosidad malsana sobre la posición económica de sus vecinos. En lugar de eso, se trataba de facilitar un debate público sobre si las ayudas de la PAC debían ser modificadas, o tal vez concedidas de modo diferente. Por ejemplo, ¿debía estar destinada esa ayuda a grandes empresas o a pequeños agricultores locales? ¿Debería concentrarse en las áreas desfavorecidas?

115. Se preguntó expresamente a la Comisión si la publicación de los datos de los beneficiarios, al facilitar un mayor nivel de vigilancia por el público en general, se hacía con la intención de reforzar la prevención contra el fraude. La Comisión rechazó categóricamente tal sugerencia, afirmando que las medidas contra el fraude existentes eran adecuadas. (60) El Consejo, aparentemente, se mostró en desacuerdo con la Comisión en este punto (bastante importante), arguyendo que la publicación era conveniente porque una mayor prevención contra el fraude sería algo positivo. Sin embargo, según yo lo entiendo, el Consejo no llegó tan lejos como para afirmar que la normativa detallada promulgada por la Comisión tenía inicialmente la intención de cumplir ese objetivo.

116. Así pues, ¿era el objetivo proporcionar al público en general un mayor nivel de conocimiento y concienciación sobre cómo se estaban gastando los fondos de la PAC? Las instituciones contestaron que sí. Pero ¿por qué, en ese caso, era necesario publicar el nombre y dirección de todos los beneficiarios, junto con la cantidad recibida? ¿Por qué no utilizar alguna forma de agrupación de datos? ¿No es cierto que la información al público en general podía conseguirse agrupando datos en las categorías pertinentes, protegiendo así el anonimato de los beneficiarios individuales? Pues bien, según afirmó la Comisión esa medida sería muy onerosa desde el punto de vista administrativo; y además, parte del objetivo era mejorar el conocimiento general del público sobre quién estaba obteniendo ayuda financiera. (61) Considero esa manifestación como una alegación (indirecta) de que el público en general debería conocer los datos precisos de los beneficiarios. Si la Comisión se refería a «todos los beneficiarios» o meramente a personas como «el conde austriaco» (cortésmente no identificado por su nombre por el agente de la Comisión en la vista) que es, aparentemente, uno de los grandes beneficiarios de los fondos de la PAC, no quedó claro, y sigue sin serlo.

117. Por tanto, se hizo evidente que las instituciones tenían criterios bastante diferentes sobre los objetivos de los actos legislativos impugnados. La Comisión hizo referencia en repetidas ocasiones al «debate público». Sin embargo, no definió lo que ese concepto significaba realmente, ni tampoco explicó por qué los datos personales de literalmente millones de personas debían ser publicados de forma no acumulada en Internet con el fin de estimular (o tal vez facilitar) ese debate. El Consejo manifestó, además, que la publicación se justificaba para aumentar el control público sobre el gasto de la PAC como parte de la lucha contra el fraude, una postura de la que la Comisión se desvinculó expresamente.

118. En mi opinión, todo esto no es suficiente. El Tribunal de Justicia tiene que valorar la proporcionalidad de las medidas elegidas en relación con el objetivo final que se pretende conseguir. Si se intenta llevar a cabo esa valoración en este asunto resulta imposible, en mi opinión, respaldar la validez de la legislación. La vaga naturaleza (si no directamente contradictoria) de los objetivos que las instituciones afirman estar persiguiendo no permite extraer la conclusión de que las medidas adoptadas superen la prueba de proporcionalidad. Por el contrario, el debate sostenido durante la vista (que se basó en las alegaciones contenidas en las observaciones escritas de las instituciones, y en cierto modo vino suscitado por éstas) dejó claro que, dependiendo de qué objetivo preciso identificaba cada cual como objetivo principal, un tipo diferente de publicación de datos podría ser menos intrusivo y más adecuado.

119. Me permitiré ilustrar este punto. Si la motivación es averiguar quién obtiene exactamente niveles de financiación significativos del presupuesto de la PAC, la publicación debería, efectivamente, incluir los nombres de los beneficiarios (fuesen éstos empresas o personas físicas) y mostrar el importe que recibe cada uno, pero esa publicación debería estar limitada a quienes reciban un importe superior a un límite dado en cualquier año natural. Si, por otro lado, el objetivo subyacente a la publicación es permitir que el público participe, bien informado, en el debate sobre si la mayor parte de las ayudas de la PAC deben ir a una categoría de agricultores en lugar de a otra, o si un tipo particular de actividad agrícola debe recibir más ayuda que otra, los datos deberían publicarse de forma acumulada, para permitir a los miembros del público en general entender en qué se está gastando actualmente el dinero. Las alegaciones presentadas por las instituciones, tanto por escrito como oralmente durante la vista, no pudieron explicar por qué la forma específica de publicación escogida –datos simples no agrupados ni acumulados, ni tampoco vinculados a ninguna característica obvia de la PAC que el público pudiera estar interesado en debatir– sirve de forma proporcionada al fin para el que está concebida.

120. Así que, para evitar malentendidos, voy a ser muy clara en dos puntos. En primer lugar, no estoy recomendando a la Comisión la forma precisa en la que debería publicar los datos. Yo no soy experta en estadística, y esa tarea corresponde al legislador, no al Tribunal de Justicia. Lo que estoy diciendo es que, cuando el legislador ha escogido una forma particular de publicación que interfiere en un derecho, la institución responsable debe ser capaz de explicar al Tribunal de Justicia por qué esa forma precisa de publicación resulta necesaria, adecuada y proporcionada al objetivo específico que se desea alcanzar. En mi opinión, esa explicación no ha sido facilitada en el presente asunto. No considero la comodidad administrativa (a pesar de lo deseable que seguramente resultará desde la perspectiva de cualquier institución) como una justificación adecuada por sí misma.

121. En segundo lugar, tampoco estoy recomendando cuál ha de ser el objetivo preciso de la publicación. De nuevo, eso es competencia del legislador (y, por supuesto, el legislador disfruta de un razonable margen de discrecionalidad en su elección). Distintos (y múltiples) objetivos pueden de hecho exigir distintas (y múltiples) formas de publicación. Pero cada forma debe poder justificarse como proporcionada a la luz del objetivo preciso y claramente identificado al que pretende servir.

 Conclusión sobre la proporcionalidad y respuestas propuestas a las cuestiones primera y segunda, letra a)

122. El razonamiento contenido en los considerandos del Reglamento nº 1437/2007 del Consejo (que introducía modificaciones importantes en el Reglamento nº 1290/2005 del Consejo) y del Reglamento nº 259/2008 de la Comisión es adecuado, pero está formulado en términos muy generales. Por lo tanto, la cuestión de si el artículo 42, punto 8 ter, y el artículo 44 bis del Reglamento nº 1290/2005 del Consejo y el Reglamento nº 259/2008 de la Comisión deben ser considerados una injerencia proporcionada en el derecho a la intimidad y el derecho a la protección de datos personales depende de que exista una explicación razonable del motivo por el que las instituciones eligieron una forma particular de publicación, con un nivel de detalle particular (datos simples sin ningún tipo de agrupación), y por qué esa forma de publicación era necesaria, adecuada y proporcionada para conseguir el objetivo preciso al que la publicación debía servir.

123. En mi opinión, las instituciones no han dado al Tribunal de Justicia una explicación que, una vez analizada, supere ese examen. No creo que el Tribunal de Justicia deba reconocer la validez de una legislación que hace referencia de forma bastante correcta a principios generales que son eminentemente deseables, pero que –cuando se solicitan explicaciones más detalladas para permitir que el Tribunal de Justicia ejerza su función judicial– revela el nivel de confusión y la incoherencia interinstitucional que se ha manifestado en este caso.

–        Reglamento nº 1290/2005 del Consejo

124. En lo que concierne al Reglamento nº 1290/2005 del Consejo, el análisis de la primera cuestión planteada no revela ningún elemento que pueda afectar a la validez del artículo 42, punto 8 ter. Sin embargo, el artículo 44 bis es inválido en tanto que exige la publicación automática de los nombres, el municipio de residencia y, cuando se conozca, el código postal de todos los beneficiarios del FEAGA y el Feader, junto con los importes recibidos por cada beneficiario de esos fondos.

–        Reglamento nº 259/2008 de la Comisión

125. La validez del Reglamento nº 259/2008 de la Comisión depende enteramente de si son proporcionadas las disposiciones detalladas que establece para aplicar el Reglamento nº 1290/2005 del Consejo, con las modificaciones introducidas por el Reglamento nº 1437/2007 del Consejo. De todo lo que he dicho anteriormente se desprende que, en mi opinión, no lo son. La respuesta a la cuestión segunda, letra a), debería ser, por lo tanto, que el Reglamento nº 259/2008 de la Comisión es inválido.

126. El artículo 1, apartado 2, del Reglamento nº 259/2008 de la Comisión merece un breve análisis separado. Esa disposición tiene el siguiente tenor: «Los Estados miembros podrán publicar una información más detallada que la prevista en el apartado 1» (que establece los requisitos mínimos de la publicación en virtud del Reglamento). Ya he afirmado que el Reglamento nº 259/2008 debería ser declarado inválido en su totalidad. Pero, aunque no hubiese llegado a esa conclusión, habría invitado al Tribunal de Justicia a declarar inválido el artículo 1, apartado 2, de ese Reglamento.

127. La Comisión explicó que, al redactar el Reglamento, su objetivo era situar los requisitos de publicación en un nivel que respetase las distintas tradiciones de los Estados miembros respecto a la divulgación de datos personales. Hago la observación preliminar de que los Estados miembros están, en cualquier caso, obligados a respetar los derechos garantizados por el artículo 8 del CEDH y por el Convenio nº 108. No necesitan permiso de la Comisión para publicar información más detallada, en tanto no contravengan los requisitos de esas disposiciones. A la inversa, dicho permiso no podría hacer lícito lo que sin él sería ilegal.

128. Más importante aún, en la medida en que el artículo 1, apartado 2, autoriza, o pretende autorizar, una publicación más extensa, no puedo ver cómo la injerencia resultante, considerada desde la perspectiva del Derecho de la Unión Europea, podría estimarse «prevista por la ley». Para que la injerencia esté «prevista por la ley» en virtud del artículo 8, apartado 2, del CEDH, la disposición que autoriza la injerencia debe tener unos términos suficientemente claros para dar a los ciudadanos una indicación adecuada de las circunstancias en las que las autoridades públicas pueden interferir en la vida privada. (62) En mi opinión, es imposible predecir, sobre la base del texto del artículo 1, apartado 2, qué formas adicionales puede adoptar la publicación, los datos adicionales que pueden ser divulgados o las razones que pueden darse para justificar dicha publicación adicional. Eso es inaceptable y, por sí mismo, hace que sea inválida la disposición.

 Cuestiones tercera, cuarta y quinta

129. Analizaré ahora las cuestiones detalladas relativas a la Directiva 95/46, descritas en el punto 62.

130. Las cuestiones tercera, cuarta y quinta atañen a la Sección IX de la Directiva 95/46, cuyos artículos 18 a 21 regulan la notificación. En esencia, el responsable del tratamiento de datos [la persona que determina los fines y los medios del tratamiento de datos personales, según se define en el artículo 2, letra d)], está obligada a notificar a la autoridad de control nacional con anterioridad a la realización de un tratamiento o un conjunto de tratamientos. El objetivo de la notificación es mejorar la transparencia para los interesados. En la actualidad, cada Estado miembro tiene sus propias normas sobre notificaciones y excepciones a la obligación de notificar. (63)

 Tercera cuestión

131. Mediante la tercera cuestión, el órgano jurisdiccional remitente pregunta si, en caso de que se incumpla el procedimiento de notificación previsto en el artículo 18 de la Directiva 95/46, eso convierte en ilícito cualquier tratamiento posterior de datos personales.

132. El artículo 18, apartado 1, de la Directiva 95/46 establece que debe efectuarse una notificación a la autoridad de control antes de que se realice un tratamiento. Sin embargo, el artículo 18, apartado 2, permite a los Estados miembros simplificar u omitir ese requisito de notificación en dos tipos de circunstancias: cuando establezcan disposiciones para el tratamiento de determinadas categorías de datos que «no puedan afectar a los derechos y libertades de los interesados» (artículo 18, apartado 2, primer guión) y cuando el responsable del tratamiento, en cumplimiento del Derecho nacional, designe un encargado de protección de los datos personales que tenga por cometido garantizar que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados (artículo 18, apartado 2, segundo guión). El encargado de protección de datos personales es responsable de «hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la [Directiva 95/46]» y de «llevar un registro de los tratamientos efectuados por el responsable del tratamiento» (64), permitiendo así la verificación a posteriori de esas operaciones.

133. El artículo 19, apartado 1, letras a) a f), prescribe el contenido mínimo de las notificaciones realizadas al amparo del artículo 18. Los elementos identificados en el artículo 19, apartado 1, letras a) a e), deben ser consecuentemente inscritos en el registro de tratamientos para cumplir lo establecido en el artículo 21, apartado 2. (65) Los Estados miembros tienen libertad para especificar los datos adicionales que debe contener una notificación o el registro. (66)

134. El Land Hessen ha optado por aplicar el artículo 18, apartado 2, segundo guión, con el resultado de que no es obligatoria la notificación previa de la realización de un tratamiento a la autoridad de control prevista en el artículo 18, apartado 1. En tales circunstancias (y al contrario de la opinión expresada por el órgano jurisdiccional remitente) no existe ningún requisito de que se presente una «notificación completa y efectiva». El control sobre la legalidad del tratamiento es un control a posteriori efectuado por medio del registro, no un control ex ante.

135. La información que según el órgano jurisdiccional remitente falta en el registro es información que supera los requisitos mínimos del artículo 19, apartado 1, letras a) a e). El órgano jurisdiccional remitente observa, por ejemplo, que el registro es «incompleto» porque se han omitido los plazos temporales en los que los datos deben ser eliminados. ¿Convierte eso los posteriores tratamientos de datos en ilegales, con arreglo al Derecho de la UE?

136. En mi opinión, no.

137. Los Estados miembros pueden simplificar legítimamente el procedimiento de notificación o excluir determinadas operaciones de la obligación de notificación, siempre que cumplan las condiciones expuestas en el artículo 18, apartado 2. Para cumplir esta parte de la Directiva 95/46 basta con que el encargado de protección de datos personales nombrado de conformidad con el artículo 18, apartado 2, segundo guión, cumpla su obligación primordial de «garantizar que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados» y que el registro de tratamientos contenga los elementos mínimos exigidos por el artículo 21, apartado 2. Las consecuencias (en su caso) de no incluir en tal registro elementos adicionales de información que excedan de los elementos mínimos citados se regulan por el Derecho nacional, no el de la UE.

 Cuarta cuestión

138. El órgano jurisdiccional remitente pregunta si el artículo 20 de la Directiva 95/46 debe interpretarse en el sentido de que la publicación de información sobre los beneficiarios del FEAGA y el Feader únicamente puede efectuarse cuando se haya realizado el control previo previsto por el Derecho nacional. Según el punto de vista del órgano jurisdiccional remitente, tanto la ley federal alemana como la legislación del Land Hessen exigen que se realice ese control previo. En ausencia de tal control previo, la publicación no sería leal ni lícita en el sentido del artículo 6, apartado 1, letra a), de la Directiva 95/46.

139. El Land Hessen alega que el control previo conforme al artículo 20 de la Directiva 95/46 no es una condición suspensiva para la publicación de los datos de los beneficiarios en virtud del Reglamento nº 259/2008 de la Comisión. El Land aduce, en primer lugar, que el artículo 20, apartado 1, no somete automáticamente todos los tratamientos a un control previo. En segundo lugar, manifiesta que la publicación en virtud del Reglamento nº 259/2008 de la Comisión no da lugar a ningún «riesgo específico para los interesados». En tercer lugar señala que, en cualquier caso, se lleva a cabo una apreciación previa antes de la publicación como resultado de la aplicación conjunta del artículo 44 bis del Reglamento nº 1290/2005 del Consejo y el Reglamento nº 259/2008 de la Comisión.

140. La Directiva 95/46 no especifica en su contenido qué tratamientos (67) se deben considerar constitutivos de un riesgo específico para los derechos y libertades de los interesados, sino que atribuye esa responsabilidad a los Estados miembros. Así, el artículo 20, apartado 1, establece que «los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados» y «velarán por que sean examinados antes del comienzo del tratamiento» (la cursiva es mía). Únicamente esos tratamientos deben ser objeto de un control previo, de conformidad con el procedimiento descrito en el artículo 20, apartado 2.

141. Sin embargo, el preámbulo a la Directiva 95/46 sirve de gran ayuda para determinar qué se pretende abarcar con el artículo 20. Así, el quincuagesimotercer considerando identifica determinados tratamientos que «pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea por su naturaleza, su alcance o su finalidad, como los de excluir a los interesados del beneficio de un derecho, de una prestación o de un contrato, o por el uso particular de una tecnología nueva [...]». El quincuagésimo cuarto considerando establece que «a la vista de todos los tratamientos llevados a cabo en la sociedad, el número de los que presentan tales riesgos particulares debería ser muy limitado».

142. El artículo 20, apartado 1, se aplica prima facie a todos los tratamientos. Por tanto, exige a los Estados miembros que precisen qué tratamientos «pueden suponer riesgos específicos para los derechos y libertades de los interesados». Respecto a esos tratamientos limitados (pero no respecto a los demás tratamientos), existe el requisito obligatorio de garantizar que se realice un control previo antes de llevar a cabo el tratamiento en cuestión. La naturaleza de esa comprobación previa se especifica en el artículo 20, apartado 2.

143. Sin embargo, corresponde al Estado miembro especificar, en virtud de su Derecho nacional, cuáles son las categorías de tratamientos a las que se aplica el procedimiento previsto en el artículo 20, apartado 2. De ello se sigue que corresponde al órgano jurisdiccional nacional –y solo a él– determinar si el Derecho nacional clasifica o no la publicación de los datos de los beneficiarios del FEAGA y el Feader como un tratamiento de ese tipo.

144. Por tanto, me parece que no hay necesidad de que el Tribunal de Justicia responda a la cuarta cuestión planteada.

 Quinta cuestión

145. El órgano jurisdiccional nacional pregunta si el artículo 20 de la Directiva 95/46 debe ser interpretado en el sentido de que no se realiza un control previo efectivo si se ha efectuado basándose en un registro establecido conforme al artículo 18, apartado 2, segundo guión, que omite información preceptiva.

146. Confieso que esta cuestión me parece incomprensible. Las entradas del registro citado en los artículos 18, apartado 2, y 21 de la Directiva 95/46 son inscripciones de tratamientos notificados de conformidad con el artículo 18. Sin embargo, en lo que concierne a los tratamientos que un Estado miembro haya exonerado de la obligación de notificación en virtud del artículo 18, apartado 2, segundo guión, la inscripción en el registro (según el texto de esa disposición) se refiere a un «registro de los tratamientos efectuados por el responsable del tratamiento», es decir, en el que las entradas se anotan después de que se haya realizado el tratamiento. En cambio, el control previo citado en el artículo 20 es sólo eso: un control que se lleva a cabo antes de que empiece el tratamiento. De eso se sigue que la autoridad que lleva a cabo el control previo no puede verse afectada en modo alguno por la inscripción en el registro de ese tratamiento, porque todavía no se ha llevado a cabo. Ni tampoco es probable que el tratamiento goce de «publicidad» (en el sentido del artículo 21, apartado 1) hasta que los datos hayan sido inscritos en el registro.

147. Naturalmente, la conclusión podría ser diferente si el Derecho nacional, al identificar una categoría particular de tratamientos que conforme al artículo 20 merezcan un control previo, a) hubiese especificado que esa categoría no podía quedar exenta de la notificación prevista en el artículo 18, apartado 2; b) hubiese especificado que la inscripción adecuada en el registro debía hacerse tan pronto como se recibiese la notificación; c) especificase que determinados elementos [como mínimo, la información enumerada en el artículo 19, apartado 1, letras a) a f), pero potencialmente también información más detallada] debían inscribirse en el registro, y d) hubiese especificado que la autoridad competente debería atender al contenido del registro al decidir si autoriza o no el tratamiento. Pero esto es una mera especulación. Nada en la petición de decisión prejudicial sugiere que el Derecho nacional haya establecido algo similar respecto a la publicación de los datos de los beneficiarios del FEAGA y el Feader.

148. A falta de información adecuada para explicar la pertinencia de la cuestión –de hecho, de cualquier factor claro que vincule la cuestión formulada con las circunstancias del presente asunto y los problemas que el órgano jurisdiccional nacional debe decidir–, sugiero que el Tribunal de Justicia decline responder a esta pregunta.

 Cuestiones segunda, letra b), y sexta

149. La segunda cuestión, letra b), y la sexta cuestión plantean problemas relacionados con los derechos de los usuarios (68) (es decir, las personas que deseen acceder a los datos sobre los beneficiarios publicados en virtud del Reglamento nº 259/2008 de la Comisión) y no los de los interesados, como los demandantes.

150. En mi opinión, ambas cuestiones son inadmisibles.

 Segunda cuestión, letra b)

151. Esta cuestión tiene una peculiar redacción. En ella, el órgano jurisdiccional remitente pregunta si el Reglamento nº 259/2008 de la Comisión es válido únicamente porque la Directiva 2006/24 es inválida. En la medida en que yo lo entiendo, el razonamiento del órgano jurisdiccional nacional es el siguiente. Los usuarios que desean acceder a la información publicada en virtud del Reglamento nº 259/2008 de la Comisión únicamente pueden hacerlo a través de Internet. Eso significa que no pueden hacerlo de forma anónima, porque sus datos serán conservados hasta dos años en virtud de la Directiva 2006/24. No obstante, si esa disposición de la Directiva 2006/24 fuese ilegal, el resultado sería hacer inválida la Directiva 2006/24. El corolario de esa invalidez sería, sin embargo, que el Reglamento nº 259/2008 de la Comisión podría ser considerado como válido en definitiva.

152. Las impugnaciones de la validez de la legislación de la UE suelen basarse en «incompetencia, (69) vicios sustanciales de forma, (70) violación del [Tratado CE] o de cualquier norma jurídica relativa a su ejecución, o desviación de poder». (71) Es una novedad que se pregunte al Tribunal de Justicia si la validez de una medida de la UE (en este caso, el Reglamento nº 259/2008 de la Comisión) depende de la (in)validez de otra medida de la UE en un campo lejanamente relacionado (en este caso, la Directiva 2006/24).

153. En mi opinión, la cuestión segunda, letra b), es puramente hipotética, y por lo tanto inadmisible por dos razones.

154. En primer lugar, la cuestión no tiene relevancia para el asunto sobre el que versa el procedimiento principal, que es si el órgano jurisdiccional nacional debe prohibir al Land Hessen publicar los datos de los demandantes como beneficiarios del FEAGA o del Feader.

155. La jurisprudencia reiterada del Tribunal de Justicia confirma que éste no critica las razones por las que un órgano jurisdiccional nacional plantea una petición de decisión prejudicial. Las peticiones de decisión prejudicial únicamente pueden ser denegadas cuando resulta obvio que la interpretación del Derecho de la UE o el análisis de una norma de Derecho de la UE solicitado por el órgano jurisdiccional nacional no tiene ninguna relación con la naturaleza real del procedimiento ni con el objeto de la acción principal. (72) Aquí, sin embargo, sucede así.

156. Considerado de la forma más amplia posible, el procedimiento nacional afecta a los derechos a la intimidad y la protección de datos de los beneficiarios del FEAGA y el Feader: en concreto, si los datos personales de esos beneficiarios deben ser o no deben ser publicados en una base de datos accesible a través de Internet. El procedimiento nacional afecta, por tanto, a los beneficiarios en calidad de interesados, pero no tiene ninguna relación con sus derechos como usuarios ni, de hecho, con los derechos de otras partes.

157. La validez de la Directiva 2006/24, por tanto, no tiene ninguna influencia en las cuestiones que el órgano jurisdiccional nacional debe dirimir para resolver el litigio principal.

158. En segundo lugar, el contexto en el que la cuestión se plantea al Tribunal de Justicia no consiste en que, según los hechos, los datos relativos a una parte del procedimiento principal hayan sido conservados en virtud de la Directiva 2006/24 (y, aún menos, proporcionados a las autoridades nacionales competentes en virtud del artículo 4 de dicha Directiva). Sería completamente inadecuado que el Tribunal emprendiera el análisis sobre la validez de la Directiva 2006/24 en abstracto. Y tampoco hay necesidad de analizar la validez de la Directiva 2006/24 para llegar a una conclusión sobre la validez del Reglamento nº 259/2008 de la Comisión.

159. Por lo tanto, considero que la cuestión segunda, letra b), es inadmisible.

 Sexta cuestión

160. El órgano jurisdiccional nacional pregunta si el artículo 7 de la Directiva 95/46 –y, en particular, el artículo 7, letra e) (73)– debe interpretarse en el sentido de que se opone a la práctica de almacenar las direcciones IP de los usuarios que accedan a una página web que contenga la información publicada en virtud del Reglamento nº 259/2008 de la Comisión sin su expreso consentimiento.

161. Una vez más, la pregunta es enrevesada en cierto sentido. Tal como yo lo entiendo, el órgano jurisdiccional remitente parte de la premisa de que, si un usuario desea consultar información publicada en virtud del Reglamento nº 259/2008 de la Comisión, únicamente puede hacerlo por Internet. Esto significa que sus datos personales (la dirección IP) serán «tratados» en el sentido de la Directiva 95/46. El órgano jurisdiccional nacional pregunta entonces si dicho tratamiento está prohibido en virtud del artículo 7 de la Directiva 95/46 a menos que se haya otorgado un consentimiento expreso.

162. Como ya he indicado, la acción principal concierne a la revelación de información sobre interesados (los beneficiarios de los fondos de la PAC), pero no tiene nada que ver con los derechos de los usuarios (ni siquiera de los usuarios en calidad de interesados). Por lo tanto, la sexta cuestión también es inadmisible, por las razones antes descritas.

 Conclusión

163. En consecuencia, propongo que el Tribunal de Justicia responda a las cuestiones planteadas por el Verwaltungsgericht Wiesbaden (Alemania) del siguiente modo:

«1)      El análisis de la primera cuestión planteada no revela ningún elemento que pueda afectar a la validez del artículo 42, punto 8 ter del Reglamento (CE) nº 1290/2005 del Consejo, de 21 de junio de 2005, sobre la financiación de la política agrícola común.

2)      El artículo 44 bis del Reglamento nº 1290/2005 del Consejo es inválido en tanto que exige la publicación automática de los nombres, el municipio de residencia y, cuando se conozca, el código postal de todos los beneficiarios del FEAGA y el Feader, junto con los importes recibidos por cada beneficiario de esos fondos.

3)      El Reglamento (CE) nº 259/2008 de la Comisión, de 18 de marzo de 2008, por el que se establecen disposiciones de aplicación del Reglamento (CE) nº 1290/2005 del Consejo en lo que se refiere a la publicación de información sobre los beneficiarios de importes a cargo del FEAGA y el Feader, es inválido.

4)      Las cuestiones segunda, letra b), y sexta son inadmisibles.

5)      No procede responder a las cuestiones tercera, cuarta y quinta.»


1 – Lengua original: inglés.


2 – Firmado en Roma el 4 de noviembre de 1950.


3 – Al igual que el CEDH, el Convenio nº 108 está en vigor en todos los Estados miembros.


4 – Proclamada en Niza el 7 de diciembre de 2000 (DO C 364, p. 1). El Parlamento Europeo aprobó una versión actualizada el 29 de noviembre de 2007, tras eliminar todas las referencias a la malograda Constitución Europea (DO C 303, p. 1) (en lo sucesivo, «Carta»).


5 – Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).


6 –      El responsable del tratamiento se define en el artículo 2, letra d), como la persona u organismo que determina los fines y los medios del tratamiento de datos personales.


7 –      El Estado miembro identifica una o varias autoridades de control, que son responsables de supervisar la aplicación de la Directiva en su territorio. Sus obligaciones y facultades detalladas se describen en ese artículo. En particular, cada autoridad de control es responsable (en virtud del artículo 28, apartado 3, segundo guión) de formular dictámenes antes de que se realicen las operaciones de tratamiento con arreglo al artículo 20.


8 – Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54).


9 – El artículo 2 de la Directiva 2006/24 expresa: […] «Se entenderá por “usuario” toda persona física o jurídica que utilice un servicio de comunicaciones electrónicas de acceso público, con fines privados o comerciales, sin haberse necesariamente abonado a dicho servicio». El artículo 2 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201, p. 37) contiene las siguientes definiciones: b) «datos de tráfico»: cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma; c) «datos de localización»: cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público.


10 – SEC(2005) 1300.


11 – Véase el Libro Verde sobre la «Iniciativa europea en favor de la transparencia», COM(2006) 194 final, p. 3.


12 – Reglamento (CE, Euratom) nº 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas, (DO L 248, p. 1), modificado por el Reglamento (CE, Euratom) nº 1995/2006 del Consejo, de 13 de diciembre de 2006 (DO L 390, p. 1) y el Reglamento (CE) nº 1525/2007 del Consejo, de 17 de diciembre de 2007 (DO L 343, p. 9).


13 –      Véase la nota 5.


14 –      Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1).


15 – Reglamento (CE) nº 1290/2005 del Consejo, de 21 de junio de 2005, sobre la financiación de la política agrícola común (DO L 209, p. 1).


16 – En las presentes conclusiones me referiré al FEAGA y al Feader como «Fondos».


17 – También se recogen disposiciones detalladas en los artículos 32 a 37, que tratan de la valoración de la conformidad y las inspecciones por parte de la Comisión.


18 – Reglamento (Euratom, CE) nº 2185/96 del Consejo, de 11 de noviembre de 1996, relativo a los controles y verificaciones in situ que realiza la Comisión para la protección de los intereses financieros de las Comunidades Europeas contra los fraudes e irregularidades (DO L 292, p. 2). En general esos principios son que la información adquirida en virtud del Reglamento debe estar cubierta por el secreto profesional y protegida del mismo modo que se protege información similar en virtud del Derecho nacional del Estado que la haya recibido y las disposiciones correspondientes aplicables a las instituciones de la UE. En particular, la Comisión debe garantizar que en la aplicación del Reglamento sus inspectores cumplan las disposiciones comunitarias y nacionales sobre la protección de datos personales establecidas en la Directiva 95/46.


19 – Reglamento (CE) nº 1437/2007 del Consejo, de 26 de noviembre de 2007, que modifica el Reglamento (CE) nº 1290/2005 sobre la financiación de la política agrícola común (DO L 322, p. 1).


20 –      Dictamen de 10 de abril de 2007 (DO C 134, p. 1).


21 –      Reglamento (CE) nº 259/2008 de la Comisión, de 18 de marzo de 2008, por el que se establecen disposiciones de aplicación del Reglamento (CE) nº 1290/2005 del Consejo en lo que se refiere a la publicación de información sobre los beneficiarios de importes a cargo del Fondo Europeo Agrícola de Garantía (FEAGA) y del Fondo Europeo Agrícola de Desarrollo Rural (Feader) (DO L 76, p. 28).


22 – Los resultados de esa consulta no están publicados en el sitio web del Supervisor Europeo de Protección de Datos.


23 – Reglamento (CE) nº 796/2004 de la Comisión, de 21 de abril de 2004, por el que se establecen disposiciones para la aplicación de la condicionalidad, la modulación y el sistema integrado de gestión y control previstos en el Reglamento (CE) nº 1782/2003 del Consejo, por el que se establecen disposiciones comunes aplicables a los regímenes de ayuda directa en el marco de la política agrícola común y se instauran determinados regímenes de ayuda a los agricultores (DO L 141, p. 18).


24 – http://www.agrar-fischerei-zahlungen.de


25 – La jurisprudencia del Tribunal de Justicia se remonta a 1969; véase, por ejemplo, la sentencia de 12 de noviembre de 1969, Stauder (26/69, Rec. p. 419), apartado 7, o la sentencia de 17 de diciembre de 1970, Internationale Handelsgesellschaft mbH (11/70, Rec. p. 1125), apartado 4. Más recientemente, véanse las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros («ÖRF») (C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989), apartados 68 y 69, y de 29 de enero de 2008, Promusicae (C‑275/06, Rec. p. I‑271), apartado 62.


26 –      Véanse las sentencias de 15 de octubre de 2002, Limburgse Vinyl Maatschappij y otros/Comisión (C‑238/99 P, C‑244/99 P, C‑245/99 P, C‑247/99 P, C‑250/99 P a C‑252/99 P y C‑254/99 P, Rec. p. I‑8375), apartado 274, y de 29 de junio de 2006, Comisión/ SGLCarbon (C‑301/04 P, Rec. p. I‑5915), apartado 43. Véase además la sentencia de 16 de diciembre de 2008, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy y Satamedia Oy (C‑73/07, Rec. p. I‑9831), y en particular las conclusiones presentadas por la Abogado General Kokott el 8 de mayo de 2008 en ese asunto, punto 37.


27 –      En sus conclusiones presentadas el 30 de abril de 1996 en el asunto en que recayó la sentencia de 30 de julio de 1996, Bosphorus (C‑84/95, Rec. p. I‑3953), punto 53, el Abogado General Jacobs afirmaba que «el respeto por los derechos fundamentales es [...] una condición para la legalidad de los actos comunitarios».


28–      El artículo 6 UE, apartado 1, establece que la Unión se basa en los principios de libertad, democracia, respeto de los derechos humanos y de las libertades fundamentales y el Estado de Derecho, principios que son comunes a los Estados miembros.


29 – Sentencia de 6 de diciembre de 2001, Hautala (C‑353/99 P, Rec. p. I‑9565), apartado 24 de la sentencia y punto 52 de las conclusiones del Abogado General Léger.


30 – Véase el punto 23 de las presentes conclusiones.


31 – Según algunos expertos, la transparencia debe considerarse ciertamente incluida en esta categoría: véase, por ejemplo, K. Lenaerts: «In the Union we trust: trust – enhancing principles of Community Law», en Common Market Law Review, 2004, p. 317, y Craig and de Búrca, «EU Law text, cases and materials» (4ª edición, 2007), p. 567. Sin embargo, el Tribunal de Justicia todavía no se ha pronunciado sobre esta cuestión.


32 – Véanse, en particular, la sentencia de 30 de abril de 1996, Países Bajos/Consejo (C‑58/94, Rec. p. I‑2169), apartado 35; la sentencia Hautala, citada en la nota 29 anterior (en la que el Tribunal examinaba un recurso de casación interpuesto por el Consejo contra una sentencia del Tribunal de Primera Instancia de las Comunidades Europeas que anulaba la decisión del Consejo de denegar acceso al informe del grupo de trabajo sobre exportaciones de armamento convencional), apartado 22, y la sentencia de 6 de marzo de 2003, Interporc (C‑41/00 P, Rec. p. I‑2125), apartados 38 a 43.


33 – Citado en la nota 29, apartados 76 y 77.


34 – Citado en la nota 32.


35 –      Decisión de la Comisión de 8 de febrero de 1994, sobre el acceso del público a los documentos de la Comisión (DO L 46, p. 58).


36 – Sentencia Interporc, citada en la nota 32, apartado 43. Véanse igualmente las conclusiones del Abogado General Léger presentadas el 12 de marzo de 2002 en ese asunto, punto 80.


37 – La Carta no era vinculante en la fecha en que se ejerció la acción principal: véase, por analogía, la sentencia de 27 de junio de 2006, Parlamento/Consejo (Reagrupación familiar) (C‑540/03, Rec. p. I‑5769), apartado 38. Tras la entrada en vigor del Tratado de Lisboa, con efecto desde el 1 de diciembre de 2009, la Carta tiene rango de Derecho primario (artículo 6, apartado 1 del TUE).


38 – Véase la sentencia Promusicae, citada en la nota 25, apartado 63, y el punto 51 de las conclusiones de la Abogado General Kokott; véanse, más recientemente, las conclusiones del Abogado General Ruiz-Jarabo Colomer presentadas el 22 de diciembre de 2008 en el asunto en que recayó la sentencia de 7 de mayo de 2009, Rijkeboer (C‑553/07, Rec. p. I‑3889), puntos 18 a 20. El vínculo entre la intimidad y la protección de datos también se refleja en los considerandos décimo a duodécimo, así como en el artículo 1, apartado 1, de la Directiva 95/46. Véase también, a este respecto, la sentencia del Bundesverfassungsgericht (Tribunal Constitucional Federal alemán) de 15 de diciembre de 1983 (conocida como «Volkszählungsurteil», 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65, 1) y, más recientemente, la sentencia de 2 de marzo de 2010 /BvR 256, 263, 586/08, disponible en www.bundesverfassungsgericht.de).


39 – Véase la sentencia de 16 de diciembre de 1992 Niemietz/Alemania, apartados 29 a 31, serie A No 251-B.


40 – Véanse las sentencias Colas Est y otros/Francia, nº 37971/97, apartado 41, TEDH 2002‑III y Peck/Reino Unido, nº 44647/98, apartado 57, TEDH 2003‑I. En la jurisprudencia propia del Tribunal de Justicia, véase la sentencia de 14 de febrero de 2008, Varec (C‑450/06, Rec. p. I‑581), apartado 48.


41 – Véase la sentencia de 28 de abril de 2009 Von Hannover/Alemania, nº 59320/00, apartado 50, TEDH 2004‑VI, y la jurisprudencia allí citada, y la sentencia Karakó/Hungría, nº 39311/05, apartado 21.


42 – Véase la sentencia de 4 de diciembre de 2008 S & Marper/Reino Unido [GC] nos 30562/04 y 30566/04, apartado 103.


43 – Descrito con más detalle en el punto 51.


44–      El artículo 5 del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8, p. 1) prevé una protección equivalente respecto del tratamiento de datos realizado por las instituciones.


45 – Véase el análisis del Tribunal de Justicia en la sentencia ÖRF, citada en la nota 25: siguiendo la jurisprudencia establecida por el Tribunal de Estrasburgo, las condiciones son acumulativas: véase, por ejemplo, el asunto Amann/Suiza [GC], nº 27798/95, apartado 80, TEDH 2000-II. Las excepciones del artículo 8, apartado 2, del CEDH deben interpretarse de forma restrictiva, y la necesidad de tales excepciones en un asunto determinado debe demostrarse de forma convincente. Véase la sentencia de 25 de febrero de 1993 Funke/Francia, apartado 55, serie A nº 256-A y la jurisprudencia citada, y la sentencia Buck/Alemania, nº 41604/98, apartado 37, TEDH [2005]-IV.


46 – Citada en la nota 25 anterior y analizada en el punto 90 siguiente.


47 – Sentencia C‑73/07, citada en la nota 26 anterior.


48 – Véase el punto 83 y, más adelante, el punto 114.


49 – Véanse los puntos 126 a 128 de las presentes conclusiones.


50 – Véanse los considerandos decimotercero y decimocuarto del Reglamento nº 1437/227 y el segundo considerando del Reglamento nº 259/2008. El Reglamento Financiero (cuya validez no ha sido cuestionada) destaca también la importancia de la transparencia (considerandos tercero y duodécimo), establece que la Comisión «facilitará, del modo más adecuado, la información relativa a los beneficiarios de fondos», respetando debidamente «los requisitos de confidencialidad, en particular la protección de datos personales» (artículo 30, apartado 3), y exige a los Estados miembros «garantizar, mediante los reglamentos sectoriales pertinentes y de conformidad con el artículo 30, apartado 3, la oportuna publicación anual a posteriori de los beneficiarios de fondos procedentes del presupuesto» [artículo 53 ter, apartado 2, letra d)].


51–      La injerencia debe (naturalmente) estar descrita con suficiente exactitud para que sea «prevista por la ley» (véase los puntos anteriores) y también debe ser proporcionada para ser lícita.


52 – El artículo 202 ha sido sustituido sustancialmente por el artículo 16 TUE, apartado 1, y por los artículos 290 y 291 TFUE. El artículo 211 ha sido sustituido sustancialmente por el artículo 17 TUE, apartado 1.


53 – Sentencia de 17 de diciembre de 1970, Köster (25/70, Rec. p. 1161), apartado 6; sentencia de 30 de octubre de 1975, Rey Soda (23/75, Rec. p. 1279), apartado 11, y sentencia de 27 de octubre de 1992, Alemania/Comisión (C‑240/90, Rec. p. I‑5383), apartado 41.


54 – Sentencia de 7 de septiembre de 2006, España/Consejo (C‑310/04, Rec. p. I‑7285), apartado 97. Véanse también las sentencias de 13 de noviembre de 1990, Fedesa y otros (C‑331/88, Rec. p. I‑4023), apartado 13; de 5 de octubre de 1994, Crispoltoni y otros (C‑133/93, C‑300/93 y C‑362/93, Rec. p. I‑4863), apartado 41, y de 12 de julio de 2001, Jippes y otros (C‑189/01, Rec. p. I‑5689), apartado 81, y la jurisprudencia allí citada.


55 – Artículo 253 CE, actualmente artículo 296 TFUE.


56 – Véanse, a tal efecto, la última frase del decimocuarto considerando del Reglamento nº 1437/2007 del Consejo y el dictamen del Supervisor Europeo de Protección de Datos de 10 de abril de 2007 (DO C 134, p. 1) citado en dicho considerando.


57 – Reglamento (CE) nº 1198/2006 del Consejo, de 27 de julio de 2006, relativo al Fondo Europeo de Pesca (DO L 223, p. 1).


58 – El Sr. Volker Schecke destacó el estrecho vínculo que existe, en muchos casos, entre las ayudas de la PAC y los ingresos totales obtenidos por una explotación agrícola familiar en la que se conoce el número de personas que hay que mantener. Según adujo, con ejemplos ilustrativos, la intrusión en la vida privada de un beneficiario que podía derivarse en caso de que los vecinos se beneficiaran de esa publicación era, en algunas ocasiones, considerable.


59 – Durante el desarrollo de la vista, se dieron ejemplos de los posibles debates públicos que podían tener lugar: en particular, el debate periodístico en Francia sobre si estaban recibiendo ayuda los grandes o los pequeños agricultores (la Comisión citó en ella un artículo publicado en Le Monde el 30 de marzo de 2010), y el Gobierno griego mencionó su iniciativa para crear un debate público antes de la reestructuración prevista de la PAC en 2013. Sin embargo, los ejemplos no definen por sí mismos un debate.


60 – Los mecanismos de control para la lucha contra el fraude y para impedir las irregularidades están contenidos de hecho en el Reglamento nº 1290/2005 del Consejo: véanse, por ejemplo, el artículo 9 y los artículos 30 a 37.


61 – Parece, según las pruebas externas, que el reconocimiento de este objetivo se produjo tras una gran iniciativa emprendida por periodistas de investigación de determinados Estados miembros para intentar determinar si los grandes beneficiarios de las ayudas de la PAC eran ricos terratenientes o grandes empresas agrícolas en lugar de pequeños agricultores. Véase The Guardian del lunes 22 de enero de 2007, «So that’s where the 100 billion went».


62 – Véase la sentencia del TEDH Malone/Reino Unido, 2 de agosto de 1984, serie A nº 82, apartados 67 y 68.


63 – Véase el Vademécum sobre requisitos de notificación, aprobado por el grupo de trabajo creado por el artículo 29 de la Directiva 95/46, que explica los fundamentos del sistema de notificación en cada Estado miembro.


64 – El artículo 21, apartado 2, obliga a los Estados miembros a disponer que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18.


65 – La «descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artículo 17 resultan adecuadas para garantizar la seguridad del tratamiento», especificada en el artículo 19, apartado 1, letra f), es el único elemento que no es necesario reflejar en el registro.


66 – Véase el principio del artículo 19, apartado 1, y del artículo 21, apartado 2, segunda frase, respectivamente.


67 – El tratamiento se define en el artículo 2, letra b), de la Directiva 95/46 como «cualquier operación o conjunto de operaciones [...] aplicadas a datos personales, como la [...] comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos [...]».


68 – El término «usuarios» se define en el artículo 2 de la Directiva 2006/24: véase la nota 9 de las presentes conclusiones.


69 – Véase, por ejemplo, la sentencia de 5 de octubre de 2000, Alemania/Parlamento y Consejo (C‑376/98, Rec. p. I‑8419).


70 – Véase, por ejemplo, la sentencia de 21 de enero de 2003, Comisión/Parlamento y Consejo (C‑378/00, Rec. p. I‑937), apartado 34.


71 – Artículo 230 CE.


72 – Sentencias de 16 de junio de 1981, Salonia (126/80, Rec. p. 1563); de 10 de septiembre de 2009, Eurawasser (C‑206/08, Rec. p. I‑0000), apartados 33 y 34, y de 19 de noviembre de 2009, Filipiak, (C‑314/08, Rec. p. I‑0000), apartados 40 a 42.


73 – El artículo 7, letra e), autoriza el «[tratamiento que] es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público». Además, las situaciones identificadas en el artículo 7, letras b) a f), tienen todas igual importancia, tanto entre sí como respecto de la situación identificada en el artículo 7, letra a) (consentimiento inequívoco dado por el interesado). Por lo tanto, resulta difícil discernir cómo podría el artículo 7, letra e), impedir el tratamiento si no se cumpliera lo dispuesto en el artículo 7, letra a).