Language of document : ECLI:EU:C:2010:125

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 9 de marzo de 2010 (*)

«Incumplimiento de Estado – Directiva 95/46/CE – Protección de las personas físicas en lo que respecta al tratamiento de datos personales y libre circulación de estos datos – Artículo 28, apartado 1 – Autoridades de control nacionales – Independencia – Tutela administrativa ejercida sobre dichas autoridades»

En el asunto C‑518/07,

que tiene por objeto un recurso por incumplimiento interpuesto, con arreglo al artículo 226 CE, el 22 de noviembre de 2007,

Comisión Europea, representada por los Sres. C. Docksey, C. Ladenburger y H. Krämer, en calidad de agentes, que designa domicilio en Luxemburgo,

parte demandante,

apoyada por:

Supervisor Europeo de Protección de Datos, representado por los Sres. H. Hijmans y A. Scirocco, en calidad de agentes, que designa domicilio en Luxemburgo,

parte coadyuvante,

contra

República Federal de Alemania, representada por los Sres. M. Lumma y J. Möller, en calidad de agentes, que designa domicilio en Luxemburgo,

parte demandada,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, los Sres. A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.‑C. Bonichot y E. Levits, Presidentes de Sala, y los Sres. A. Rosas, K. Schiemann (Ponente), J.‑J. Kasel, M. Safjan y D. Šváby, Jueces;

Abogado General: Sr. J. Mazák;

Secretario: Sr. R. Grass;

habiendo considerado los escritos obrantes en autos;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 12 de noviembre de 2009;

dicta la siguiente

Sentencia

1        Mediante su recurso, la Comisión de las Comunidades Europeas solicita al Tribunal de Justicia que declare que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), al someter a la tutela del Estado a las autoridades de control competentes para vigilar en los diferentes Länder el tratamiento de datos personales en el sector no público, y al haber adaptado así incorrectamente su normativa nacional a la exigencia de «total independencia» de las autoridades encargadas de garantizar la protección de estos datos.

 Marco jurídico

 La normativa comunitaria

2        La Directiva 95/46 fue adoptada sobre la base del artículo 100 A del Tratado CE (posteriormente, tras su modificación, artículo 95 CE) con objeto de armonizar las legislaciones nacionales en materia de tratamiento de datos personales.

3        Los considerandos 3, 7, 8, 10 y 62 de la citada Directiva señalan lo siguiente:

«3)   Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado [CE (posteriormente, tras su modificación, artículo 14 CE)], la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las personas;

[…]

7)     Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia e impedir que las administraciones cumplan los cometidos que les incumben en virtud del Derecho comunitario; que estas diferencias en los niveles de protección se deben a la disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

8)     Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado; que, por tanto, es necesario que la Comunidad intervenga para aproximar las legislaciones;

[…]

10)   Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales [firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

[…]

62)   Considerando que la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales».

4        El artículo 1 de la Directiva 95/46, titulado «Objeto de la Directiva», preceptúa:

«1.   Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

.2.   Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»

5        El artículo 28 de la Directiva 95/46, titulado «Autoridad de control», dispone:

«1.   Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

2.      Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.

3.      La autoridad de control dispondrá, en particular, de:

–        poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

–        poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales;

–        capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4.     Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artículo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación.

5.     Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será publicado.

6.     Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.

7.     Los Estados miembros dispondrán que los miembros y agentes de las autoridades de control estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones confidenciales a las que hayan tenido acceso.»

6        El Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1), fue adoptado con fundamento en el artículo 286 CE. Según el artículo 44, apartados 1 y 2, de dicho Reglamento:

«1.   El Supervisor Europeo de Protección de Datos [en lo sucesivo, SEPD] actuará con total independencia en el ejercicio de sus funciones.

2.     En el ejercicio de sus funciones [el SEPD] no solicitará ni admitirá instrucciones de nadie.»

 La normativa nacional

7        El Derecho alemán distingue en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales en función de que dicho tratamiento lo efectúen organismos públicos o no.

8        En efecto, son diferentes las autoridades encargadas de controlar el respeto de la normativa en esta materia por los organismos públicos, por una parte, y por los organismos no públicos y por las empresas públicas que compiten en el mercado, por otra parte (öffentlich‑rechtliche Wettbewerbsunternehmen) (en lo sucesivo, conjuntamente, «sector no público»).

9        El tratamiento de datos personales efectuado por los organismos públicos se vigila, a escala federal, por el Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (delegado federal para la protección de datos y la libertad de información) y, en los Länder, por los Landesdatenschutzbeauftragte (delegados para la protección de datos de los Länder). Todos estos delegados son responsables únicamente ante su respectivo Parlamento y normalmente no están sometidos a ninguna clase de tutela, instrucciones o influencia de otro tipo por parte de los organismos públicos sujetos a su control.

10      En cambio, la estructura de las autoridades encargadas de vigilar el tratamiento de estos datos por el sector no público varía de un Land a otro. No obstante, todos los ordenamientos jurídicos de los Länder coinciden en someter expresamente a dichas autoridades de control a la tutela del Estado.

 El procedimiento administrativo previo y el procedimiento ante el Tribunal de Justicia

11      Al considerar que no es compatible con lo dispuesto en el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, someter a la tutela del Estado a las autoridades encargadas de vigilar el respeto de la normativa en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales por el sector no público, como sucede en todos los Länder alemanes, el 5 de julio de 2005 la Comisión envió un escrito de requerimiento a la República Federal de Alemania, que contestó mediante escrito de 12 de septiembre de 2005, afirmando que el sistema alemán de control en esta materia es conforme a lo dispuesto en dicha Directiva. El 12 de diciembre de 2006 la Comisión envió un dictamen motivado a la República Federal de Alemania en el que reiteraba la imputación formulada anteriormente. Esta última contestó el 14 de febrero de 2007 reafirmándose en su posición inicial.

12      Dadas estas circunstancias, la Comisión decidió interponer el presente recurso.

13      Mediante auto del Presidente del Tribunal de Justicia de 14 de octubre de 2008, se admitió la intervención en el presente asunto del SEPD, en apoyo de las pretensiones de la Comisión.

 Sobre el recurso

 Alegaciones de las partes

14      El presente litigio gira en torno a dos concepciones contrapuestas que mantienen la Comisión, apoyada por el SEPD, y la República Federal de Alemania, sobre la expresión «con total independencia» que figura en el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, y sobre el ejercicio de las funciones de las autoridades de control en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales.

15      Según la Comisión y el SEPD, que se basan en una interpretación amplia de la expresión «con total independencia», la exigencia de que las autoridades de control ejerzan sus funciones con «total independencia» debe interpretarse en el sentido de que dichas autoridades han de estar exentas de toda influencia, tanto si ésta es ejercida por otras autoridades como si es ajena a la Administración. Por ello, la tutela del Estado a la que están sometidas en Alemania las autoridades encargadas de controlar el respeto de la normativa en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales en el sector no público supone, en su opinión, incumplir dicha exigencia.

16      La República Federal de Alemania defiende, por su parte, una interpretación más estricta de la expresión «con total independencia» y alega que el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 exige la independencia funcional de las autoridades de control, en el sentido de que éstas deben ser independientes del sector no público sujeto a su control y no deben estar expuestas a influencias externas. Ahora bien, según la parte demandada, la tutela que el Estado ejerce en los Länder alemanes no constituye tal influencia externa, sino un mecanismo de vigilancia interna de la Administración, que llevan a cabo autoridades incardinadas en la misma estructura administrativa a la que pertenecen las autoridades de control y, como éstas, obligadas a cumplir los objetivos de la Directiva 95/46.

 Apreciación del Tribunal de Justicia

 Sobre el alcance de la exigencia de independencia de las autoridades de control

17      La apreciación del fundamento del presente recurso depende del alcance de la exigencia de independencia que establece el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 y, por tanto, de la interpretación del mismo. En este contexto, debe tenerse en cuenta tanto el tenor literal de dicho precepto como los objetivos y el sistema de la Directiva.

18      Por lo que atañe, en primer lugar, al tenor literal del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, dado que ésta no define la expresión «con total independencia», se debe atender a su significado habitual. Cuando se trata de un órgano público, el término «independencia» se refiere normalmente al estatuto que le garantiza la posibilidad de actuar con plena libertad, a resguardo de cualquier tipo de instrucciones o presiones.

19      En contra de lo alegado por la República Federal de Alemania, nada indica que la exigencia de independencia se refiera exclusivamente a la relación entre las autoridades de control y los organismos sujetos a su control. Por el contrario, el término «independencia» viene reforzado por el adjetivo «total», lo que implica una facultad de decisión exenta de toda influencia externa a la autoridad de control, ya sea directa o indirecta.

20      Por lo que se refiere, en segundo lugar, a los objetivos de la Directiva 95/46, de sus considerandos 3, 7 y 8, en particular, se desprende que, mediante la armonización de las legislaciones nacionales que protegen a las personas físicas en lo que respecta al tratamiento de datos personales, dicha Directiva tiene por objeto, principalmente, garantizar la libre circulación de estos datos entre los Estados miembros (véase, en este sentido, la sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros, C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989, apartados 39 y 70), necesaria para el establecimiento y funcionamiento del mercado interior, en el sentido del artículo 14 CE, apartado 2.

21      Ahora bien, la libre circulación de datos personales puede vulnerar el derecho al respeto de la vida privada reconocido, en particular, en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (véanse, en este sentido, las sentencias del Tribunal Europeo de Derechos Humanos de 16 de febrero de 2000, Amann c. Suiza, Recueil des arrêts et décisions 2000‑II, §§ 69 y 80; y de 4 de mayo de 2000, Rotaru c. Rumania, Recueil des arrêts et décisions 2000‑V, §§ 43 y 46), así como por los principios generales del Derecho comunitario.

22      Por ello, también es un objetivo de la Directiva 95/46, tal y como se desprende principalmente de su considerando 10 y de su artículo 1, no disminuir la protección que garantizan las legislaciones nacionales en vigor, sino, por el contrario, asegurar en el seno de la Comunidad un alto nivel de protección de las libertades y derechos fundamentales en lo que respecta al tratamiento de datos personales (véanse, en este sentido, las sentencias Österreichischer Rundfunk y otros, antes citada, apartado 70, y de 16 de diciembre de 2008, Satakunnan Markkinapörssi y Satamedia, C‑73/07, Rec. p. I‑9831, apartado 52).

23      Así pues, las autoridades de control previstas en el artículo 28 de la Directiva 95/46 son las guardianas de los mencionados derechos y libertades fundamentales, y, como señala el considerando 62 de dicha Directiva, se estima que su creación en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales.

24      A fin de garantizar esa protección, las autoridades de control han de establecer un justo equilibrio entre el respeto del derecho fundamental a la intimidad y los intereses que requieren la libre circulación de datos personales. Por otra parte, en virtud del artículo 28, apartado 6, de la Directiva 95/46, las autoridades nacionales cooperarán entre sí, y, llegado el caso, incluso podrán ser instadas a ejercer sus poderes por una autoridad de otro Estado miembro.

25      La garantía de independencia de las autoridades de control nacionales trata de asegurar un control eficaz y fiable del respeto de la normativa en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales y debe interpretarse a la luz de dicho objetivo. La garantía de independencia no se ha establecido para conceder un estatuto particular a esas autoridades mismas o a sus agentes, sino para reforzar la protección de las personas y de los organismos afectados por sus decisiones. De lo anterior resulta que, en el ejercicio de sus funciones, las autoridades de control deben actuar con objetividad e imparcialidad, y, para ello, han de estar a resguardo de toda influencia externa, incluida la ejercida directa o indirectamente por el Estado o por los Länder, y no solamente de la de los organismos sujetos a control.

26      Por lo que respecta, en tercer lugar, al sistema de la Directiva 95/46, ésta debe considerarse afín al artículo 286 CE y al Reglamento nº 45/2001. Estas últimas normas se refieren al tratamiento de datos personales por parte de las instituciones y órganos comunitarios, así como a la libre circulación de estos datos. La citada Directiva tiene los mismos objetivos, si bien en relación con el tratamiento de dichos datos en los Estados miembros.

27      De la misma manera que existen órganos de control a escala nacional, se ha creado a escala comunitaria un órgano de control encargado de vigilar la aplicación de la normativa en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales, a saber, el SEPD. De acuerdo con el artículo 44, apartado 1, del Reglamento nº 45/2001, dicho órgano actuará con total independencia en el ejercicio de sus funciones. El apartado 2 del artículo citado precisa el concepto de independencia al añadir que, en el ejercicio de sus funciones, el SEPD no solicitará ni admitirá instrucciones de nadie.

28      Habida cuenta de que tanto el artículo 44 del Reglamento nº 45/2001 como el artículo 28 de la Directiva 95/46 se basan en el mismo concepto general, ambas disposiciones deben interpretarse de manera homogénea, de modo que no sólo la independencia del SEPD, sino también la de las autoridades nacionales, suponen que no exista ninguna instrucción relativa al ejercicio de sus funciones.

29      Sobre la base del propio tenor literal del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, así como de los objetivos y el sistema de ésta, es posible llegar a una interpretación clara de dicho precepto. Por tanto, no es necesario tener en cuenta la génesis de la Directiva citada ni pronunciarse sobre las alegaciones, contradictorias a este respecto, de la Comisión y de la República Federal de Alemania.

30      Por todo ello, el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 debe interpretarse en el sentido de que las autoridades de control competentes para vigilar el tratamiento de datos personales en el sector no público han de disfrutar de la independencia que les permita ejercer sus funciones sin influencia externa. Esta independencia excluye no sólo cualquier influencia que pudieran ejercer los organismos sujetos a control, sino también toda orden o influencia externa, directa o indirecta, que pudiera poner en peligro el cumplimiento de la tarea que corresponde a dichas autoridades de establecer un justo equilibrio entre la protección del derecho a la intimidad y la libre circulación de datos personales.

 Sobre la tutela del Estado

31      Seguidamente debe examinarse si la tutela del Estado a la que están sometidas en Alemania las autoridades de control en materia de tratamiento de datos personales por el sector no público es compatible con la exigencia de independencia, tal y como ésta ha sido precisada.

32      A este respecto, ha de señalarse que la tutela del Estado, cualquiera que sea su naturaleza, permite en principio al Gobierno del Land interesado o a un órgano de la administración dependiente de dicho Gobierno influir, directa o indirectamente, en las decisiones de las autoridades de control o, incluso, anular o sustituir estas decisiones.

33      Ciertamente, hay que admitir a priori, como alega la República Federal de Alemania, que la tutela del Estado sólo pretende garantizar que las autoridades de control actúen conforme a las disposiciones nacionales y comunitarias aplicables, y que, por tanto, su finalidad no es obligar a dichas autoridades a perseguir, eventualmente, objetivos políticos contrarios a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a los derechos fundamentales.

34      No obstante, no se puede descartar que las autoridades de tutela, que forman parte de la Administración general y, por tanto, están sometidas al Gobierno de su respectivo Land, no sean capaces de actuar de forma objetiva al interpretar y aplicar la normativa en materia de tratamiento de datos personales.

35      En efecto, como señala el SEPD en sus observaciones, el Gobierno del Land interesado puede tener interés en no observar la normativa relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales cuando dicho tratamiento se efectúa por el sector no público. El propio Gobierno podría ser parte interesada en el tratamiento de datos, si participara o si pudiera participar en éste, por ejemplo en el supuesto de una colaboración entre los sectores público y privado o bien en el contexto de contratos públicos con el sector privado. Dicho Gobierno podría tener también un interés concreto si necesitara, o simplemente le resultase útil, acceder a bases de datos para cumplir algunos de sus cometidos, especialmente con fines tributarios o punitivos. Por otra parte, ese mismo Gobierno podría igualmente inclinarse por favorecer a determinados intereses económicos cuando se aplicase dicha normativa por algunas sociedades importantes, desde un punto de vista económico, para el Land o región.

36      Además, debe subrayarse que la mera posibilidad de que las autoridades de tutela puedan ejercer influencia política sobre las decisiones de las autoridades de control es suficiente para obstaculizar el ejercicio independiente de las funciones de éstas. Por un lado, como señaló la Comisión, podría darse en tal caso una «obediencia anticipada» de las autoridades de control a la vista de la práctica decisoria de la autoridad de tutela. Por otro, el papel de guardianas del derecho a la intimidad que asumen las autoridades de control exige que sus decisiones y, por tanto, ellas mismas, estén por encima de toda sospecha de parcialidad.

37      Habida cuenta de las consideraciones anteriores, ha de declararse que la tutela del Estado ejercida sobre las autoridades de control alemanas competentes para vigilar el tratamiento de datos personales en el sector no público no es compatible con la exigencia de independencia, tal y como ésta ha sido precisada en el apartado 30 de la presente sentencia.

 Sobre los principios del Derecho comunitario invocados por la República Federal de Alemania

38      La República Federal de Alemania adujo que se quebrantarían diversos principios del Derecho comunitario si se interpretara la exigencia de independencia que figura en el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 de modo que obligara a dicho Estado miembro a abandonar su sistema, contrastado y eficaz, de tutela de las autoridades de control en materia de tratamiento de datos personales en el sector no público.

39      En primer lugar, dicho Estado miembro sostiene que el principio de democracia, en particular, se opone a una interpretación amplia de la referida exigencia de independencia.

40      Este principio, que, en su opinión, se recoge no sólo en la Constitución alemana, sino también en el artículo 6 UE, apartado 1, requiere la sujeción de la Administración a las instrucciones del Gobierno, que es responsable ante el Parlamento. De esta manera, las intervenciones relativas a los derechos de los ciudadanos y de las empresas deben estar sujetas al control de legalidad por parte del ministro competente. Dado que las autoridades de control en materia de protección de las personas físicas en lo que respecta el tratamiento de datos personales disponen de determinados poderes de intervención frente a ciudadanos y al sector no público en virtud del artículo 28, apartado 3, de la Directiva 95/46, afirma que es absolutamente necesario un mayor control de la legalidad de su actuación mediante instrumentos de control de la legalidad o del fondo.

41      A este respecto, ha de recordarse que el principio de democracia es un principio del Derecho comunitario recogido expresamente en el artículo 6 UE, apartado 1, como uno de los fundamentos de la Unión Europea. Al ser un principio común a los Estados miembros, debe tomarse en consideración cuando se interprete un acto de Derecho derivado, como es el caso del artículo 28 de la Directiva 95/46.

42      Este principio no se opone a la existencia de autoridades públicas al margen de la Administración jerarquizada clásica y más o menos independientes del Gobierno. La existencia y requisitos de funcionamiento de esas autoridades se regulan, en los Estados miembros, mediante ley, e incluso, en algunos de ellos, mediante la Constitución, y esas autoridades están sujetas a la ley, bajo el control del juez competente. Este tipo de autoridades administrativas independientes, que también existen en el sistema jurídico alemán, ejercen con frecuencia una función reguladora o de otro tipo que exige que deban estar protegidas de la influencia política, sin dejar por ello de estar sujetas a la ley, bajo al control del juez competente. Esto es lo que sucede, precisamente, con las funciones de las autoridades de control en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales.

43      Ciertamente, no se puede concebir la inexistencia total de influencia parlamentaria sobre dichas autoridades. Sin embargo, debe subrayarse que la Directiva 95/46 no impone en modo alguno a los Estados miembros semejante inexistencia total de influencia parlamentaria.

44      Así pues, por una parte, el Parlamento o el Gobierno pueden nombrar a las personas que asumen la dirección de las autoridades de control y, por otra, el legislador puede determinar las competencias de dichas autoridades.

45      Además, el legislador puede imponer a las autoridades de control la obligación de rendir cuentas de su actuación ante el Parlamento. Se puede observar una semejanza con el artículo 28, apartado 5, de la Directiva 95/46, según el cual toda autoridad de control presentará periódicamente un informe sobre sus actividades, que será publicado.

46      Habida cuenta de las consideraciones anteriores, el hecho de conceder a las autoridades de control en materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales en el sector no público un estatuto independiente de la Administración general no priva, por sí mismo, a dichas autoridades de su legitimidad democrática.

47      En segundo lugar, por lo que se refiere al principio de competencias de atribución, reconocido en el artículo 5 CE, párrafo primero, invocado también por la República Federal de Alemania, el mismo obliga a la Comunidad a actuar únicamente dentro de los límites de las competencias que le ha atribuido el Tratado CE y de los objetivos establecidos por éste.

48      En este contexto, la República Federal de Alemania alega que no se puede exigir la independencia de las autoridades de control respecto a las autoridades administrativas de rango superior en virtud del artículo 100 A del Tratado CE, en el que se basa la Directiva 95/46.

49      Dicho artículo habilita al legislador comunitario para adoptar medidas destinadas a mejorar las condiciones de establecimiento y funcionamiento del mercado interior, medidas que deben tener efectivamente dicho objeto, contribuyendo a eliminar obstáculos a las libertades económicas garantizadas por el Tratado CE [véanse en este sentido, en particular, las sentencias de 5 de octubre de 2000, Alemania/Parlamento y Consejo, C‑376/98, Rec. p. I‑8419, apartados 83, 84 y 95; de 10 de diciembre de 2002, British American Tobacco (Investments) e Imperial Tobacco, C‑491/01, Rec. p. I‑11453, apartado 60; y de 2 de mayo de 2006, Parlamento/Consejo, C‑436/03, Rec. p. I‑3733, apartado 38].

50      Como se ha señalado con anterioridad, la independencia de las autoridades de control, en la medida en que exige que las mismas estén exentas de toda influencia externa que pueda orientar sus decisiones, es un elemento esencial para los objetivos de la Directiva 95/46. Es necesaria para crear, en cada Estado miembro, un nivel igualmente elevado de protección de las personas físicas en lo que respecta al tratamiento de datos personales, contribuyendo así a la libre circulación de datos, necesaria para el establecimiento y funcionamiento del mercado interior.

51      Por todo ello, una interpretación amplia de la exigencia de independencia de las autoridades de control no excede de los límites de las competencias atribuidas a la Comunidad conforme al artículo 100 A del Tratado CE, que constituye la base jurídica de la Directiva 95/46.

52      En tercer lugar, la República Federal de Alemania invoca los principios de subsidiariedad y de proporcionalidad, contemplados en el artículo 5 CE, párrafos segundo y tercero, así como el principio de cooperación leal entre los Estados miembros y las instituciones comunitarias, recogido en el artículo 10 CE.

53      Dicha parte alude, en particular, al punto 7 del Protocolo sobre la aplicación de los principios de subsidiariedad y proporcionalidad, incorporado como anexo al Tratado UE y al Tratado CE por el Tratado de Amsterdam, en cuya virtud, habrá que velar por que se respeten simultáneamente el Derecho comunitario y las disposiciones nacionales bien establecidas así como el ordenamiento y el funcionamiento de los regímenes jurídicos de los Estados miembros.

54      La República Federal de Alemania considera que es contrario a dicha exigencia obligarla a adoptar un sistema ajeno a su ordenamiento jurídico y, de esa manera, abandonar un sistema de control eficaz y contrastado desde hace casi treinta años, que ha constituido un modelo para la legislación en materia de protección de datos cuya proyección se ha extendido bastante más allá de sus fronteras.

55      Esta alegación no puede acogerse. En efecto, como se ha indicado en los apartados 21 a 25 y en el apartado 50 de la presente sentencia, interpretar la exigencia de independencia que figura en el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, en el sentido de que se opone a la tutela del Estado no excede de lo necesario para alcanzar los objetivos del Tratado CE.

56      Habida cuenta de las consideraciones anteriores, procede declarar que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46, al someter a la tutela del Estado a las autoridades de control competentes para vigilar en los diferentes Länder el tratamiento de datos personales en el sector no público, y al haber adaptado así incorrectamente su normativa nacional a la exigencia de que dichas autoridades ejerzan sus funciones con «total independencia».

 Costas

57      En virtud del artículo 69, apartado 2, del Reglamento de Procedimiento, la parte que pierda el proceso será condenada en costas, si así lo hubiera solicitado la otra parte. Puesto que la Comisión ha pedido que se condene en costas a la República Federal de Alemania y al haber sido desestimados los motivos formulados por ésta, procede condenarla en costas.

58      El SEPD cargará con sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1)      Declarar que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, al someter a la tutela del Estado a las autoridades de control encargadas de vigilar en los diferentes Länder el tratamiento de datos personales efectuado por los organismos no públicos y las empresas públicas que compiten en el mercado (öffentlich‑rechtliche Wettbewerbsunternehmen), y al haber adaptado así incorrectamente su normativa nacional a la exigencia de que dichas autoridades ejerzan sus funciones con «total independencia».

2)      La República Federal de Alemania cargará con las costas de la Comisión Europea.

3)      El Supervisor Europeo de Protección de Datos cargará con sus propias costas.

Firmas


* Lengua de procedimiento: alemán.