SENTENZA DELLA CORTE (Grande Sezione)
9 marzo 2010 (*)
«Inadempimento di uno Stato – Direttiva 95/46/CE – Protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati – Art. 28, n. 1 – Autorità nazionali di controllo – Indipendenza – Vigilanza amministrativa esercitata su dette autorità»
Nella causa C‑518/07,
avente ad oggetto il ricorso per inadempimento, ai sensi dell’art. 226 CE, proposto il 22 novembre 2007,
Commissione europea, rappresentata dai sigg. C. Docksey, C. Ladenburger e H. Krämer, in qualità di agenti, con domicilio eletto in Lussemburgo,
ricorrente,
sostenuta da:
Garante europeo della protezione dei dati, rappresentato dai sigg. H. Hijmans e A. Scirocco, in qualità di agenti, con domicilio eletto in Lussemburgo,
interveniente,
contro
Repubblica federale di Germania, rappresentata dai sigg. M. Lumma e J. Möller, in qualità di agenti, con domicilio eletto in Lussemburgo,
convenuta,
LA CORTE (Grande Sezione),
composta dal sig. V. Skouris, presidente, dai sigg. A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.-C. Bonichot e E. Levits, presidenti di sezione, dai sigg. A. Rosas, K. Schiemann (relatore), J.‑J. Kasel, M. Safjan e D. Šváby, giudici,
avvocato generale: sig. J. Mazák
cancelliere: sig. R. Grass
vista la fase scritta del procedimento,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 12 novembre 2009,
ha pronunciato la seguente
Sentenza
1 Con il proprio ricorso la Commissione delle Comunità europee chiede alla Corte di voler dichiarare che la Repubblica federale di Germania è venuta meno agli obblighi ad essa incombenti ai sensi dell’art. 28, n. 1, secondo comma, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31), sottoponendo alla vigilanza dello Stato le autorità di controllo competenti a vegliare sul trattamento dei dati personali nei settori diversi da quello pubblico nei vari Länder e trasponendo pertanto erroneamente il requisito che le autorità garanti della protezione di tali dati siano «pienamente indipendenti».
Contesto normativo
La normativa comunitaria
2 La direttiva 95/46 è stata adottata sulla scorta dell’art. 100 A del Trattato CE (diventato, a seguito di modifica, art. 95 CE) e mira ad armonizzare le legislazioni nazionali relative al trattamento dei dati personali.
3 Il terzo, settimo, ottavo, decimo e sessantaduesimo ‘considerando’ della direttiva 95/46 sono così formulati:
«(3) considerando che l’instaurazione e il funzionamento del mercato interno, nel quale, conformemente all’articolo 7 A del trattato [CE (diventato, a seguito di modifica, art. 14 CE)], è assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare liberamente da uno Stato membro all’altro, ma che siano altresì salvaguardati i diritti fondamentali della persona;
(…)
(7) considerando che il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all’esercizio di una serie di attività economiche su scala comunitaria, falsare la concorrenza e ostacolare, nell’adempimento dei loro compiti, le amministrazioni che intervengono nell’applicazione del diritto comunitario; che detto divario nel grado di tutela deriva dalla diversità [delle] disposizioni legislative, regolamentari ed amministrative nazionali;
(8) considerando che, per eliminare gli ostacoli alla circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento di tali dati deve essere equivalente in tutti gli Stati membri; che tale obiettivo, fondamentale per il mercato interno, non può essere conseguito esclusivamente attraverso l’azione degli Stati membri, tenuto conto in particolare dell’ampia divergenza esistente attualmente tra le normative nazionali in materia e della necessità di coordinarle affinché il flusso transfrontaliero di dati personali sia disciplinato in maniera coerente e conforme all’obiettivo del mercato interno ai sensi dell’articolo 7 A del trattato; che risulta pertanto necessario un intervento della Comunità ai fini di un ravvicinamento delle legislazioni;
(…)
(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali [firmata a Roma il 4 novembre 1950] e dai principi generali del diritto comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità;
(…)
(62) considerando che la designazione di autorità di controllo che agiscano in modo indipendente in ciascuno Stato membro è un elemento essenziale per la tutela delle persone con riguardo al trattamento di dati personali».
4 Intitolato «Oggetto della direttiva», l’art. 1 della direttiva 95/46 è così formulato:
«1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali
2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».
5 L’art. 28 della direttiva 95/46, intitolato «Autorità di controllo», stabilisce che:
«1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.
Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite.
2. Ciascuno Stato membro dispone che le autorità di controllo siano consultate al momento dell’elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà della persona con riguardo al trattamento dei dati personali.
3. Ogni autorità di controllo dispone in particolare:
– di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;
– di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;
– del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.
È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio.
4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda.
Qualsiasi persona può, in particolare, chiedere a un’autorità di controllo di verificare la liceità di un trattamento quando si applicano le disposizioni nazionali adottate a norma dell’articolo 13 della presente direttiva. La persona viene ad ogni modo informata che una verifica ha avuto luogo.
5. Ogni autorità di controllo elabora a intervalli regolari una relazione sulla sua attività. La relazione viene pubblicata.
6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.
Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.
7. Gli Stati membri dispongono che i membri e gli agenti delle autorità di controllo sono soggetti, anche dopo la cessazione delle attività, all’obbligo del segreto professionale in merito alle informazioni riservate cui hanno accesso».
6 Il regolamento (CE) del Parlamento europeo e del Consiglio 18 dicembre 2000, n. 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1), è stato adottato in base all’art. 286 CE. Ai sensi dell’art. 44, nn. 1 e 2, di detto regolamento:
«1. Il Garante europeo della protezione dei dati [(in prosieguo: il “GEPD”)] esercita le sue funzioni in piena indipendenza.
2. Nell’adempimento delle sue funzioni il [GEDP] non sollecita né accetta istruzioni da alcuno».
La normativa nazionale
7 Il diritto tedesco opera una distinzione relativamente alla protezione delle persone fisiche con riguardo al trattamento dei dati personali a seconda che detto trattamento sia effettuato da organismi pubblici o meno.
8 Le autorità incaricate di vigilare sul rispetto delle disposizioni in materia, da un lato, da parte degli organismi pubblici e, dall’altro, da parte degli organismi diversi da quelli pubblici e delle imprese di diritto pubblico che partecipano alla concorrenza sul mercato (öffentlich-rechtliche Wettbewerbsunternehmen) (in prosieguo, congiuntamente: i «settori diversi da quello pubblico»), sono, infatti, distinte.
9 Sul trattamento dei dati personali da parte degli organismi pubblici vigilano, a livello federale, il Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (incaricato federale per la protezione dei dati e la libertà dell’informazione) e, a livello dei Länder, i Landesdatenschutzbeauftragte (incaricati per la protezione dei dati dei Länder). Tali incaricati sono tutti responsabili solamente nei confronti dei rispettivi parlamenti e di norma non sono sottoposti ad alcuna vigilanza, istruzioni o altra influenza da parte degli organismi pubblici che sono soggetti al loro controllo.
10 Per contro, la struttura delle autorità incaricate di sorvegliare il trattamento dei dati in parola da parte dei settori diversi da quello pubblico varia da un Land all’altro. Le leggi dei Länder hanno tuttavia la caratteristica comune di assoggettare espressamente dette autorità di controllo ad una forma di vigilanza dello Stato.
Procedimento precontenzioso e procedimento dinanzi alla Corte
11 Avendo ritenuto incompatibile con l’art. 28, n. 1, secondo comma, della direttiva 95/46 assoggettare l’autorità incaricata di vigilare sul rispetto delle disposizioni sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte di settori diversi da quello pubblico ad una vigilanza dello Stato, come si verifica in tutti i Länder tedeschi, la Commissione, il 5 luglio 2005, ha inviato una lettera di diffida alla Repubblica federale di Germania. Quest’ultima ha risposto con una lettera del 12 settembre 2005, affermando che il sistema tedesco di vigilanza in materia soddisfa i requisiti della direttiva in parola. La Commissione ha in seguito inviato, il 12 dicembre 2006, un parere motivato alla Repubblica federale di Germania, ribadendo la censura formulata in precedenza. Nella sua risposta del 14 febbraio 2007, tale Stato ha confermato il suo punto di vista iniziale.
12 É in tale contesto che la Commissione ha deciso di proporre il presente ricorso.
13 Con ordinanza del Presidente della Corte 14 ottobre 2008 è stato ammesso l’intervento del GEPD nella presente causa a sostegno delle conclusioni della Commissione.
Sul ricorso
Argomenti delle parti
14 La presente causa verte su due concezioni opposte che la Commissione, sostenuta dal GEPD, e la Repubblica federale di Germania hanno dei termini «pienamente indipendenti» di cui all’art. 28, n. 1, secondo comma, della direttiva 95/46 e dell’esercizio delle funzioni delle autorità di controllo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali.
15 Secondo la Commissione e il GEPD, che si basano su di un’interpretazione lata dei termini «pienamente indipendenti», il requisito che nell’esercizio delle funzioni le autorità di controllo siano «pienamente indipendenti» deve essere interpretato nel senso che un’autorità di controllo deve essere sottratta a qualsivoglia influenza, sia esercitata da altre autorità sia al di fuori dell’ambito dell’amministrazione. La vigilanza dello Stato cui sono subordinate in Germania le autorità di controllo del rispetto della normativa in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali nei settori diversi da quello pubblico costituirebbe pertanto una violazione di tale esigenza.
16 La Repubblica federale di Germania, dal canto suo, caldeggia un’interpretazione più restrittiva dei termini «pienamente indipendenti» e sostiene che l’art. 28, n. 1, secondo comma, della direttiva 95/46 richiede un’indipendenza funzionale delle autorità di controllo, nel senso che dette autorità devono essere indipendenti dai settori diversi da quello pubblico soggetti al loro controllo e che non devono essere esposte a influenze esterne. Orbene, a suo parere, la vigilanza dello Stato esercitata nei Länder tedeschi non costituisce una siffatta influenza esterna, bensì un meccanismo di sorveglianza interno all’amministrazione, messo in atto da autorità appartenenti al medesimo apparato amministrativo delle autorità di controllo e tenute, proprio come queste ultime, a soddisfare le finalità della direttiva 95/46.
Giudizio della Corte
Sulla portata del requisito dell’indipendenza delle autorità di controllo
17 La valutazione della fondatezza del presente ricorso dipende dalla portata dell’esigenza dell’indipendenza di cui all’art. 28, n. 1, secondo comma, della direttiva 95/46 e, di conseguenza, dall’interpretazione di questa disposizione. In tale contesto va considerato il dettato stesso della disposizione menzionata, al pari delle finalità e dell’economia della direttiva 95/46.
18 Per quanto riguarda, in primo luogo, il tenore letterale dell’art. 28, n. 1, secondo comma, della direttiva 95/46, dal momento che i termini «pienamente indipendenti» non sono definiti dalla disposizione in parola, si deve tenere conto del loro senso abituale. In materia di organismi pubblici, il termine «indipendenza» designa in particolare uno status che garantisce all’organismo interessato la possibilità di agire in piena libertà, in assenza di qualsivoglia istruzione o pressione.
19 Diversamente dalla posizione sostenuta dalla Repubblica federale di Germania, nulla indica che il requisito dell’indipendenza concerna esclusivamente il rapporto fra le autorità di controllo e gli organismi soggetti al loro controllo. Al contrario, la nozione espressa dall’aggettivo «indipendenti» è rafforzata dall’avverbio «pienamente», il che implica un potere decisionale alieno da qualsiasi influenza esterna all’autorità di controllo, sia essa diretta o indiretta.
20 In secondo luogo, relativamente alle finalità della direttiva 95/46, risulta, segnatamente dal terzo, settimo e ottavo ‘considerando’ della stessa, che, attraverso l’armonizzazione delle disposizioni nazionali a tutela delle persone fisiche con riguardo al trattamento dei dati personali, la direttiva in parola mira principalmente a garantire la libera circolazione di tali dati fra Stati membri (v., in tal senso, sentenza 20 maggio 2003, cause riunite C‑465/00, C‑138/01 e C‑139/01, Österreichischer Rundfunk e a., Racc. pag. I‑4989, punti 39 e 70), necessaria all’instaurazione ed al funzionamento del mercato interno, ai sensi dell’art. 14, n. 2, CE.
21 Orbene, la libera circolazione dei dati personali è tale da incidere sul diritto alla vita privata, come riconosciuto segnatamente all’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (v., in tal senso, Corte eur. D.U., sentenze Amann c. Svizzera del 16 febbraio 2000, Recueil des arrêts et décisions 2000‑II, §§ 69 e 80, e Rotaru c. Romania del 4 maggio 2000, Recueil des arrêts et décisions 2000‑V, §§ 43 e 46) e dai principi generali di diritto comunitario.
22 Per tale motivo, e come emerge in particolare dal decimo ‘considerando’ e dall’art. 1 della direttiva 95/46, essa si propone anche di non indebolire la protezione assicurata dalle norme nazionali esistenti, ma, al contrario, di garantire, nella Comunità, un elevato grado di tutela delle libertà e dei diritti fondamentali con riguardo al trattamento dei dati personali (v., in tal senso, sentenze Österreichischer Rundfunk e a., cit., punto 70, nonché 16 dicembre 2008, causa C‑73/07, Satakunnan Markkinapörssi e Satamedia, Racc. pag. I‑9831, punto 52).
23 Le autorità di controllo previste all’art. 28 della direttiva 95/46 sono quindi le custodi dei menzionati diritti e libertà fondamentali, e la loro designazione, negli Stati membri, è considerata, come rilevato dal sessantaduesimo ‘considerando’ della citata direttiva, un elemento essenziale per la tutela delle persone con riguardo al trattamento di dati personali.
24 Al fine di garantire detta protezione, le autorità di controllo devono assicurare un giusto equilibrio fra, da un lato, il rispetto del diritto fondamentale alla vita privata e, dall’altro, gli interessi che impongono una libera circolazione dei dati personali. Peraltro, in base all’art. 28, n. 6, della direttiva 95/46, le varie autorità nazionali sono chiamate a prestarsi reciproca cooperazione e persino ad esercitare i loro poteri su domanda dell’autorità di un altro Stato membro.
25 La garanzia dell’indipendenza delle autorità nazionali di controllo è diretta ad assicurare l’efficacia e l’affidabilità del controllo del rispetto delle disposizioni in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali e deve essere interpretata alla luce di tale finalità. Essa non è stata disposta al fine di attribuire uno status particolare a dette autorità ed ai loro agenti, bensì per rafforzare la protezione delle persone e degli organismi interessati dalle loro decisioni. Ne discende che, nello svolgimento delle loro funzioni, le autorità di controllo devono agire in modo obiettivo ed imparziale. A tale fine esse devono essere sottratte a qualsiasi influenza esterna, compresa quella, diretta o indiretta, dello Stato o dei Länder, e non solamente essere poste al riparo dall’influenza degli organismi controllati.
26 In terzo luogo, per quanto riguarda l’economia della direttiva 95/46, la direttiva in parola deve essere intesa in collegamento con l’art. 286 CE e il regolamento n. 45/2001. Questi ultimi riguardano il trattamento dei dati personali ad opera delle istituzioni e degli organismi comunitari, nonché la libera circolazione dei dati di cui trattasi. Anche la direttiva menzionata persegue tali finalità, ma relativamente al profilo del trattamento dei dati in parola negli Stati membri.
27 Al pari degli organismi di vigilanza esistenti a livello nazionale, un organismo di vigilanza con il compito di vegliare sull’applicazione delle norme in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali è altresì previsto a livello comunitario, ossia, il GEPD. Conformemente all’art. 44, n. 1, del regolamento n. 45/2001, detto organismo svolge le proprie funzioni in modo pienamente indipendente. Il n. 2 del citato articolo esplicita questa nozione d’indipendenza aggiungendo che, nell’adempimento delle sue funzioni, il GEPD non sollecita né accetta istruzioni da alcuno.
28 Considerata la circostanza che l’art. 44 del regolamento n. 45/2001 e l’art. 28 della direttiva 95/46 si basano sul medesimo concetto generale, occorre interpretare dette due disposizioni in modo omogeneo, cosicché non solo l’indipendenza del GEPD, ma anche quella delle autorità nazionali implicano l’assenza di qualsivoglia istruzione relativa allo svolgimento delle loro funzioni.
29 In base al tenore letterale stesso dell’art. 28, n. 1, secondo comma, della direttiva 95/46, nonché alle finalità e all’economia della direttiva in parola, è possibile giungere ad un’interpretazione chiara del menzionato art. 28, n. 1, secondo comma. Non risulta pertanto necessario prendere in considerazione la genesi della direttiva in questione o pronunciarsi sulle memorie, contraddittorie a tale riguardo, della Commissione e della Repubblica federale di Germania.
30 Tenuto conto di quanto precede, si deve interpretare l’art. 28, n. 1, secondo comma, della direttiva 95/46 nel senso che le autorità di controllo competenti per la vigilanza del trattamento dei dati personali nei settori diversi da quello pubblico devono godere di un’indipendenza che consenta loro di svolgere le proprie funzioni senza influenze esterne. Tale indipendenza esclude non solamente qualsiasi influenza esercitata dagli organismi controllati, ma anche qualsivoglia imposizione e ogni altra influenza esterna, diretta o indiretta, che possa rimettere in discussione lo svolgimento, da parte delle menzionate autorità, del loro compito, consistente nello stabilire un giusto equilibrio fra la protezione del diritto alla vita privata e la libera circolazione dei dati personali.
Sulla vigilanza dello Stato
31 Occorre poi verificare se la vigilanza dello Stato cui le autorità di controllo per il trattamento dei dati personali nei settori diversi da quello pubblico sono sottoposte in Germania sia compatibile con il requisito dell’indipendenza come in precedenza precisato.
32 In proposito va constatato che la vigilanza dello Stato, di qualunque natura essa sia, consente in via di principio al governo del Land interessato o ad un organo dell’amministrazione soggetta a tale governo d’influire direttamente o indirettamente sulle decisioni delle autorità di controllo o, eventualmente, di annullare e sostituire dette decisioni.
33 Occorre, certo, riconoscere a priori, come fatto valere dalla Repubblica federale di Germania, che la vigilanza dello Stato è unicamente diretta a garantire un’azione delle autorità di controllo che sia conforme alle disposizioni nazionali e comunitarie applicabili, e che, quindi, non si propone di obbligare le autorità in parola a perseguire eventualmente finalità politiche contrarie alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e ai diritti fondamentali.
34 Non si può tuttavia escludere che le autorità di vigilanza, che fanno parte dell’amministrazione generale, e pertanto sono subordinate al governo del rispettivo Land, non siano in grado di agire in modo obiettivo quando interpretano e applicano le disposizioni relative al trattamento dei dati personali.
35 Infatti, come rilevato dal GEPD nelle sue osservazioni, il governo del Land di cui si tratta può avere interesse a non rispettare le disposizioni relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali quando sia in discussione il trattamento dei dati in parola da parte di settori diversi da quello pubblico. Tale governo potrebbe essere esso stesso una delle parti interessate in detto trattamento, e ciò se vi partecipasse o potesse parteciparvi, ad esempio nel caso di un partenariato pubblico-privato o nell’ambito di appalti pubblici con il settore privato. Tale governo potrebbe anche avere un interesse specifico qualora gli fosse necessario, o anche semplicemente utile, accedere a banche dati per svolgere talune delle sue funzioni, in particolare con finalità fiscali o repressive. Lo stesso governo può peraltro anche tendere a privilegiare interessi economici nell’applicazione di dette disposizioni da parte di talune società importanti, da un punto di vista economico, per il Land o la regione.
36 Inoltre, occorre sottolineare che il solo rischio che le autorità di vigilanza possano esercitare un’influenza politica sulle decisioni delle autorità di controllo è sufficiente ad ostacolare lo svolgimento indipendente delle funzioni di queste ultime. Da un lato, come rilevato dalla Commissione, vi potrebbe essere un’«obbedienza anticipata» di tali autorità, in considerazione della prassi decisionale dell’autorità di vigilanza. Dall’altro, il ruolo di custodi del diritto alla vita privata che assumono dette autorità impone che le loro decisioni, e, quindi, esse stesse, siano al di sopra di qualsivoglia sospetto di parzialità.
37 Alla luce delle considerazioni suesposte occorre constatare che la vigilanza dello Stato esercitata sulle autorità tedesche di controllo competenti a vegliare sul trattamento dei dati personali nei settori diversi da quello pubblico non è compatibile con il requisito dell’indipendenza, così come descritto al punto 30 della presente sentenza.
Sui principi di diritto comunitario fatti valere dalla Repubblica federale di Germania
38 La Repubblica federale di Germania ha fatto valere che sarebbe in contrasto con svariati principi di diritto comunitario interpretare il requisito dell’indipendenza di cui all’art. 28, n. 1, secondo comma, della direttiva 95/46 in un modo che obbligherebbe detto Stato membro ad abbandonare il proprio sistema sperimentato ed efficace di vigilanza sulle autorità di controllo relativamente al trattamento dei dati personali in ambito diverso da quello pubblico.
39 In primo luogo, secondo lo Stato membro in parola, il principio di democrazia, in particolare, si opporrebbe ad un’interpretazione ampia dell’esigenza di indipendenza in discussione.
40 Detto principio, sancito non solo dalla costituzione tedesca, ma anche dall’art. 6, n. 1, UE, richiederebbe una subordinazione dell’amministrazione alle istruzioni del governo, responsabile dinanzi al parlamento. Gli interventi che riguardano i diritti dei cittadini e delle imprese dovrebbero quindi essere soggetti al controllo di legittimità del ministro competente. Dal momento che le autorità di controllo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali dispongono di determinati poteri d’intervento rispetto ai cittadini e ai settori diversi da quello pubblico in base all’art. 28, n. 3, della direttiva 95/46, un controllo esteso della legittimità delle loro attività attraverso strumenti di vigilanza della legittimità o del merito sarebbe assolutamente necessario.
41 A tale riguardo va ricordato che il principio di democrazia appartiene all’ordinamento giuridico comunitario ed è stato sancito espressamente dall’art. 6, n. 1, UE come uno dei fondamenti dell’Unione europea. In quanto principio comune agli Stati membri, esso deve essere considerato nell’interpretazione di un atto di diritto derivato quale l’art. 28 della direttiva 95/46.
42 Il citato principio non osta all’esistenza di autorità pubbliche collocate al di fuori dell’amministrazione gerarchica classica e più o meno indipendenti dal governo. L’esistenza e le condizioni di funzionamento di siffatte autorità, negli Stati membri, rientrano nella sfera della legge o persino, in taluni Stati membri, della Costituzione e tali autorità sono soggette al rispetto della legge sotto il controllo dei giudici competenti. Autorità amministrative indipendenti di tale genere, come ne esistono del resto nel sistema giuridico tedesco, hanno spesso funzioni regolatrici o svolgono compiti che devono essere sottratti all’influenza politica, pur restando subordinate al rispetto della legge, sotto il controllo dei giudici competenti. Ciò si verifica precisamente nel caso delle funzioni delle autorità di controllo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali.
43 È senz’altro vero che risulta inconcepibile l’assenza di qualunque influenza parlamentare sulle autorità in parola. Occorre, tuttavia, rilevare che la direttiva 95/46 non impone affatto agli Stati membri una siffatta assenza di qualunque influenza parlamentare.
44 Da un lato, infatti, le persone che assumono la direzione delle autorità di controllo possono essere nominate dal parlamento o dal governo e, dall’altro, il legislatore può stabilire le competenze delle citate autorità.
45 Inoltre, il legislatore può imporre alle autorità di controllo l’obbligo di rendere conto al parlamento delle loro attività. Sotto questo profilo si può operare un ravvicinamento con l’art. 28, n. 5, della direttiva 95/46, il quale prevede che ogni autorità di controllo rediga, ad intervalli regolari, una relazione sulla propria attività, che sarà pubblicata.
46 Alla luce di quanto precede, la circostanza di attribuire uno status indipendente dall’amministrazione generale alle autorità di controllo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali nei settori diversi da quello pubblico non è di per sé idoneo a privare dette autorità della loro legittimità democratica.
47 In secondo luogo, relativamente al principio delle competenze di attribuzione sancito all’art. 5, primo comma, CE, parimenti dedotto dalla Repubblica federale di Germania, esso impone alla Comunità di agire nei limiti delle competenze che le sono conferite e degli obiettivi che le sono assegnati dal Trattato CE.
48 La Repubblica federale di Germania fa valere in tale contesto che non si potrebbe esigere l’indipendenza delle autorità di controllo rispetto alle autorità amministrative superiori in forza dell’art. 100 A del Trattato CE, su cui la direttiva 95/46 è basata.
49 La menzionata disposizione abilita il legislatore comunitario ad adottare misure destinate a migliorare le condizioni d’instaurazione e di funzionamento del mercato interno, misure che devono effettivamente avere tale obiettivo, contribuendo all’eliminazione di ostacoli alle libertà economiche garantite dal Trattato CE [v. in tal senso, in particolare, sentenze 5 ottobre 2000, causa C‑376/98, Germania/Parlamento e Consiglio, Racc. pag. I‑8419, punti 83, 84 e 95; 10 dicembre 2002, causa C‑491/01, British American Tobacco (Investments) e Imperial Tobacco, Racc. pag. I‑11453, punto 60, nonché 2 maggio 2006, causa C‑436/03, Parlamento/Consiglio, Racc. pag. I‑3733, punto 38].
50 Come già esposto, l’indipendenza delle autorità di controllo, relativamente alla circostanza che devono essere sottratte a qualsiasi influenza esterna idonea ad orientare le loro decisioni, è un elemento essenziale alla luce degli obiettivi della direttiva 95/46. Detta indipendenza è imprescindibile al fine di realizzare, in tutti gli Stati membri, un livello ugualmente elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali e in tal modo contribuisce alla libera circolazione dei dati, la quale è necessaria per l’instaurazione e il funzionamento del mercato interno.
51 Considerato quanto precede, un’interpretazione ampia del requisito dell’indipendenza delle autorità di controllo non va al di là dei limiti delle competenze attribuite alla Comunità ex art. 100 A del Trattato CE, che costituisce il fondamento normativo della direttiva 95/46.
52 In terzo luogo, la Repubblica federale di Germania fa valere i principi di sussidiarietà e di proporzionalità contemplati all’art. 5, secondo e terzo comma, CE, nonché il principio della leale cooperazione fra gli Stati membri e le istituzioni comunitarie sancito dall’art. 10 CE.
53 Essa ricorda, in particolare, il n. 7 del protocollo sull’applicazione dei principi di sussidiarietà e di proporzionalità, allegato al Trattato UE e al Trattato CE dal Trattato di Amsterdam, secondo cui, nel rispetto del diritto comunitario, si dovrebbe aver cura di salvaguardare disposizioni nazionali consolidate nonché l’organizzazione ed il funzionamento dei sistemi giuridici degli Stati membri.
54 Sarebbe contrario al requisito in discussione obbligare la Repubblica federale di Germania ad adottare un sistema estraneo al proprio ordinamento giuridico e, dunque, abbandonare un sistema di vigilanza efficace, sperimentato da quasi trent’anni e che è stato un esempio nell’ambito della legislazione in materia di protezione dei dati, il cui influsso si sarebbe esercitato ben oltre i confini nazionali.
55 Tale tesi non può essere accolta. Infatti, come esposto ai punti 21‑25 e 50 della presente sentenza, l’interpretazione del requisito dell’indipendenza di cui all’art. 28, n. 1, secondo comma, della direttiva 95/46 nel senso che osta ad una vigilanza dello Stato non va al di là di quanto necessario per il raggiungimento degli obiettivi del Trattato CE.
56 Pertanto, tenuto conto di tutte le considerazioni che precedono, si deve constatare che la Repubblica federale di Germania è venuta meno agli obblighi ad essa incombenti ai sensi dell’art. 28, n. 1, secondo comma, della direttiva 95/46 sottoponendo alla vigilanza dello Stato le autorità di controllo competenti per la sorveglianza del trattamento dei dati personali da parte dei settori diversi da quello pubblico nei vari Länder e trasponendo quindi erroneamente il requisito per cui dette autorità nello svolgimento delle loro funzioni sono «pienamente indipendenti».
Sulle spese
57 Ai termini dell’art. 69, n. 2, del regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda. Poiché la Commissione ne ha fatto domanda, la Repubblica federale di Germania, rimasta soccombente, deve essere condannata alle spese.
58 Il GEPD sopporterà le proprie spese.
Per questi motivi, la Corte (Grande Sezione) dichiara e statuisce:
1) La Repubblica federale di Germania è venuta meno agli obblighi ad essa incombenti ai sensi dell’art. 28, n. 1, secondo comma, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, sottoponendo alla vigilanza dello Stato le autorità di controllo competenti per la sorveglianza del trattamento dei dati personali da parte degli organismi diversi da quelli pubblici e delle imprese di diritto pubblico che partecipano alla concorrenza sul mercato (öffentlich-rechtliche Wettbewerbsunternehmen) nei vari Länder, trasponendo quindi erroneamente il requisito per cui dette autorità nello svolgimento delle loro funzioni sono «pienamente indipendenti».
2) La Repubblica federale di Germania è condannata a sopportare le spese della Commissione europea.
3) Il Garante europeo della protezione dei dati sopporterà le proprie spese.
Firme