Language of document : ECLI:EU:C:2010:125

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

9 de Março de 2010 (*)

«Incumprimento de Estado – Directiva 95/46/CE – Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados – Artigo 28.°, n.° 1 – Autoridades nacionais de controlo – Independência – Tutela administrativa exercida sobre essas autoridades»

No processo C‑518/07,

que tem por objecto uma acção por incumprimento nos termos do artigo 226.° CE, entrada em 22 de Novembro de 2007,

Comissão Europeia, representada por C. Docksey, C. Ladenburger e H. Krämer, na qualidade de agentes, com domicílio escolhido no Luxemburgo,

demandante,

apoiada por:

Autoridade Europeia para a Protecção de Dados, representada por H. Hijmans e A. Scirocco, na qualidade de agentes, com domicílio escolhido no Luxemburgo,

interveniente,

contra

República Federal da Alemanha, representada por M. Lumma e J. Möller, na qualidade de agentes, com domicílio escolhido no Luxemburgo,

demandada,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: V. Skouris, presidente, A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.‑C. Bonichot e E. Levits, presidentes de secção, A. Rosas, K. Schiemann (relator), J.‑J. Kasel, M. Safjan e D. Šváby, juízes,

advogado‑geral: J. Mazák,

secretário: R. Grass,

vistos os autos,

ouvidas as conclusões do advogado‑geral na audiência de 12 de Novembro de 2009,

profere o presente

Acórdão

1        Na sua petição, a Comissão das Comunidades Europeias pede ao Tribunal de Justiça que declare que a República Federal da Alemanha, ao submeter à tutela do Estado as autoridades de controlo competentes para fiscalizar o tratamento de dados pessoais no sector não público nos diferentes Länder, transpondo, assim, de forma errada, a exigência de «total independência» das autoridades encarregadas de garantir a protecção desses dados, não cumpriu as obrigações que lhe incumbem por força do artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31).

 Quadro jurídico

 Regulamentação comunitária

2        A Directiva 95/46 foi adoptada com fundamento no artigo 100.°‑A do Tratado CE (que passou, após alteração, a artigo 95.° CE) e visa harmonizar as legislações nacionais relativas ao tratamento de dados pessoais.

3        O terceiro, sétimo, oitavo, décimo e sexagésimo segundo considerandos da Directiva 95/46 enunciam o seguinte:

«(3)      Considerando que o estabelecimento e o funcionamento do mercado interno, no qual, nos termos do artigo 7.°‑A do Tratado [CE (que passou, após alteração, a artigo 14.° CE)], é assegurada a livre circulação das mercadorias, das pessoas, dos serviços e dos capitais, exigem não só que os dados pessoais possam circular livremente de um Estado‑Membro para outro, mas igualmente, que sejam protegidos os direitos fundamentais das pessoas;

[…]

(7)      Considerando que as diferenças entre os Estados‑Membros quanto ao nível de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, no domínio do tratamento de dados pessoais, podem impedir a transmissão desses dados do território de um Estado‑Membro para o de outro Estado‑Membro; que estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício de uma série de actividades económicas à escala comunitária, falsear a concorrência e entravar o exercício pelas administrações das funções que lhes incumbem nos termos do direito comunitário; que esta diferença de níveis de protecção resulta da disparidade das disposições legislativas, regulamentares e administrativas nacionais;

(8)      Considerando que, para eliminar os obstáculos à circulação de dados pessoais, o nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento destes dados deve ser equivalente em todos os Estados‑Membros; que a realização deste objectivo, fundamental para o mercado interno, não pode ser assegurada unicamente pelos Estados‑Membros, tendo especialmente em conta a dimensão das divergências que se verificam actualmente a nível das legislações nacionais aplicáveis na matéria e a necessidade do coordenar as legislações dos Estados‑Membros para assegurar que a circulação transfronteiras de dados pessoais seja regulada de forma coerente e em conformidade com o objectivo do mercado interno nos termos do artigo 7.°‑A do Tratado; que é portanto necessária uma acção comunitária com vista à aproximação das legislações;

[…]

(10)      Considerando que o objectivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8.° da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais [assinada em Roma, em 4 de Novembro de 1950] como nos princípios gerais do direito comunitário; que, por este motivo, a aproximação das referidas legislações não deve fazer diminuir a protecção que asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de protecção na Comunidade;

[…]

(62)      Considerando que a criação nos Estados‑Membros de autoridades de controlo que exerçam as suas funções com total independência constitui um elemento essencial da protecção das pessoas no que respeita ao tratamento de dados pessoais.»

4        Intitulado «Objecto da directiva», o artigo 1.° da Directiva 95/46 tem a seguinte redacção:

«1.      Os Estados‑Membros assegurarão, em conformidade com a presente directiva, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2.      Os Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à protecção assegurada por força do n.° 1.»

5        O artigo 28.° da Directiva 95/46, intitulado «Autoridade de controlo», dispõe:

«1.      Cada Estado‑Membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adoptadas pelos Estados‑Membros nos termos da presente directiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas.

2.       Cada Estado‑Membro estabelecerá que as autoridades de controlo serão consultadas aquando da elaboração de medidas regulamentares ou administrativas relativas à protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.

3.      Cada autoridade do controlo disporá, nomeadamente:

–        de poderes de inquérito, tais como o poder de aceder aos dados objecto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

–        de poderes efectivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execução [dos tratamentos, em conformidade com o artigo 20.°, e de assegurar uma publicação] adequada desses pareceres, o de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas,

–        do poder de intervir em processos judiciais no caso de violação das disposições nacionais adoptadas nos termos da presente directiva ou de levar essas infracções ao conhecimento das autoridades judiciais.

As decisões da autoridade de controlo que lesem interesses são passíveis de recurso jurisdicional.

4.      Qualquer pessoa ou associação que a represente pode apresentar à autoridade de controlo um pedido para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento dado ao seu pedido.

Em particular, qualquer pessoa pode apresentar à autoridade de controlo um pedido de verificação da licitude de qualquer tratamento de dados, sempre que sejam aplicáveis as disposições nacionais adoptadas por força do artigo 13.° [da presente directiva]. O requerente será pelo menos informado da realização da verificação.

5.      Cada autoridade de controlo elaborará periodicamente um relatório sobre a sua actividade. O relatório será publicado.

6.      Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado‑Membro dos poderes que lhe foram atribuídos em conformidade com o n.° 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado‑Membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.

7.      Os Estados‑Membros determinarão que os membros e agentes das autoridades de controlo fiquem sujeitos, mesmo após a cessação das suas actividades, à obrigação de segredo profissional em relação às informações confidenciais a que tenham acesso.»

6        O Regulamento (CE) n.° 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO 2001, L 8, p. 1), foi adoptado com base no artigo 286.° CE. O artigo 44.°, n.os 1 e 2, desse regulamento enuncia:

«1.      A Autoridade Europeia para a Protecção de Dados [(a seguir ‘AEPD’)] é totalmente independente no desempenho das suas funções.

2.      No exercício das suas funções, a [AEPD] não solicita nem aceita instruções de outrem.»

 Legislação nacional

7        O direito alemão faz uma distinção, relativamente à protecção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais, consoante esse tratamento seja efectuado por organismos públicos ou não.

8        As autoridades encarregadas do controlo do cumprimento das disposições na matéria, por um lado, pelos organismos públicos e, por outro, pelos organismos não públicos e pelas empresas de direito público que participam no jogo da concorrência no mercado (öffentlich‑rechtliche Wettbewerbsunternehmen) (a seguir, globalmente, «sector não público») são, com efeito, diferentes.

9        O tratamento de dados pessoais efectuado pelos organismos públicos é fiscalizado, a nível federal, pelo Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (delegado federal para a protecção de dados e a liberdade de informação) e, ao nível dos Länder, pelos Landesdatenschutzbeauftragte (delegados para a protecção de dados dos Länder). Todos estes delegados respondem apenas perante o respectivo parlamento e, normalmente, não estão sujeitos a tutela, instrução ou outra influência dos organismos públicos sob o seu controlo.

10      Em contrapartida, a estrutura das autoridades encarregadas de fiscalizar o tratamento desses dados pelo sector não público varia de Land para Land. Contudo, as leis dos Länder têm como característica comum submeter expressamente essas autoridades de controlo a uma tutela exercida pelo Estado.

 Procedimento pré‑contencioso e processo no Tribunal de Justiça

11      A Comissão, por considerar incompatível com o artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46 submeter à tutela do Estado a autoridade encarregada de fiscalizar o cumprimento das disposições relativas à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelo sector não público, como acontece em todos os Landër alemães, enviou, em 5 de Julho de 2005, uma notificação para cumprir à República Federal da Alemanha. Este Estado‑Membro respondeu por carta de 12 de Setembro de 2005, afirmando que o sistema alemão de controlo na matéria cumpre as exigências da referida directiva. Seguidamente, em 12 de Dezembro de 2006, a Comissão dirigiu um parecer fundamentado à República Federal da Alemanha, reiterando a acusação anteriormente formulada. Na sua resposta de 14 de Fevereiro 2007, a República Federal da Alemanha manteve a sua posição inicial.

12      Foi nestas circunstâncias que a Comissão decidiu intentar a presente acção.

13      Por despacho do presidente do Tribunal de Justiça de 14 de Outubro de 2008, foi admitida a intervenção da AEPD, em apoio dos pedidos da Comissão.

 Quanto à acção

 Argumentos das partes

14      O presente litígio resulta das duas concepções contraditórias que a Comissão, apoiada pela AEPD, e a República Federal da Alemanha têm da expressão «com total independência», que figura no artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46, e do exercício das funções das autoridades de controlo em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

15      Segundo a Comissão e a AEPD, que se baseiam numa interpretação ampla da expressão «com total independência», a exigência do exercício das funções das autoridades de controlo «com total independência» deve ser interpretada no sentido de que uma autoridade de controlo deve estar isenta de qualquer influência, quer esta seja exercida por outras autoridades quer fora do quadro da Administração. A tutela do Estado, a que estão sujeitas na Alemanha as autoridades de controlo do cumprimento da regulamentação em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais no sector não público, representa, assim, uma violação da referida exigência.

16      A República Federal da Alemanha, por seu turno, defende uma interpretação mais estrita da expressão «com total independência» e sustenta que o artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46 exige uma independência funcional das autoridades de controlo, no sentido de que essas autoridades devem ser independentes do sector não público sujeito ao seu controlo e não devem estar expostas a influências externas. Ora, na sua opinião, a tutela do Estado exercida nos Landër alemães não constitui uma tal influência, tratando‑se antes de um mecanismo de vigilância interna da Administração, posto em prática por autoridades que fazem parte do mesmo aparelho administrativo que as autoridades de controlo e que estão obrigadas, como estas autoridades, a cumprir os objectivos da Directiva 95/46.

 Apreciação do Tribunal

 Quanto ao alcance da exigência de independência das autoridades de controlo

17      A apreciação do mérito da presente acção depende do alcance da exigência de independência prevista no artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46 e, consequentemente, da interpretação dessa disposição. Neste contexto, há que ter em conta a própria redacção da referida disposição, bem como os objectivos e a sistemática da Directiva 95/46.

18      Em primeiro lugar, no que se refere à redacção do artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46, uma vez que a expressão «com total independência» não está aí definida, há que ter em conta o seu sentido habitual. Em matéria de organismos públicos, a expressão «independência» designa, normalmente, um estatuto que assegura ao órgão em causa a possibilidade de agir com toda a liberdade, ao abrigo de qualquer instrução ou pressão.

19      Contrariamente à posição defendida pela República Federal de Alemanha, nada indica que a exigência de independência diga exclusivamente respeito à relação entre as autoridades de controlo e os organismos sujeitos ao seu controlo. Pelo contrário, o conceito de «independência» é reforçado pelo adjectivo «total», o que implica um poder decisório isento de qualquer influência, directa ou indirecta, externa à autoridade de controlo.

20      Em segundo lugar, no que se refere aos objectivos da Directiva 95/46, resulta, nomeadamente, do seu terceiro, sétimo e oitavo considerandos que, através da harmonização das regras nacionais que protegem as pessoas singulares no que diz respeito ao tratamento de dados pessoais, esta directiva visa principalmente garantir a livre circulação desses dados entre Estados‑Membros (v., neste sentido, acórdão de 20 de Maio de 2003, Österreichischer Rundfunk e o., C‑465/00, C‑138/01 e C‑139/01, Colect., p. I‑4989, n.os 39 e 70), que é necessária ao estabelecimento e ao funcionamento do mercado interno, na acepção do artigo 14.°, n.° 2, CE.

21      Ora, a livre circulação de dados pessoais é susceptível de pôr em causa o direito à vida privada, tal como consagrado, nomeadamente, no artigo 8.° da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais (v., neste sentido, TEDH, acórdãos Amann c. Suíça de 16 de Fevereiro de 2000, Colectânea dos acórdãos e decisões 2000‑II, §§ 69 e 80, e Rotaru c. Roménia de 4 de Maio de 2000, Colectânea dos acórdãos e decisões 2000‑V, §§ 43 e 46), e reconhecido pelos princípios gerais do direito comunitário.

22      Por esta razão, e como resulta, nomeadamente, do décimo considerando e do artigo 1.° da Directiva 95/46, esta não tem por objectivo diminuir a protecção que as normas nacionais existentes garantem, mas sim assegurar na Comunidade um nível elevado de protecção das liberdades e dos direitos fundamentais no que diz respeito ao tratamento de dados pessoais (v., neste sentido, acórdão Österreichischer Rundfunk e o., já referido, n.° 70, e acórdão de 16 de Dezembro de 2008, Satakunnan Markkinapörssi e Satamedia, C‑73/07, Colect., p. I‑9831, n.° 52).

23      As autoridades de controlo previstas no artigo 28.° da Directiva 95/46 são, portanto, as guardiãs dos referidos direitos e liberdades fundamentais, e a sua instituição nos Estados‑Membros constitui, como refere o sexagésimo segundo considerando desta directiva, um elemento essencial da protecção das pessoas no que diz respeito ao tratamento de dados pessoais.

24      Para garantir essa protecção, as autoridades de controlo devem assegurar um justo equilíbrio entre, por um lado, o respeito do direito fundamental à vida privada e, por outro, os interesses que regem uma livre circulação de dados pessoais. Além disso, por força do artigo 28.°, n.° 6, da Directiva 95/46, as diferentes autoridades nacionais são chamadas a cooperar entre si e mesmo, eventualmente, a exercer os seus poderes, a pedido de uma autoridade de outro Estado‑Membro.

25      A garantia de independência das autoridades nacionais de controlo visa assegurar a eficácia e a fiabilidade do controlo do respeito das disposições em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e deve ser interpretada à luz deste objectivo. Essa exigência não foi estabelecida para conferir um estatuto especial às próprias autoridades e aos seus agentes, mas com vista a reforçar a protecção das pessoas e dos organismos abrangidos pelas suas decisões. Consequentemente, no exercício das suas funções, as autoridades de controlo devem agir de forma objectiva e imparcial. Para tal, devem estar ao abrigo de qualquer influência externa, incluindo a influência, directa ou indirecta, do Estado ou dos Landër, e não apenas da influência dos organismos controlados.

26      Em terceiro lugar, no que se refere à sistemática da Directiva 95/46, esta directiva deve ser entendida como o complemento do artigo 286.° CE e do Regulamento n.° 45/2001. Estes dizem respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários, bem como à livre circulação desses dados. A referida directiva prossegue também esses objectivos, mas relativamente ao tratamento desses dados nos Estados‑Membros.

27      Da mesma forma que, a nível nacional, há órgãos de controlo, também, a nível comunitário, está previsto um órgão de controlo encarregado de fiscalizar a aplicação das regras em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a saber, a AEPD. De acordo com o artigo 44.°, n.° 1, do Regulamento n.° 45/2001, este órgão exerce as suas funções com total independência. O n.° 2 do referido artigo explicita este conceito de independência, acrescentando que, no exercício das suas funções, a AEPD não solicita nem aceita instruções seja de quem for.

28      Tendo em conta o facto de o artigo 44.° do Regulamento n.° 45/2001 e o artigo 28.° da Directiva 95/46 se basearem no mesmo conceito geral, há que interpretar estas duas disposições de forma homogénea, de modo a que não só a independência da AEPD mas também a das autoridades nacionais impliquem a ausência de qualquer instrução relativa ao exercício das suas funções.

29      Baseando‑se na própria redacção do artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46 assim como nos objectivos e na sistemática desta directiva, é possível chegar a uma interpretação clara do referido artigo 28.°, n.° 1, segundo parágrafo. Consequentemente, não é necessário ter em conta a génese da referida directiva nem tomar posição sobre os argumentos contraditórios apresentados a este propósito pela Comissão e pela República Federal da Alemanha.

30      Face ao exposto, há que interpretar o artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46 no sentido de que as autoridades de controlo competentes para fiscalizar o tratamento de dados pessoais no sector não público devem gozar de uma independência que lhes permita exercer as suas funções sem influência externa. Essa independência exclui não só qualquer influência exercida pelos organismos de controlo mas também qualquer instrução ou qualquer outra influência externa, directa ou indirecta, que possam pôr em causa o cumprimento, pelas referidas autoridades, da sua tarefa de estabelecer um justo equilíbrio entre a protecção do direito à vida privada e a livre circulação de dados pessoais.

 Quanto à tutela do Estado

31      Seguidamente, há que examinar se a tutela do Estado, a que estão sujeitas na Alemanha as autoridades de controlo do tratamento de dados pessoais efectuado pelo sector não público, é compatível com a exigência de independência tal como foi precisada.

32      A este propósito, há que observar que a tutela do Estado, seja de que natureza for, permite, em princípio, ao Governo do Land em causa ou a um órgão da Administração dependente desse governo influenciar, directa ou indirectamente, as decisões das autoridades de controlo ou, eventualmente, anular e substituir essas decisões.

33      Importa, é certo, admitir a priori, como alega a República Federal da Alemanha, que a tutela do Estado visa apenas assegurar uma acção das autoridades de controlo, que seja conforme com as disposições nacionais e comunitárias aplicáveis, e que, portanto, não tem por fim obrigar as referidas autoridades a prosseguirem, eventualmente, objectivos políticos contrários à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e aos direitos fundamentais.

34      Contudo, não se pode excluir que as autoridades de tutela, que fazem parte da Administração Geral e que, portanto, dependem do Governo do respectivo Land, não possam actuar de forma objectiva quando interpretam e aplicam as disposições relativas ao tratamento de dados pessoais.

35      Com efeito, como afirma a AEPD nas suas observações, o Governo do Land em questão pode ter interesse em não cumprir as disposições relativas à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, quando esteja em causa o tratamento desses dados pelo sector não público. Esse mesmo governo pode ser parte interessada nesse tratamento, se nele participa ou puder participar, por exemplo, no caso de uma parceria público‑privada ou no âmbito de contratos públicos com o sector privado. Esse governo pode também ter um interesse específico, se lhe for necessário, ou simplesmente útil, aceder a bases de dados para cumprir algumas das suas funções, nomeadamente para fins fiscais ou repressivos. Esse mesmo governo pode também, além disso, ter tendência para privilegiar interesses económicos na aplicação das referidas disposições por determinadas sociedades importantes, do ponto de vista económico, para o Land ou para a região.

36      Além disso, importa salientar que o mero risco de as autoridades de tutela poderem exercer uma influência política nas decisões das autoridades de controlo é suficiente para impedir o exercício independente das suas funções. Por um lado, como afirmou a Comissão, podia haver uma «obediência antecipada» dessas autoridades, atendendo à prática decisória da autoridade de tutela. Por outro, o papel de guardiãs do direito à vida privada que as referidas autoridades desempenham exige que as suas decisões e, consequentemente, elas próprias, estejam acima de qualquer suspeita de parcialidade.

37      Face ao exposto, há que concluir que a tutela do Estado exercida sobre as autoridades alemãs de controlo competentes para fiscalizar o tratamento de dados pessoais no sector não público não é compatível com a exigência de independência descrita no n.° 30 do presente acórdão.

 Quanto aos princípios do direito comunitário invocados pela República Federal da Alemanha

38      A República Federal da Alemanha alega que seria contrário a diferentes princípios do direito comunitário interpretar a exigência de independência prevista no artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46 de tal forma que obrigasse esse Estado‑Membro a abandonar o seu sistema testado e eficaz de tutela sobre as autoridades de controlo no que diz respeito ao tratamento de dados pessoais no domínio não público.

39      Em primeiro lugar, segundo o referido Estado‑Membro, o princípio da democracia, em especial, opõe‑se a uma interpretação ampla da referida exigência de independência.

40      Este princípio, consagrado não só na Constituição alemã mas também no artigo 6.°, n.° 1, UE, exige uma submissão da Administração às instruções do governo responsável perante o parlamento. Assim, as intervenções relativas aos direitos dos cidadãos e das empresas devem estar sujeitas à tutela de legalidade do ministro competente. Na medida em que as autoridades de controlo em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais dispõem de determinados poderes de intervenção em relação aos cidadãos e ao sector não público por força do artigo 28.°, n.° 3, da Directiva 95/46, é absolutamente necessário um controlo alargado da legalidade das suas actividades através de meios de controlo da legalidade ou do mérito.

41      A este propósito, há que recordar que o princípio da democracia emana da ordem jurídica comunitária e foi consagrado expressamente no artigo 6.°, n.° 1, UE como um dos fundamentos da União Europeia. Enquanto princípio comum aos Estados‑Membros, deve ser tido em conta na interpretação de um acto de direito derivado, como o artigo 28.° da Directiva 95/46.

42      Este princípio não obsta à existência de autoridades públicas fora do âmbito da administração hierárquica clássica e mais ou menos independentes do governo. A existência e as condições de funcionamento dessas autoridades decorrem, nos Estados‑Membros, da lei ou mesmo, em determinados Estados‑Membros, da Constituição, e essas autoridades estão obrigadas ao cumprimento da lei, sob o controlo dos órgãos jurisdicionais competentes. Essas autoridades administrativas independentes, como, de resto, existem no sistema jurídico alemão, têm frequentemente funções reguladoras ou exercem funções que devem ser subtraídas à influência política, embora permanecendo sujeitas ao cumprimento da lei, sob o controlo dos órgãos jurisdicionais competentes. É precisamente esse o caso das funções das autoridades de controlo em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

43      É verdade que a ausência de qualquer influência parlamentar nessas autoridades seria inconcebível. No entanto, importa observar que a Directiva 95/46 não impõe aos Estados‑Membros essa ausência de qualquer influência parlamentar.

44      Assim, por um lado, as pessoas que assumem a direcção das autoridades de controlo podem ser nomeadas pelo parlamento ou pelo governo. Por outro, o legislador pode definir as competências das referidas autoridades.

45      Além disso, o legislador pode impor às autoridades de controlo a obrigação de informar o parlamento das suas actividades. A este propósito, pode fazer‑se uma aproximação com o artigo 28.°, n.° 5, da Directiva 95/46, que prevê que cada autoridade de controlo elabora periodicamente um relatório sobre a sua actividade, que será publicado.

46      Deste modo, o facto de conferir um estatuto independente da Administração Geral às autoridades de controlo em matéria de protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais no sector não público não é, em si, susceptível de privar essas autoridades da sua legitimidade democrática.

47      Em segundo lugar, relativamente ao princípio das competências de atribuição consagrado no artigo 5.°, primeiro parágrafo, CE, que também é invocado pela República Federal da Alemanha, este princípio obriga a Comunidade a actuar apenas dentro dos limites das competências que são conferidas e dos objectivos que lhe são cometidos pelo Tratado CE.

48      A República Federal da Alemanha alega, neste contexto, que a independência das autoridades de controlo face às autoridades administrativas superiores não pode ser exigida a título do artigo 100.°‑A do Tratado CE, em que se baseia a Directiva 95/46.

49      Esta disposição habilita o legislador comunitário a adoptar medidas destinadas a melhorar as condições de estabelecimento e de funcionamento do mercado interno, devendo estas medidas ter efectivamente esse objecto, ao contribuir para a eliminação de entraves às liberdades económicas garantidas pelo Tratado CE (v., neste sentido, nomeadamente, acórdãos de 5 de Outubro de 2000, Alemanha/Parlamento e Conselho, C‑376/98, Colect., p. I‑8419, n.os 83, 84 e 95; de 10 de Dezembro de 2002, British American Tobacco (Investments) e Imperial Tobacco, C‑491/01, Colect., p. I‑11453, n.° 60; e de 2 de Maio de 2006, Parlamento/Conselho, C‑436/03, Colect., p. I‑3733, n.° 38).

50      Como já foi referido, a independência das autoridades de controlo, na medida em que devem ser subtraídas a qualquer influência exterior susceptível de orientar as suas decisões, é um elemento essencial à luz dos objectivos da Directiva 95/46. Essa independência é necessária para instituir, em todos os Estados‑Membros, um nível igualmente elevado de protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e contribui, dessa forma, para a livre circulação de dados, que é necessária para o estabelecimento e o funcionamento do mercado interno.

51      Face ao exposto, uma interpretação ampla da exigência de independência das autoridades de controlo não excede os limites das competências atribuídas à Comunidade pelo artigo 100.°‑A do Tratado CE, que constitui o fundamento jurídico da Directiva 95/46.

52      Em terceiro lugar, a República Federal da Alemanha invoca os princípios da subsidiariedade e da proporcionalidade, previstos no artigo 5.°, segundo e terceiro parágrafos, CE, bem como o princípio da cooperação leal entre os Estados‑Membros e as instituições comunitárias, previsto no artigo 10.° CE.

53      Recorda, nomeadamente, o artigo 7.° do Protocolo relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, anexado ao Tratado UE e ao Tratado CE pelo Tratado de Amesterdão, segundo o qual, sem prejuízo da legislação comunitária, há que assegurar o respeito das práticas nacionais assentes, bem como da organização e do funcionamento dos sistemas jurídicos dos Estados‑Membros.

54      Seria contrário a esta exigência obrigar a República Federal da Alemanha a adoptar um sistema estranho à sua ordem jurídica e abandonar, assim, um sistema de controlo eficaz que dá provas há quase trinta anos e que tem sido um exemplo no domínio da legislação em matéria de protecção de dados, cuja reputação ultrapassou as fronteiras nacionais.

55      Esta argumentação não pode ser acolhida. Com efeito, como foi referido nos n.os 21 a 25 e 50 do presente acórdão, a interpretação da exigência de independência prevista no artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46, no sentido de que se opõe a uma tutela do Estado, não excede o que é necessário para atingir os objectivos do Tratado CE.

56      Atendendo ao conjunto das considerações que precedem, deve pois declarar‑se que a República Federal da Alemanha, ao submeter à tutela do Estado as autoridades de controlo competentes para fiscalizar o tratamento de dados pessoais pelo sector não público nos diferentes Länder, transpondo, assim, de forma errada, a exigência segundo a qual essas autoridades devem exercer as suas funções «com total independência», não cumpriu as obrigações que lhe incumbem por força do artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46.

 Quanto às despesas

57      Por força do disposto no artigo 69.°, n.° 2, do Regulamento de Processo, a parte vencida é condenada nas despesas se a parte vencedora o tiver requerido. Tendo a Comissão pedido a condenação da República Federal da Alemanha e tendo esta sido vencida, há que condená‑la nas despesas.

58      A AEPD suportará as suas próprias despesas.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) decide:

1)      A República Federal da Alemanha, ao submeter à tutela do Estado as autoridades de controlo competentes para fiscalizar o tratamento de dados pessoais pelos organismos não públicos e pelas empresas de direito público que participam no jogo da concorrência no mercado (öffentlich‑rechtliche Wettbewerbsunternehmen) nos diferentes Länder, transpondo, assim, de forma errada, a exigência segundo a qual essas autoridades devem exercer as suas funções «com total independência», não cumpriu as obrigações que lhe incumbem por força do artigo 28.°, n.° 1, segundo parágrafo, da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2)      A República Federal da Alemanha é condenada nas despesas da Comissão Europeia.

3)      A Autoridade Europeia para a Protecção de Dados suportará as suas próprias despesas.

Assinaturas


* Língua do processo: alemão.