Demandante: Comisión de las Comunidades Europeas (representantes: C. Docksey y C. Ladenburger, agentes)

Demandada: República Federal de Alemania

Que se declare que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del artículo 28, apartado 1, segunda frase, de la Directiva 95/46/CE, ¹ al someter a las autoridades de control competentes en materia de supervisión del tratamiento de datos en el ámbito privado de los Länder de Baden-Württemberg, Baviera, Berlín, Brandemburgo, Bremen, Hamburgo, Hesse, Mecklemburgo-Pomerania Occidental, Baja Sajonia, Renania del Norte-Westfalia, Renania-Palatinado, Sarre, Sajonia, Sajonia-Anhalt, Schleswig-Holstein y Turingia, a control estatal y, por lo tanto, haber adaptado su legislación nacional de manera errónea a la exigencia de "total independencia" de las autoridades de supervisión en materia de protección de datos.

Que se condene en costas a la República Federal de Alemania.

El artículo 28, apartado 1, primera frase, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo obliga a los Estados miembros a disponer que "una o más autoridades públicas" "se encarguen de vigilar la aplicación [...] de las disposiciones adoptadas por ellos en aplicación de la presente Directiva", es decir, de las disposiciones en materia de protección de datos. El artículo 28, apartado 1, segunda frase, de la Directiva exige la "total independencia" de las autoridades de control. Según su tenor, se dispone que las autoridades de control deben estar libres de influencia, ya sea por cualquier administración, ya sea por influencias ajenas a la administración del Estado, es decir, que las disposiciones de los Estados miembros tienen que excluir la influencia ajena sobre las decisiones de las autoridades de control y su ejecución. La palabra "total" independencia implica no sólo que no deba existir dependencia de ninguna parte sino tampoco respecto de ningún punto.

Por lo tanto, es incompatible con el artículo 28, apartado 1, segunda frase, de la Directiva, someter a las autoridades de control competentes en materia de supervisión del tratamiento de datos en el ámbito privado a una autoridad de inspección especializada o de servicio o de control legal, como ha ocurrido en todos los 16 Länder de la República Federal de Alemania. Habida cuenta de que la ley de cada uno de los Länder somete la autoridad de control de distinta forma a estos tres tipos de control, las leyes de cada Land suponen un incumplimiento de la República Federal de Alemania de la obligación que le incumbe en virtud del artículo 28, apartado 1, segunda frase, de la Directiva de garantizar la "total independencia" de las autoridades de control. Sin tener en cuenta las diferencias entre las autoridades de inspección especializada o de servicio o de control legal, todas estas formas de supervisión constituyen una infracción de la independencia exigida por la Directiva.

Desde un punto de vista teleológico, el legislador comunitario consideró necesaria la total independencia para poder cumplir efectivamente las funciones que el artículo 28 de la Directiva atribuye a las autoridades de control. El concepto de "total independencia" se aclara también por el contexto de la génesis de la norma. En cuanto al sistema, el requisito de "total independencia" de las autoridades de control de los Estados miembros también se incluye de manera lógica en el acervo comunitario relativo al ámbito de la protección de datos. Además, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea también exige que el respeto de las disposiciones relativas a la protección de datos de carácter personal esté "sujeto al control de una autoridad independiente".

La idea de una independencia relativa, defendida por la República Federal de Alemania, es decir, una independencia de la autoridad de control únicamente respecto del propio controlado es incompatible con el tenor inequívoco y amplio de la Directiva, que exige "total" independencia. Además, dicha interpretación dejaría sin efecto alguno la segunda frase del artículo 28, apartado 1. También procede rechazar la argumentación según la cual el artículo 95 CE, en cuanto fundamento jurídico de la Directiva, así como los principios de subsidiariedad y de proporcionalidad, aconsejan una interpretación restrictiva del requisito de "total independencia". El Tribunal de Justicia ya ha decidido que la Directiva fue adoptada de conformidad con las normas de competencia y que es ilícita una interpretación restrictiva de sus disposiciones en supuestos de hecho no económicos. Por lo demás, la disposición de que se trata no excede de lo necesario para alcanzar los objetivos que persigue la Directiva de conformidad con el artículo 95 CE y el principio de subsidiariedad.