Jurisprudencia Iberoamericana
sobre Protección de Datos Personales

  Inicio  -  Busquedas  -  Presentación  -  Ayuda  -  Recortes de prensa 25 de Octubre de 2021  

Idioma
Español
Português
Català
English
 




derechos
habeas data
datos personales
honor
imagen
intimidad
olvido

personas
fallecidas
figuras públicas
niños y adolescentes
personas morales

tipo de datos
ambiente laboral
electorales
historial crediticio
Internet
judiciales
medios
salud
telecomunicaciones
vigilancia

legislación
específica
relacionada
sectorial

doctrina



Países
RedIPD
Europa
las Américas
Andorra
Argentina
Bolivia
Brasil
Chile
Colombia
Costa Rica
Ecuador
el mundo
El Salvador
España
Guatemala
Honduras
México
Nicaragua
Panamá
Paraguay
Perú
Portugal
República Dominicana
Uruguay
Venezuela
 
 
Países
 


.
Europa [ 09 Marzo 2010 ] [Tribunal de Justicia de las Comunidades Europeas - Gran Sala] JUR 2010\58584    caché ES 

Independencia de las autoridades encargadas de garantizar la protección de datos

17. La apreciación del fundamento del presente recurso depende del alcance de la exigencia de independencia que establece el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 (LCEur 1995\2977) y, por tanto, de la interpretación del mismo. En este contexto, debe tenerse en cuenta tanto el tenor literal de dicho precepto como los objetivos y el sistema de la Directiva.

... el Tribunal de Justicia (Gran Sala) decide: 1º Declarar que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LCEur 1995\2977), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, al someter a la tutela del Estado a las autoridades de control encargadas de vigilar en los diferentes Länder el tratamiento de datos personales efectuado por los organismos no públicos y las empresas públicas que compiten en el mercado (öffentlich-rechtliche Wettbewerbsunternehmen), y al haber adaptado así incorrectamente su normativa nacional a la exigencia de que dichas autoridades ejerzan sus funciones con «total independencia».



 

JUR 2010\58584

Sentencia Tribunal de Justicia de las Comunidades Europeas Luxemburgo (Gran Sala), de 9 marzo 2010

Jurisdicción: Comunitario

Recurso de Incumplimiento.

Ponente: K. Schiemann.

En el asunto C-518/07,

que tiene por objeto un recurso por incumplimiento interpuesto, con arreglo al artículo 226 CE (RCL 1999\1205

ter), el 22 de noviembre de 2007,

Comisión Europea, representada por los Sres. C. Docksey, C. Ladenburger y H. Krämer, en calidad de agentes,

que designa domicilio en Luxemburgo,

parte demandante,

apoyada por:

Supervisor Europeo de Protección de Datos, representado por los Sres. H. Hijmans y A. Scirocco, en calidad

de agentes, que designa domicilio en Luxemburgo,

parte coadyuvante,

contra

República Federal de Alemania, representada por los Sres. M. Lumma y J. Möller, en calidad de agentes, que

designa domicilio en Luxemburgo,

parte demandada,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, los Sres. A. Tizzano, J.N. Cunha Rodrigues, K. Lenaerts, J.-C.

Bonichot y E. Levits, Presidentes de Sala, y los Sres. A. Rosas, K. Schiemann (Ponente), J.-J. Kasel, M. Safjan y D.

?váby, Jueces;

Abogado General: Sr. J. Mazák;

Secretario: Sr. R. Grass;

habiendo considerado los escritos obrantes en autos;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 12 de noviembre de 2009;

dicta la siguiente

SENTENCIA

1 Mediante su recurso, la Comisión de las Comunidades Europeas solicita al Tribunal de Justicia que declare

que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del artículo 28,

apartado 1, párrafo segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de

1995 (LCEur 1995\2977), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos

personales y a la libre circulación de estos datos (DO L 281, p. 31), al someter a la tutela del Estado a las

autoridades de control competentes para vigilar en los diferentes Länder el tratamiento de datos personales en el

sector no público, y al haber adaptado así incorrectamente su normativa nacional a la exigencia de «total

independencia» de las autoridades encargadas de garantizar la protección de estos datos.

Marco jurídico

La normativa comunitaria

2 La Directiva 95/46 (LCEur 1995\2977) fue adoptada sobre la base del artículo 100 A del Tratado CE

(posteriormente, tras su modificación, artículo 95 CE [RCL 1999\1205 ter]) con objeto de armonizar las legislaciones

nacionales en materia de tratamiento de datos personales.

3 Los considerandos 3, 7, 8, 10 y 62 de la citada Directiva (LCEur 1995\2977) señalan lo siguiente:

«3) Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada,

con arreglo al artículo 7 A del Tratado [CE (posteriormente, tras su modificación, artículo 14 CE [RCL 1999\1205

ter])], la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación

de datos personales de un Estado miembro a otro, sino también la protección de los derechos fundamentales de las

personas;

[?]

7) Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas

y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos

personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo

tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a

escala comunitaria, falsear la competencia e impedir que las administraciones cumplan los cometidos que les

incumben en virtud del Derecho comunitario; que estas diferencias en los niveles de protección se deben a la

disparidad existente entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros;

8) Considerando que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de

los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente

en todos los Estados miembros; que ese objetivo, esencial para el mercado interior, no puede lograrse mediante la

mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes en la

actualidad entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de

los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de

conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado; que, por tanto, es necesario

que la Comunidad intervenga para aproximar las legislaciones;

[?]

10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto

garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida

privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las

Libertades Fundamentales [firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del

Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución

de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección

dentro de la Comunidad;

[?]

62) Considerando que la creación de una autoridad de control que ejerza sus funciones con plena independencia

en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que

respecta al tratamiento de datos personales».

4 El artículo 1 de la Directiva 95/46 (LCEur 1995\2977), titulado «Objeto de la Directiva», preceptúa:

«1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de

las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad,

en lo que respecta al tratamiento de los datos personales.

.2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los

Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1».

5 El artículo 28 de la Directiva 95/46 (LCEur 1995\2977), titulado «Autoridad de control», dispone:

«1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación

en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la

elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de

las personas en lo que se refiere al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

? poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de

recabar toda la información necesaria para el cumplimiento de su misión de control;

? poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los

tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de

ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un

tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión

a los parlamentos u otras instituciones políticas nacionales;

? capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la

presente Directiva o de poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la

represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos

personales. Esa persona será informada del curso dado a su solicitud.

Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un

tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en

virtud del artículo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido

lugar una verificación.

5. Toda autoridad de control presentará periódicamente un informe sobre sus actividades. Dicho informe será

publicado.

6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional

aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que

se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus

poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en

particular mediante el intercambio de información que estimen útil.

7. Los Estados miembros dispondrán que los miembros y agentes de las autoridades de control estarán sujetos,

incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre informaciones

confidenciales a las que hayan tenido acceso».

6 El Reglamento (CE) núm. 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000 (LCEur

2001\60), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por

las instituciones y los organismos comunitarios y a la libre circulación de estos datos

(DO 2001, L 8, p. 1), fue adoptado con fundamento en el artículo 286 CE (RCL 1999\1205 ter). Según el artículo

44, apartados 1 y 2, de dicho Reglamento:

«1. El Supervisor Europeo de Protección de Datos [en lo sucesivo, SEPD] actuará con total independencia en el

ejercicio de sus funciones.

2. En el ejercicio de sus funciones [el SEPD] no solicitará ni admitirá instrucciones de nadie».

La normativa nacional

7 El Derecho alemán distingue en materia de protección de las personas físicas en lo que respecta al tratamiento

de datos personales en función de que dicho tratamiento lo efectúen organismos públicos o no.

8 En efecto, son diferentes las autoridades encargadas de controlar el respeto de la normativa en esta materia

por los organismos públicos, por una parte, y por los organismos no públicos y por las empresas públicas que

compiten en el mercado, por otra parte (öffentlich-rechtliche Wettbewerbsunternehmen) (en lo sucesivo,

conjuntamente, «sector no público»).

9 El tratamiento de datos personales efectuado por los organismos públicos se vigila, a escala federal, por el

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (delegado federal para la protección de datos y

la libertad de información) y, en los Länder, por los Landesdatenschutzbeauftragte (delegados para la protección de

datos de los Länder). Todos estos delegados son responsables únicamente ante su respectivo Parlamento y

normalmente no están sometidos a ninguna clase de tutela, instrucciones o influencia de otro tipo por parte de los

organismos públicos sujetos a su control.

10 En cambio, la estructura de las autoridades encargadas de vigilar el tratamiento de estos datos por el sector

no público varía de un Land a otro. No obstante, todos los ordenamientos jurídicos de los Länder coinciden en

someter expresamente a dichas autoridades de control a la tutela del Estado.

El procedimiento administrativo previo y el procedimiento ante el Tribunal de Justicia

11 Al considerar que no es compatible con lo dispuesto en el artículo 28, apartado 1, párrafo segundo, de la

Directiva 95/46 (LCEur 1995\2977), someter a la tutela del Estado a las autoridades encargadas de vigilar el respeto

de la normativa en materia de protección de las personas físicas en lo que respecta al tratamiento de datos

personales por el sector no público, como sucede en todos los Länder alemanes, el 5 de julio de 2005 la Comisión

envió un escrito de requerimiento a la República Federal de Alemania, que contestó mediante escrito de 12 de

septiembre de 2005, afirmando que el sistema alemán de control en esta materia es conforme a lo dispuesto en

dicha Directiva. El 12 de diciembre de 2006 la Comisión envió un dictamen motivado a la República Federal de

Alemania en el que reiteraba la imputación formulada anteriormente. Esta última contestó el 14 de febrero de 2007

reafirmándose en su posición inicial.

12 Dadas estas circunstancias, la Comisión decidió interponer el presente recurso.

13 Mediante auto del Presidente del Tribunal de Justicia de 14 de octubre de 2008, se admitió la intervención en

el presente asunto del SEPD, en apoyo de las pretensiones de la Comisión.

Sobre el recurso

Alegaciones de las partes

14 El presente litigio gira en torno a dos concepciones contrapuestas que mantienen la Comisión, apoyada por el

SEPD, y la República Federal de Alemania, sobre la expresión «con total independencia» que figura en el artículo

28, apartado 1, párrafo segundo, de la Directiva 95/46 (LCEur 1995\2977), y sobre el ejercicio de las funciones de

las autoridades de control en materia de protección de las personas físicas en lo que respecta al tratamiento de

datos personales.

15 Según la Comisión y el SEPD, que se basan en una interpretación amplia de la expresión «con total

independencia», la exigencia de que las autoridades de control ejerzan sus funciones con «total independencia»

debe interpretarse en el sentido de que dichas autoridades han de estar exentas de toda influencia, tanto si ésta es

ejercida por otras autoridades como si es ajena a la Administración. Por ello, la tutela del Estado a la que están

sometidas en Alemania las autoridades encargadas de controlar el respeto de la normativa en materia de protección

de las personas físicas en lo que respecta al tratamiento de datos personales en el sector no público supone, en su

opinión, incumplir dicha exigencia.

16 La República Federal de Alemania defiende, por su parte, una interpretación más estricta de la expresión

«con total independencia» y alega que el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 (LCEur

1995\2977) exige la independencia funcional de las autoridades de control, en el sentido de que éstas deben ser

independientes del sector no público sujeto a su control y no deben estar expuestas a influencias externas. Ahora

bien, según la parte demandada, la tutela que el Estado ejerce en los Länder alemanes no constituye tal influencia

externa, sino un mecanismo de vigilancia interna de la Administración, que llevan a cabo autoridades incardinadas

en la misma estructura administrativa a la que pertenecen las autoridades de control y, como éstas, obligadas a

cumplir los objetivos de la Directiva 95/46.

Apreciación del Tribunal de Justicia

Sobre el alcance de la exigencia de independencia de las autoridades de control

17 La apreciación del fundamento del presente recurso depende del alcance de la exigencia de independencia

que establece el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 (LCEur 1995\2977) y, por tanto, de la

interpretación del mismo. En este contexto, debe tenerse en cuenta tanto el tenor literal de dicho precepto como los

objetivos y el sistema de la Directiva.

18 Por lo que atañe, en primer lugar, al tenor literal del artículo 28, apartado 1, párrafo segundo, de la Directiva

95/46, dado que ésta no define la expresión «con total independencia», se debe atender a su significado habitual.

Cuando se trata de un órgano público, el término «independencia» se refiere normalmente al estatuto que le

garantiza la posibilidad de actuar con plena libertad, a resguardo de cualquier tipo de instrucciones o presiones.

19 En contra de lo alegado por la República Federal de Alemania, nada indica que la exigencia de

independencia se refiera exclusivamente a la relación entre las autoridades de control y los organismos sujetos a su

control. Por el contrario, el término «independencia» viene reforzado por el adjetivo «total», lo que implica una

facultad de decisión exenta de toda influencia externa a la autoridad de control, ya sea directa o indirecta.

20 Por lo que se refiere, en segundo lugar, a los objetivos de la Directiva 95/46 (LCEur 1995\2977), de sus

considerandos 3, 7 y 8, en particular, se desprende que, mediante la armonización de las legislaciones nacionales

que protegen a las personas físicas en lo que respecta al tratamiento de datos personales, dicha Directiva tiene por

objeto, principalmente, garantizar la libre circulación de estos datos entre los Estados miembros (véase, en este

sentido, la sentencia de 20 de mayo de 2003 [TJCE 2003\148], Österreichischer Rundfunk y otros, C-465/00,

C-138/01 y C-139/01, Rec. p. I-4989, apartados 39 y 70), necesaria para el establecimiento y funcionamiento del

mercado interior, en el sentido del artículo 14 CE (RCL 1999\1205 ter), apartado 2.

21 Ahora bien, la libre circulación de datos personales puede vulnerar el derecho al respeto de la vida privada

reconocido, en particular, en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de

las Libertades Fundamentales (RCL 1999\1190, 1572) (véanse, en este sentido, las sentencias del Tribunal Europeo

de Derechos Humanos de 16 de febrero de 2000 [TEDH 2000\87], Amann c. Suiza, Recueil des arrêts et décisions

2000-II, §§ 69 y 80; y de 4 de mayo de 2000 [TEDH 2000\130], Rotaru c. Rumania, Recueil des arrêts et décisions

2000-V, §§ 43 y 46), así como por los principios generales del Derecho comunitario.

22 Por ello, también es un objetivo de la Directiva 95/46 (LCEur 1995\2977), tal y como se desprende

principalmente de su considerando 10 y de su artículo 1, no disminuir la protección que garantizan las legislaciones

nacionales en vigor, sino, por el contrario, asegurar en el seno de la Comunidad un alto nivel de protección de las

libertades y derechos fundamentales en lo que respecta al tratamiento de datos personales (véanse, en este sentido,

las sentencias Österreichischer Rundfunk y otros [TJCE 2003\148], antes citada, apartado 70, y de 16 de diciembre

de 2008 [TJCE 2008\315], Satakunnan Markkinapörssi y Satamedia, C-73/07, Rec. p. I-9831, apartado 52).

23 Así pues, las autoridades de control previstas en el artículo 28 de la Directiva 95/46 (LCEur 1995\2977) son

las guardianas de los mencionados derechos y libertades fundamentales, y, como señala el considerando 62 de

dicha Directiva, se estima que su creación en cada uno de los Estados miembros constituye un elemento esencial de

la protección de las personas en lo que respecta al tratamiento de datos personales.

24 A fin de garantizar esa protección, las autoridades de control han de establecer un justo equilibrio entre el

respeto del derecho fundamental a la intimidad y los intereses que requieren la libre circulación de datos personales.

Por otra parte, en virtud del artículo 28, apartado 6, de la Directiva 95/46 (LCEur 1995\2977), las autoridades

nacionales cooperarán entre sí, y, llegado el caso, incluso podrán ser instadas a ejercer sus poderes por una

autoridad de otro Estado miembro.

25 La garantía de independencia de las autoridades de control nacionales trata de asegurar un control eficaz y

fiable del respeto de la normativa en materia de protección de las personas físicas en lo que respecta al tratamiento

de datos personales y debe interpretarse a la luz de dicho objetivo. La garantía de independencia no se ha

establecido para conceder un estatuto particular a esas autoridades mismas o a sus agentes, sino para reforzar la

protección de las personas y de los organismos afectados por sus decisiones. De lo anterior resulta que, en el

ejercicio de sus funciones, las autoridades de control deben actuar con objetividad e imparcialidad, y, para ello, han

de estar a resguardo de toda influencia externa, incluida la ejercida directa o indirectamente por el Estado o por los

Länder, y no solamente de la de los organismos sujetos a control.

26 Por lo que respecta, en tercer lugar, al sistema de la Directiva 95/46 (LCEur 1995\2977), ésta debe

considerarse afín al artículo 286 CE (RCL 1999\1205 ter) y al Reglamento núm. 45/2001. Estas últimas normas se

refieren al tratamiento de datos personales por parte de las instituciones y órganos comunitarios, así como a la libre

circulación de estos datos. La citada Directiva tiene los mismos objetivos, si bien en relación con el tratamiento de

dichos datos en los Estados miembros.

27 De la misma manera que existen órganos de control a escala nacional,

se ha creado a escala comunitaria un órgano de control encargado de vigilar la aplicación de la normativa en

materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales, a saber, el

SEPD. De acuerdo con el artículo 44, apartado 1, del Reglamento núm. 45/2001 (LCEur 2001\60), dicho órgano

actuará con total independencia en el ejercicio de sus funciones. El apartado 2 del artículo citado precisa el concepto

de independencia al añadir que, en el ejercicio de sus funciones, el SEPD no solicitará ni admitirá instrucciones de

nadie.

28 Habida cuenta de que tanto el artículo 44 del Reglamento núm. 45/2001 (LCEur 2001\60) como el artículo 28

de la Directiva 95/46 (LCEur 1995\2977) se basan en el mismo concepto general, ambas disposiciones deben

interpretarse de manera homogénea, de modo que no sólo la independencia del SEPD, sino también la de las

autoridades nacionales, suponen que no exista ninguna instrucción relativa al ejercicio de sus funciones.

29 Sobre la base del propio tenor literal del artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46

(LCEur 1995\2977), así como de los objetivos y el sistema de ésta, es posible llegar a una interpretación clara de

dicho precepto. Por tanto, no es necesario tener en cuenta la génesis de la Directiva citada ni pronunciarse sobre las

alegaciones, contradictorias a este respecto, de la Comisión y de la República Federal de Alemania.

30 Por todo ello, el artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46 (LCEur 1995\2977) debe

interpretarse en el sentido de que las autoridades de control competentes para vigilar el tratamiento de datos

personales en el sector no público han de disfrutar de la independencia que les permita ejercer sus funciones sin

influencia externa. Esta independencia excluye no sólo cualquier influencia que pudieran ejercer los organismos

sujetos a control, sino también toda orden o influencia externa, directa o indirecta, que pudiera poner en peligro el

cumplimiento de la tarea que corresponde a dichas autoridades de establecer un justo equilibrio entre la protección

del derecho a la intimidad y la libre circulación de datos personales.

Sobre la tutela del Estado

31 Seguidamente debe examinarse si la tutela del Estado a la que están sometidas en Alemania las autoridades

de control en materia de tratamiento de datos personales por el sector no público es compatible con la exigencia de

independencia, tal y como ésta ha sido precisada.

32 A este respecto, ha de señalarse que la tutela del Estado, cualquiera que sea su naturaleza, permite en

principio al Gobierno del Land interesado o a un órgano de la administración dependiente de dicho Gobierno influir,

directa o indirectamente, en las decisiones de las autoridades de control o, incluso, anular o sustituir estas

decisiones.

33 Ciertamente, hay que admitir a priori, como alega la República Federal de Alemania, que la tutela del Estado

sólo pretende garantizar que las autoridades de control actúen conforme a las disposiciones nacionales y

comunitarias aplicables, y que, por tanto, su finalidad no es obligar a dichas autoridades a perseguir, eventualmente,

objetivos políticos contrarios a la protección de las personas físicas en lo que respecta al tratamiento de datos

personales y a los derechos fundamentales.

34 No obstante, no se puede descartar que las autoridades de tutela, que forman parte de la Administración

general y, por tanto, están sometidas al Gobierno de su respectivo Land, no sean capaces de actuar de forma

objetiva al interpretar y aplicar la normativa en materia de tratamiento de datos personales.

35 En efecto, como señala el SEPD en sus observaciones, el Gobierno del Land interesado puede tener interés

en no observar la normativa relativa a la protección de las personas físicas en lo que respecta al tratamiento de

datos personales cuando dicho tratamiento se efectúa por el sector no público. El propio Gobierno podría ser parte

interesada en el tratamiento de datos, si participara o si pudiera participar en éste, por ejemplo en el supuesto de

una colaboración entre los sectores público y privado o bien en el contexto de contratos públicos con el sector

privado. Dicho Gobierno podría tener también un interés concreto si necesitara, o simplemente le resultase útil,

acceder a bases de datos para cumplir algunos de sus cometidos, especialmente con fines tributarios o punitivos.

Por otra parte, ese mismo Gobierno podría igualmente inclinarse por favorecer a determinados intereses económicos

cuando se aplicase dicha normativa por algunas sociedades importantes, desde un punto de vista económico, para

el Land o región.

36 Además, debe subrayarse que la mera posibilidad de que las autoridades de tutela puedan ejercer influencia

política sobre las decisiones de las autoridades de control es suficiente para obstaculizar el ejercicio independiente

de las funciones de éstas. Por un lado, como señaló la Comisión, podría darse en tal caso una «obediencia

anticipada» de las autoridades de control a la vista de la práctica decisoria de la autoridad de tutela. Por otro, el

papel de guardianas del derecho a la intimidad que asumen las autoridades de control exige que sus decisiones y,

por tanto, ellas mismas, estén por encima de toda sospecha de parcialidad.

37 Habida cuenta de las consideraciones anteriores, ha de declararse que la tutela del Estado ejercida sobre las

autoridades de control alemanas competentes para vigilar el tratamiento de datos personales en el sector no público

no es compatible con la exigencia de independencia, tal y como ésta ha sido precisada en el apartado 30 de la

presente sentencia.

Sobre los principios del Derecho comunitario invocados por la República Federal de Alemania

38 La República Federal de Alemania adujo que se quebrantarían diversos principios del Derecho comunitario si

se interpretara la exigencia de independencia que figura en el artículo 28, apartado 1, párrafo segundo, de la

Directiva 95/46 (LCEur 1995\2977) de modo que obligara a dicho Estado miembro a abandonar su sistema,

contrastado y eficaz, de tutela de las autoridades de control en materia de tratamiento de datos personales en el

sector no público.

39 En primer lugar, dicho Estado miembro sostiene que el principio de democracia, en particular, se opone a una

interpretación amplia de la referida exigencia de independencia.

40 Este principio, que, en su opinión, se recoge no sólo en la Constitución alemana, sino también en el artículo

6 UE (RCL 1999\1205 bis), apartado 1, requiere la sujeción de la Administración a las instrucciones del Gobierno,

que es responsable ante el Parlamento. De esta manera, las intervenciones relativas a los derechos de los

ciudadanos y de las empresas deben estar sujetas al control de legalidad por parte del ministro competente. Dado

que las autoridades de control en materia de protección de las personas físicas en lo que respecta el tratamiento de

datos personales disponen de determinados poderes de intervención frente a ciudadanos y al sector no público en

virtud del artículo 28, apartado 3, de la Directiva 95/46 (LCEur 1995\2977), afirma que es absolutamente necesario

un mayor control de la legalidad de su actuación mediante instrumentos de control de la legalidad o del fondo.

41 A este respecto, ha de recordarse que el principio de democracia es un principio del Derecho comunitario

recogido expresamente en el artículo 6 UE (RCL 1999\1205 bis), apartado 1, como uno de los fundamentos de la

Unión Europea. Al ser un principio común a los Estados miembros, debe tomarse en consideración cuando se

interprete un acto de Derecho derivado, como es el caso del artículo 28 de la Directiva 95/46 (LCEur 1995\2977).

42 Este principio no se opone a la existencia de autoridades públicas al margen de la Administración

jerarquizada clásica y más o menos independientes del Gobierno. La existencia y requisitos de funcionamiento de

esas autoridades se regulan, en los Estados miembros, mediante Ley, e incluso, en algunos de ellos, mediante la

Constitución, y esas autoridades están sujetas a la Ley, bajo el control del juez competente. Este tipo de autoridades

administrativas independientes, que también existen en el sistema jurídico alemán, ejercen con frecuencia una

función reguladora o de otro tipo que exige que deban estar protegidas de la influencia política, sin dejar por ello de

estar sujetas a la Ley, bajo al control del juez competente. Esto es lo que sucede, precisamente, con las funciones

de las autoridades de control en materia de protección de las personas físicas en lo que respecta al tratamiento de

datos personales.

43 Ciertamente, no se puede concebir la inexistencia total de influencia parlamentaria sobre dichas autoridades.

Sin embargo, debe subrayarse que la Directiva 95/46 (LCEur 1995\2977) no impone en modo alguno a los Estados

miembros semejante inexistencia total de influencia parlamentaria.

44 Así pues, por una parte, el Parlamento o el Gobierno pueden nombrar a las personas que asumen la

dirección de las autoridades de control y, por otra, el legislador puede determinar las competencias de dichas

autoridades.

45 Además, el legislador puede imponer a las autoridades de control la obligación de rendir cuentas de su

actuación ante el Parlamento. Se puede observar una semejanza con el artículo 28, apartado 5, de la Directiva 95/46

(LCEur 1995\2977), según el cual toda autoridad de control presentará periódicamente un informe sobre sus

actividades, que será publicado.

46 Habida cuenta de las consideraciones anteriores, el hecho de conceder a las autoridades de control en

materia de protección de las personas físicas en lo que respecta al tratamiento de datos personales en el sector no

público un estatuto independiente de la Administración general no priva, por sí mismo, a dichas autoridades de su

legitimidad democrática.

47 En segundo lugar, por lo que se refiere al principio de competencias de atribución, reconocido en el artículo

5 CE (RCL 1999\1205 ter), párrafo primero, invocado también por la República Federal de Alemania, el mismo obliga

a la Comunidad a actuar únicamente dentro de los límites de las competencias que le ha atribuido el Tratado CE y

de los objetivos establecidos por éste.

48 En este contexto, la República Federal de Alemania alega que no se puede exigir la independencia de las

autoridades de control respecto a las autoridades administrativas de rango superior en virtud del artículo 100 A del

Tratado CE (LCEur 1986\8), en el que se basa la Directiva 95/46 (LCEur 1995\2977).

49 Dicho artículo habilita al legislador comunitario para adoptar medidas destinadas a mejorar las condiciones de

establecimiento y funcionamiento del mercado interior, medidas que deben tener efectivamente dicho objeto,

contribuyendo a eliminar obstáculos a las libertades económicas garantizadas por el Tratado CE [véanse en este

sentido, en particular, las sentencias de 5 de octubre de 2000 (TJCE 2000\239), Alemania/Parlamento y Consejo,

C-376/98, Rec. p. I-8419, apartados 83, 84 y 95; de 10 de diciembre de 2002 [TJCE 2002\367], British American

Tobacco (Investments) e Imperial Tobacco, C-491/01, Rec. p. I-11453, apartado 60; y de 2 de mayo de 2006 (TJCE

2006\125), Parlamento/Consejo, C-436/03, Rec. p. I-3733, apartado 38].

50 Como se ha señalado con anterioridad, la independencia de las autoridades de control, en la medida en que

exige que las mismas estén exentas de toda influencia externa que pueda orientar sus decisiones, es un elemento

esencial para los objetivos de la Directiva 95/46 (LCEur 1995\2977). Es necesaria para crear, en cada Estado

miembro, un nivel igualmente elevado de protección de las personas físicas en lo que respecta al tratamiento de

datos personales, contribuyendo así a la libre circulación de datos, necesaria para el establecimiento y

funcionamiento del mercado interior.

51 Por todo ello, una interpretación amplia de la exigencia de independencia de las autoridades de control no

excede de los límites de las competencias atribuidas a la Comunidad conforme al artículo 100 A del Tratado CE

(LCEur 1986\8), que constituye la base jurídica de la Directiva 95/46 (LCEur 1995\2977).

52 En tercer lugar, la República Federal de Alemania invoca los principios de subsidiariedad y de

proporcionalidad, contemplados en el artículo 5 CE (RCL 1999\1205 ter), párrafos segundo y tercero, así como el

principio de cooperación leal entre los Estados miembros y las instituciones comunitarias, recogido en el

artículo 10 CE.

53 Dicha parte alude, en particular, al punto 7 del Protocolo sobre la aplicación de los principios de

subsidiariedad y proporcionalidad, incorporado como anexo al Tratado UE (RCL 1999\1205 bis) y al Tratado CE

(RCL 1999\1205 ter) por el Tratado de Amsterdam (RCL 1999\1205, 2084), en cuya virtud, habrá que velar por que

se respeten simultáneamente el Derecho comunitario y las disposiciones nacionales bien establecidas así como el

ordenamiento y el funcionamiento de los regímenes jurídicos de los Estados miembros.

54 La República Federal de Alemania considera que es contrario a dicha exigencia obligarla a adoptar un

sistema ajeno a su ordenamiento jurídico y, de esa manera, abandonar un sistema de control eficaz y contrastado

desde hace casi treinta años, que ha constituido un modelo para la legislación en materia de protección de datos

cuya proyección se ha extendido bastante más allá de sus fronteras.

55 Esta alegación no puede acogerse. En efecto, como se ha indicado en los apartados 21 a 25 y en el apartado

50 de la presente sentencia, interpretar la exigencia de independencia que figura en el artículo 28, apartado 1,

párrafo segundo, de la Directiva 95/46 (LCEur 1995\2977), en el sentido de que se opone a la tutela del Estado no

excede de lo necesario para alcanzar los objetivos del Tratado CE.

56 Habida cuenta de las consideraciones anteriores, procede declarar que la República Federal de Alemania ha

incumplido las obligaciones que le incumben en virtud del artículo 28, apartado 1, párrafo segundo, de la Directiva

95/46 (LCEur 1995\2977), al someter a la tutela del Estado a las autoridades de control competentes para vigilar en

los diferentes Länder el tratamiento de datos personales en el sector no público, y al haber adaptado así

incorrectamente su normativa nacional a la exigencia de que dichas autoridades ejerzan sus funciones con «total

independencia».

Costas

57 En virtud del artículo 69, apartado 2, del Reglamento de Procedimiento (LCEur 1991\770), la parte que pierda

el proceso será condenada en costas, si así lo hubiera solicitado la otra parte. Puesto que la Comisión ha pedido

que se condene en costas a la República Federal de Alemania y al haber sido desestimados los motivos formulados

por ésta, procede condenarla en costas.

58 El SEPD cargará con sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1º Declarar que la República Federal de Alemania ha incumplido las obligaciones que le incumben en virtud del

artículo 28, apartado 1, párrafo segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de

octubre de 1995 (LCEur 1995\2977), relativa a la protección de las personas físicas en lo que respecta al tratamiento

de datos personales y a la libre circulación de estos datos, al someter a la tutela del Estado a las autoridades de

control encargadas de vigilar en los diferentes Länder el tratamiento de datos personales efectuado por los

organismos no públicos y las empresas públicas que compiten en el mercado (öffentlich-rechtliche

Wettbewerbsunternehmen), y al haber adaptado así incorrectamente su normativa nacional a la exigencia de que

dichas autoridades ejerzan sus funciones con «total independencia».

2º La República Federal de Alemania cargará con las costas de la Comisión Europea.

3º El Supervisor Europeo de Protección de Datos cargará con sus propias costas.

Firmas

 



Sitio patrocinado por 

IIJUSTICIA

un miembro del Movimiento de Libre Acceso al Derecho