Asunto C‑217/04

Reino Unido de Gran Bretaña e Irlanda del Norte

contra

Parlamento Europeo

y

Consejo de la Unión Europea

«Reglamento (CE) nº 460/2004 — Agencia Europea de Seguridad de las Redes y de la Información — Elección de la base jurídica»

Conclusiones de la Abogado General Sra. J. Kokott, presentadas el 22 de septiembre de 2005 

Sentencia del Tribunal de Justicia (Gran Sala) de 2 de mayo de 2006 ]

Sumario de la sentencia

1.     Aproximación de las legislaciones — Artículo 95 CE — Alcance

(Art. 95 CE)

2.     Aproximación de las legislaciones — Sector de las telecomunicaciones

[Art. 95 CE; Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo]

1.     Mediante la expresión «medidas relativas a la aproximación», que figura en el artículo 95 CE, los autores del Tratado han querido conferir al legislador comunitario, en función del contexto general y de las circunstancias específicas de la materia que deba armonizarse, un margen de apreciación en cuanto a la técnica de aproximación más adecuada para lograr el resultado deseado, en especial en los ámbitos que se caracterizan por particularidades técnicas complejas.

A este respecto, nada en la redacción del artículo 95 CE permite concluir que las medidas adoptadas por el legislador comunitario sobre la base de esta disposición deban limitarse, en lo que se refiere a sus destinatarios, exclusivamente a los Estados miembros. En efecto, puede resultar necesario, de acuerdo con una valoración efectuada por dicho legislador, instituir un organismo comunitario encargado de contribuir a alcanzar una armonización en situaciones en las que, para facilitar la ejecución y aplicación uniformes de actos basados en dicha disposición, se considera que es adecuado adoptar medidas no vinculantes de acompañamiento y encuadramiento.

Sin embargo, las misiones confiadas a dicho organismo deben estar estrechamente ligadas a las materias que son objeto de actos de aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros. Así ocurre, en particular, cuando el organismo comunitario creado presta a las autoridades nacionales, o a los operadores, una asistencia que tiene repercusión sobre la puesta en práctica homogénea de los instrumentos de armonización y que puede facilitar su aplicación.

(véanse los apartados 43 a 45)

2.     El Reglamento nº 460/2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información, está legítimamente basado en el artículo 95 CE.

En efecto, en primer lugar, en lo que se refiere a los objetivos que el artículo 2 del mencionado Reglamento señala a la Agencia, la Directiva 2002/21, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, tiene por objeto, de acuerdo con su artículo 1, apartado 1, establecer un marco armonizado para la regulación de los servicios de comunicaciones electrónicas, las redes de comunicaciones electrónicas y los recursos y servicios asociados. Además, numerosas disposiciones de las Directivas particulares reflejan la preocupación del legislador comunitario por la seguridad de las redes y de la información. Es el caso de la Directiva 2002/20, relativa a la autorización de redes y servicios de comunicaciones electrónicas, la Directiva 2002/22, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, la Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y la Directiva 1999/93, por la que se establece un marco comunitario para la firma electrónica. Además, las funciones asignadas a la Agencia en virtud del artículo 3 del mismo Reglamento están estrechamente vinculadas a los objetivos que persiguen la Directiva 2002/21 y las Directivas particulares en el ámbito de la seguridad de las redes y de la información.

En segundo lugar, en lo que concierne a la ejecución de la legislación comunitaria en la materia, dicho Reglamento no constituye una medida aislada sino que se inscribe en un contexto normativo delimitado por la Directiva 2002/21 y por las Directivas particulares relativas a las redes y a las comunicaciones electrónicas, cuyo objeto es realizar el mercado interior en el ámbito de las comunicaciones electrónicas. Asimismo, al tratarse de una materia que aplica tecnologías no solamente complejas sino también en rápida mutación, el legislador comunitario estimó que la creación de un organismo comunitario como la Agencia era un medio adecuado para prevenir la aparición de disparidades que pudieran originar obstáculos al correcto funcionamiento del mercado interior en la materia.

Por último, de una lectura conjunta del artículo 25, apartados 1 y 2, y del artículo 27 del Reglamento, de acuerdo con los cuales la Agencia debe crearse por un período de tiempo limitado y su funcionamiento debe ser objeto de una evaluación para determinar si dicho período debe ampliarse, se desprende que el legislador comunitario consideró que era adecuado efectuar, antes de adoptar una decisión acerca de la Agencia, una evaluación de la eficacia de su actuación, así como de su contribución efectiva a la aplicación de la Directiva 2002/21 y de las Directivas particulares.

(véanse los apartados 47, 48, 50 a 55, 58, 60 a 62 y 65 a 67)

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 2 de mayo de 2006 (*)

«Reglamento (CE) nº 460/2004 – Agencia Europea de Seguridad de las Redes y de la Información – Elección de la base jurídica»

En el asunto C‑217/04,

que tiene por objeto un recurso de anulación interpuesto, con arreglo al artículo 230 CE, el 20 de mayo de 2004,

Reino Unido de Gran Bretaña e Irlanda del Norte, representado por el Sr. M. Bethell, en calidad de agente, asistido por Lord Goldsmith y el Sr. N. Paines, QC, y por el Sr. T. Ward, Barrister,

parte demandante,

contra

Parlamento Europeo, representado por los Sres. K. Bradley y U Rösslein, en calidad de agentes, que designa domicilio en Luxemburgo,

Consejo de la Unión Europea, representado por la Sra. M. Veiga y el Sr. A. Lopes Sabino, en calidad de agentes,

partes demandadas,

apoyados por:

República de Finlandia, representada por las Sras. T. Pynnä y A. Guimaraes-Purokoski, en calidad de agentes,

Comisión de las Comunidades Europeas, representada por los Sres. F. Benyon y M. Shotter, en calidad de agentes, que designa domicilio en Luxemburgo,

partes coadyuvantes,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, los Sres. P. Jann, C.W.A. Timmermans, A. Rosas y J. Malenovský, Presidentes de Sala, y el Sr. R. Schintgen, la Sra. N. Colneric, los Sres. S. von Bahr y J. N. Cunha Rodrigues, la Sra. R. Silva de Lapuerta (Ponente) y los Sres. M. Ilešič, J. Klučka y U. Lõhmus, Jueces;

Abogado General: Sra. J. Kokott;

Secretaria: Sra. K. Sztranc, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 7 de septiembre de 2005;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 22 de septiembre de 2005;

dicta la siguiente

Sentencia

1       Mediante su demanda, el Reino Unido de Gran Bretaña e Irlanda del Norte solicita la anulación del Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información (DO L 77, p. 1; en lo sucesivo, «Reglamento»).

2       Mediante auto del Presidente del Tribunal de Justicia de 25 de noviembre de 2004, se admitió la intervención en el procedimiento de la República de Finlandia y de la Comisión de las Comunidades Europeas en apoyo de las pretensiones del Parlamento Europeo y del Consejo de la Unión Europea.

 Marco jurídico

 Normativa comunitaria general

3       Según su artículo 1, apartado 1, la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (DO L 108, p. 33), tiene por objeto establecer un marco armonizado para la regulación de los servicios de comunicaciones electrónicas, las redes de comunicaciones electrónicas y los recursos y servicios asociados. En particular, fija las misiones de las autoridades nacionales de reglamentación e instaura una serie de procedimientos para garantizar la aplicación armonizada del marco regulador en toda la Comunidad.

4       La legislación comunitaria relativa a las redes y comunicaciones electrónicas incluye también las Directivas siguientes (en lo sucesivo, «Directivas particulares»):

–       la Directiva 2002/19/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión (Directiva acceso) (DO L 108, p. 7);

–       la Directiva 2002/20/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a la autorización de redes y servicios de comunicaciones electrónicas (Directiva autorización) (DO L 108, p. 21);

–       la Directiva 2002/22/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas (Directiva servicio universal) (DO L 108, p. 51);

–       la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201, p. 37);

–       la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (DO 2000, L 13, p. 12; en lo sucesivo, «Directiva sobre la firma electrónica»).

–       la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178, p. 1).

5       Mediante la Decisión 2002/627/CE, de 29 de julio de 2002 (DO L 200, p. 38), la Comisión estableció el Grupo de entidades reguladoras europeas de las redes y los servicios de comunicaciones electrónicas.

 El Reglamento

6       El Reglamento fue adoptado sobre la base del artículo 95 CE. Su artículo 1, apartado 1, crea una Agencia Europea de Seguridad de las Redes y de la Información (en lo sucesivo, «Agencia»).

7       A tenor del artículo 1, apartado 2, del Reglamento, la misión de la Agencia consistirá en «prestar[…] asistencia a la Comisión y a los Estados miembros, y en consecuencia [en cooperar] con la comunidad empresarial, con el fin de ayudarlos a cumplir los requisitos en materia de seguridad de las redes y de la información, incluidos los establecidos en la legislación actual y futura de la Comunidad, tales como los de la Directiva 2002/21/CE, garantizando así el correcto funcionamiento del mercado interior».

8       El artículo 2 del Reglamento, titulado «Objetivos», está redactado como sigue:

«1.      La Agencia reforzará la capacidad de la Comunidad y de los Estados miembros y, en consecuencia, la de la comunidad empresarial para prevenir, tratar y dar respuesta a los problemas de seguridad de las redes y de la información.

2.      La Agencia prestará asistencia y proporcionará asesoramiento a la Comisión y a los Estados miembros sobre cuestiones relacionadas con la seguridad de las redes y de la información que entren dentro de sus competencias, de acuerdo con lo establecido en el presente Reglamento.

3.      Apoyándose en las iniciativas a nivel nacional y comunitario, la Agencia alcanzará un alto nivel de conocimientos especializados. La Agencia los utilizará para fomentar una amplia cooperación entre las partes interesadas de los sectores público y privado.

4.      La Agencia prestará asistencia a la Comisión, cuando se le solicite, en los trabajos preparatorios de carácter técnico de actualización y desarrollo de la normativa comunitaria en el ámbito de la seguridad de las redes y de la información.»

9       El artículo 3 del Reglamento define las funciones que debe llevar a cabo la Agencia «para garantizar el cumplimiento y la realización del ámbito de aplicación y los objetivos establecidos en los artículos 1 y 2». Esas funciones son las siguientes:

«a)      recabar la información pertinente para analizar riesgos actuales y emergentes y, en particular, a nivel europeo, aquellos riesgos que podrían tener una incidencia en la resistencia y la disponibilidad de las redes de comunicaciones electrónicas y en la autenticidad, integridad y confidencialidad de la información a la que se accede y que se transmite a través de las mismas, y facilitar a los Estados miembros y a la Comisión los resultados de los análisis;

b)      facilitar asesoramiento al Parlamento Europeo, a la Comisión, a organismos europeos o a organismos nacionales competentes designados por los Estados miembros y, cuando se le solicite, prestarles asistencia, en relación con los objetivos que le han sido asignados;

c)      mejorar la cooperación entre los distintos agentes que operan en el campo de la seguridad de las redes y de la información, por ejemplo organizando de manera periódica consultas con la industria, las universidades y otros sectores afectados y creando redes de contacto de los organismos comunitarios, organismos del sector público designados por los Estados miembros, entidades del sector privado y organizaciones de consumidores;

d)      facilitar la cooperación entre la Comisión y los Estados miembros en el desarrollo de metodologías comunes para prevenir, tratar y dar respuesta a los aspectos de seguridad de las redes y de la información;

e)      contribuir a la sensibilización y disponibilidad de información en tiempo oportuno, objetiva y amplia sobre aspectos de seguridad de las redes y de la información para todos los usuarios, por ejemplo por medio de la promoción de intercambios de buenas prácticas actuales, incluyendo las relativas a métodos de alerta del usuario, y buscando sinergias entre las iniciativas de los sectores público y privado;

f)      asistir a la Comisión y a los Estados miembros en su diálogo con el sector industrial para hacer frente a los problemas relacionados con la seguridad en los equipos y programas informáticos;

g)      seguir el desarrollo de las normas técnicas para los productos y servicios sobre seguridad de las redes y la información;

h)      asesorar a la Comisión sobre la investigación en materia de seguridad de las redes y de la información, así como sobre la utilización eficaz de las tecnologías de prevención de riesgos;

i)      promover actividades de evaluación de riesgos, soluciones interoperables de gestión del riesgo y estudios sobre soluciones de gestión de la prevención dentro de las organizaciones de los sectores público y privado;

j)      contribuir a los esfuerzos comunitarios de cooperación con terceros países y, en su caso, con organizaciones internacionales para promover un planteamiento mundial común ante los aspectos relacionados con la seguridad de las redes y de la información, contribuyendo de esta forma al desarrollo de una cultura de seguridad de las redes y de la información;

k)      expresar con independencia sus conclusiones, orientaciones y prestar asesoramiento sobre asuntos contenidos en su ámbito de actuación y objetivos.»

10     Los capítulos 2 y 3 del Reglamento se refieren, respectivamente, a la organización y funcionamiento de la Agencia.

 Sobre el recurso

Alegaciones de las partes

11     El Reino Unido manifiesta, en apoyo de sus pretensiones de anulación del Reglamento, que el artículo 95 CE no es una base jurídica adecuada para adoptarlo. Alega que la competencia que el artículo 95 CE confiere al legislador comunitario es una competencia de armonización de las legislaciones nacionales y no una competencia para establecer organismos comunitarios y encomendarles funciones.

12     A juicio del Reino Unido, el examen que debe llevarse a cabo consiste en determinar si el acto adoptado en virtud del artículo 95 CE persigue un objetivo que podría alcanzarse mediante la adopción simultánea de una normativa idéntica en cada Estado miembro. Si es así, el Reglamento armoniza los Derechos nacionales. Si, por el contrario, el Reglamento «hace algo» que no hubiera podido llevarse a cabo mediante la adopción simultánea de una normativa idéntica en los Estados miembros, es decir, si crea Derecho en ámbitos que están fuera de la competencia de éstos individualmente considerados, no es una medida de armonización.

13     El Reino Unido admite que una medida de armonización adoptada en aplicación del artículo 95 CE puede contener disposiciones que no contribuya por sí mismas a una armonización de las legislaciones nacionales cuando se trate de disposiciones meramente incidentales o que se refieran a la ejecución de otras disposiciones que sí armonizan los Derechos nacionales.

14     Dicho Estado miembro estima que ninguna de las disposiciones del Reglamento aproxima, ni siquiera indirectamente y de manera muy limitada, las normas nacionales. Por el contrario, se prohíbe expresamente a la Agencia interferir en las competencias de los organismos nacionales, dado que debe limitarse a proporcionar asesoramiento no vinculante en el ámbito de que se trate.

15     El Reino Unido destaca que el Reglamento no hace frente a los riesgos que la complejidad de la materia plantea para el buen funcionamiento del mercado mediante la armonización de las normas nacionales, sino mediante la creación de un organismo comunitario de naturaleza consultiva. Ahora bien, en su opinión, la circunstancia de que una medida comunitaria pueda ser beneficiosa para el funcionamiento del mercado interior no significa que se trate de una medida de armonización en el sentido del artículo 95 CE.

16     El Reino Unido precisa que la prestación de asesoramiento no vinculante no puede equipararse a una «aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros» en el sentido del artículo 95 CE. Además, entiende que la dispersión de ese asesoramiento podría, en la práctica, aumentar las disparidades existentes entre las normativas nacionales. Añade que la cuestión de si el asesoramiento prestado por la Agencia llevará, en la práctica, a los Estados a ejercer de modo similar la facultad discrecional que les asiste en virtud de la Directiva marco y de las Directivas particulares, es meramente especulativa.

17     Dicho Estado miembro subraya que las misiones de la Agencia se limitan a desarrollar el conocimiento especializado y a proporcionar asesoramiento a un amplio abanico de destinatarios potenciales, y que el único vínculo posible que puede existir entre las tareas que desempeña y la armonización del Derecho es el que se deriva del hecho de asistir a la Comisión. Ahora bien, este cometido, que parece consistir en una función de investigación técnica, presenta, a su modo de ver, un vínculo demasiado vago con la normativa comunitaria que tiene por objeto la armonización de las normas nacionales.

18     El Reino Unido considera que la existencia de la Directiva marco y de las Directivas particulares no modifican este análisis. A su juicio, en efecto, las actividades de la Agencia trascienden ampliamente el ámbito de aplicación de dichas Directivas. Además, la misión de proporcionar asesoramiento no vinculante, tal como está prevista en el Reglamento, no facilita la aplicación de las Directivas, puesto que esta función está exclusivamente reservada a organismos competentes de los Estados miembros distintos de la Agencia.

19     Asimismo pone de manifiesto que el papel atribuido a dicha Agencia es más amplio que el que viene determinado por el ámbito de aplicación de las Directivas particulares, ya que el Reglamento no solamente se refiere a la seguridad de las redes de comunicaciones, sino también a la de los sistemas de información, como las bases de datos.

20     El Reino Unido destaca igualmente que la motivación del Reglamento es insuficiente en lo que atañe a la cuestión de la probable emergencia de obstáculos a los intercambios derivada de que existan exigencias nacionales dispares en cuanto a la seguridad de la información. Así, a su modo de ver, la mera posibilidad de una aplicación heterogénea de las exigencias de seguridad de las redes y el hecho de que esas exigencias puedan conducir a soluciones ineficaces y a obstaculizar el mercado interior no constituyen una motivación suficiente a este respecto.

21     Por otra parte, dicho Estado miembro reconoce que la creación de la Agencia responde a un objetivo deseable, a saber, el establecimiento, por la Comunidad, de su propio centro de conocimiento especializado en el terreno de la seguridad de las redes y de la información. Igualmente precisa que no se opone al contenido de las disposiciones del Reglamento. No obstante, el conjunto de las alegaciones expuestas le llevan a concluir que el Reglamento hubiera debido basarse en el artículo 308 CE.

22     El Parlamento pone de relieve que el artículo 95 CE no define hasta qué punto debe el acto comunitario contemplado aproximar los ordenamientos jurídicos de los Estados miembros. Afirma que el Tratado CE no exige que las medidas que se apoyan en esta base jurídica aproximen las disposiciones materiales de las normativas nacionales cuando sea preferible un menor grado de intervención comunitaria. Entiende que es suficiente, en efecto, que una medida basada en esa disposición se refiera a la aproximación de las disposiciones nacionales, incluso si no efectúa por sí misma dicha aproximación.

23     El Parlamento manifiesta que el Reglamento persigue favorecer la aproximación de ciertas disposiciones que los Estados miembros adoptaron o están a punto de adoptar, en el ámbito de la seguridad de las redes y de la información, con el objeto de facilitar una aplicación eficaz de la normativa comunitaria existente en la materia. En ese contexto, sería incoherente, en su opinión, recurrir a una base jurídica diferente y más restrictiva, dado que el Reglamento debe valorarse como complemento de un conjunto de Directivas relativas al mercado interior de las redes y servicios de comunicaciones electrónicas.

24     El Parlamento sostiene que el legislador consideró adecuado adoptar un enfoque conjunto de los problemas actuales y previsibles en relación con la seguridad de las redes y de la información, creando para ello un organismo encargado de asesorar a los poderes públicos, a nivel comunitario y nacional, en el marco de una estrecha concertación con el sector privado. Señala que los tres sectores de actividad de la Agencia, a saber, la recogida y difusión de información, las tareas de asesoramiento y la función de cooperación, contribuyen a adoptar un enfoque global de los diferentes aspectos de la seguridad de las redes y de la información.

25     El Parlamento subraya que, si bien, en teoría, la Comunidad hubiera podido adoptar reglas de armonización de las disposiciones de los Estados miembros en relación con todas o algunas de las materias que regula el Reglamento, el legislador comunitario, habida cuenta de la complejidad técnica del sector en cuestión y de su rápida evolución, elaboró dicho Reglamento para evitar la aparición de obstáculos a los intercambios y la pérdida de eficacia que se derivaría de la adopción, por los Estados miembros, de normas técnicas y organizativas de manera no coordinada. Considera que dicho legislador pretendía alcanzar este objetivo mediante una «aproximación de baja intensidad», gracias a la cual los Estados miembros pudieran adoptar actos homogéneos que permitieran aplicar los distintos instrumentos comunitarios relativos a las comunicaciones electrónicas, creando para ello un centro de conocimiento especializado encargado de proporcionar orientación, asesoramiento y asistencia en la materia.

26     El Parlamento añade que el hecho de que las disposiciones de armonización material hayan sido definidas en la Directiva marco y en las Directivas particulares no altera el carácter de medida complementaria que tiene el Reglamento, concebido para facilitar la aplicación de dichas Directivas.

27     Según el Parlamento, las misiones de la Agencia son relativamente modestas, en el sentido de que no conllevan el poder de adoptar «estándares». Dicha institución considera que, en efecto, la existencia de un asesoramiento procedente de una única fuente de conocimiento especializado, con autoridad a nivel europeo, contribuye a que se adopten posturas comunes en situaciones en las que la Comunidad y los actores nacionales pueden recibir asesoramiento técnico dispar. Alega que los diferentes modos de cooperación que impulsa la Agencia también facilitan la aproximación de las condiciones del mercado y la adopción, por los Estados miembros, de medidas para responder a los problemas que plantea la seguridad de la información.

28     El Parlamento señala, por último, que si el Tribunal de Justicia determina que el Reglamento no puede basarse en el artículo 95 CE, puede, en todo caso, hallar su fundamento en las facultades implícitas que esta misma disposición confiere al legislador comunitario. A la vista de esas facultades implícitas, puede considerarse que la creación de la Agencia es indispensable para asegurar la consecución de los objetivos que persiguen las Directivas particulares.

29     El Consejo sostiene que la aproximación prevista en el artículo 95 CE no concierne solamente a las legislaciones nacionales sino también a las disposiciones reglamentarias y administrativas de los Estados miembros. Además, ciertos actos que se fundamentan en esa base jurídica pueden incluir disposiciones que, sin ser en sí mismas normas de armonización, faciliten la aproximación de las normativas nacionales. En particular, en la redacción de dicho artículo nada impide que el legislador cree un organismo comunitario encargado de proporcionar especialización en un ámbito que ya sea objeto de armonización.

30     El Consejo precisa, a este respecto, que el artículo 95 CE no excluye la posibilidad de que el legislador comunitario adopte medidas para prevenir la aparición de futuros obstáculos a los intercambios como consecuencia de la evolución heterogénea de las legislaciones nacionales. Dicho legislador está, a su juicio, habilitado para adoptar actos que, si bien no son, en sí mismos, normas de armonización, se vinculan directamente a la aproximación de las normas nacionales, en particular para evitar soluciones ineficaces y evoluciones heterogéneas de las normativas de los Estados miembros.

31     El Consejo destaca que, al ayudar a la Comisión a efectuar la labor técnica de preparar la elaboración de la legislación comunitaria, la Agencia proporcionará, aunque sea mediante asesoramiento no vinculante, una contribución decisiva para la armonización de las normativas y prácticas nacionales en el ámbito de la seguridad de las redes y de la información, así como para la actualización, el desarrollo y la aplicación de dicha legislación.

32     A su modo de ver, la opinión de una autoridad independiente, que proporciona asesoramiento técnico a solicitud de la Comisión y de los Estados miembros, facilita la adaptación del Derecho interno de éstas a las Directivas adoptadas en la materia. El Consejo considera que el Reglamento no tiene, pues, un efecto accesorio o subsidiario en lo que se refiere a la armonización de las condiciones del mercado en el interior de la Comunidad, sino que contribuye directamente a la aproximación de las normativas nacionales.

33     El Consejo sostiene, en último lugar, que el artículo 308 CE sólo confiere al legislador comunitario una competencia legislativa residual en los ámbitos en los que no se atribuyó a la Comunidad la competencia legislativa material para alcanzar determinados objetivos. En efecto, el recurso al artículo 308 CE queda excluido cuando existe una base jurídica específica para adoptar un acto comunitario, ya que dicho artículo constituye tan sólo una base jurídica «por defecto».

34     La República de Finlandia pone de manifiesto que los objetivos y el contenido del Reglamento están estrechamente vinculados al establecimiento y correcto funcionamiento del mercado interior. En efecto, la tarea principal de la Agencia consiste, a su entender, en garantizar un nivel elevado efectivo de seguridad de las redes y de la información, así como en reducir los obstáculos al funcionamiento del mercado interior que se producen a causa de las diferencias que existen entre las normativas de los Estados miembros en la materia.

35     Dicho Estado miembro considera que la Agencia facilita la aplicación uniforme de las disposiciones comunitarias en materia de redes y servicios de comunicaciones electrónicas. Añade que la Agencia tiene como objetivo prevenir la aparición de futuros obstáculos al comercio, que pueden emerger a causa del carácter complejo y técnico de las redes electrónicas, así como de las divergencias entre las prácticas de los Estados miembros.

36     La República de Finlandia estima que, al determinar la base legal de las disposiciones que instituyen un organismo comunitario, es conveniente tener en cuenta el grado de aproximación de la legislación comunitaria en el ámbito en cuestión. Afirma que, dado que la uniformización que efectúan las disposiciones comunitarias relativas a las redes y a los servicios de comunicaciones electrónicas está ya en fase muy avanzada, la normativa que aprueba la Comunidad puede exigir medidas que vayan más lejos que las habitualmente adoptadas en la materia, para asegurar una práctica uniforme de aplicación de aquellas disposiciones.

37     La Comisión manifiesta que el Reglamento constituye, en su finalidad y en su contenido, una medida que facilita directamente la ejecución y aplicación armonizadas de ciertas directivas basadas en el artículo 95 CE. En efecto, una de las principales características de la normativa existente reside en el hecho de que gran parte de su aplicación concreta se encuentra descentralizada, habiendo sido encomendada a las autoridades nacionales de reglamentación.

38     Dicha institución sostiene que la creación de la Agencia responde a un concepto más amplio de armonización, en particular al facilitar la aplicación armonizada de las directivas comunitarias por las autoridades nacionales de reglamentación. En efecto, el objetivo del Reglamento es más amplio que la mera creación de la Agencia, puesto que ésta tiene encomendado proporcionar asesoramiento y asistencia a la Comisión y a aquellas autoridades. Por tanto, a su modo de ver, existe un vínculo entre la creación de esta Agencia y el marco legislativo comunitario relativo a las comunicaciones electrónicas.

39     La Comisión indica que la Directiva marco implanta un sistema armonizado para la regulación de los servicios y redes de comunicaciones electrónicas, así como de los recursos asociados. Dicha Directiva fija las misiones que incumben a las autoridades nacionales de reglamentación mediante el establecimiento de una serie de procedimientos para garantizar la aplicación armonizada del mecanismo de que se trata en toda la Comunidad.

40     La Comisión destaca que, incluso si están claramente definidos los parámetros de la aplicación descentralizada de dichas Directivas, no puede excluirse que las autoridades nacionales de reglamentación adopten posturas divergentes, en el ejercicio de la facultad discrecional que se les atribuye. Dicha institución señala que la Agencia fue creada para ayudar a esas autoridades a alcanzar una comprensión técnica común de las cuestiones relativas a la seguridad de las redes y de la información.

41     La Comisión añade que la Agencia actúa dentro de los límites de los parámetros armonizados que proporciona el marco legislativo comunitario en materia de comunicaciones electrónicas y que es irrelevante que el papel de aquel organismo no haya sido definido al adoptar ese marco general.

 Apreciación del Tribunal de Justicia

 Sobre el alcance del artículo 95 CE

42     En lo que atañe a la extensión de las competencias legislativas previstas en el artículo 95 CE, debe recordarse que, tal como declaró el Tribunal de Justicia en el apartado 44 de su sentencia de 6 de diciembre de 2005, Reino Unido/Parlamento y Consejo (C‑66/04, Rec. p. I‑0000), esta disposición sólo se aplica como base jurídica cuando del propio acto jurídico se deriva objetiva y efectivamente que su finalidad es mejorar las condiciones de establecimiento y funcionamiento del mercado interior.

43     Asimismo, el Tribunal de Justicia destacó en el apartado 45 de la sentencia Reino Unido/Parlamento y Consejo, antes citada, que mediante la expresión «medidas relativas a la aproximación», que figura en el artículo 95 CE, los autores del Tratado han querido conferir al legislador comunitario, en función del contexto general y de las circunstancias específicas de la materia que deba armonizarse, un margen de apreciación en cuanto a la técnica de aproximación más adecuada para lograr el resultado deseado, en especial en los ámbitos que se caracterizan por particularidades técnicas complejas.

44     A este respecto, conviene añadir que nada en la redacción del artículo 95 CE permite concluir que las medidas adoptadas por el legislador comunitario sobre la base de esta disposición deban limitarse, en lo que se refiere a sus destinatarios, exclusivamente a los Estados miembros. En efecto, puede resultar necesario, de acuerdo con una valoración efectuada por dicho legislador, instituir un organismo comunitario encargado de contribuir a alcanzar una armonización en situaciones en las que, para facilitar la ejecución y aplicación uniformes de actos basados en dicha disposición, se considera que es adecuado adoptar medidas no vinculantes de acompañamiento y encuadramiento.

45     Sin embargo, cabe subrayar que las misiones confiadas a dicho organismo deben estar estrechamente ligadas a las materias que son objeto de actos de aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros. Así ocurre, en particular, cuando el organismo comunitario creado presta a las autoridades nacionales, o a los operadores, una asistencia que tiene repercusión sobre la puesta en práctica homogénea de los instrumentos de armonización y que puede facilitar su aplicación.

 Sobre la conformidad del Reglamento con las exigencias del articulo 95 CE

46     En estas circunstancias, procede examinar si los objetivos que el artículo 2 del Reglamento señala a la Agencia y las funciones que le encomiendan el artículo 3 de éste, se corresponden con lo enunciado en los apartados 44 y 45 de la presente sentencia.

47     Para esto, es conveniente determinar, en un primer momento, si dichos objetivos y funciones están estrechamente ligados a las materias a las que se refieren los instrumentos que el artículo 1, apartado 2, del Reglamento define como la «legislación actual de la Comunidad» y también, en un segundo momento, si puede considerarse que esos objetivos y funciones acompañan y encuadran la ejecución de esta legislación.

48     En lo que se refiere a la Directiva marco, contemplada en el considerando noveno del Reglamento, su objetivo es, según se desprende de su artículo 1, apartado 1, establecer un marco armonizado para la regulación de los servicios de comunicaciones electrónicas, las redes de comunicaciones electrónicas y los recursos y servicios asociados. Dicha Directiva fija las misiones que corresponden a las autoridades nacionales de reglamentación e instaura una serie de procedimientos para garantizar la aplicación armonizada del marco regulador en toda la Comunidad.

49     El considerando decimosexto de la Directiva marco indica a este respecto que dichas autoridades basarán su actuación en un conjunto armonizado de objetivos y principios. Estos últimos se enuncian en el artículo 8 de la misma Directiva y entre ellos figuran, en particular, un alto nivel de protección de los datos personales y de la intimidad, así como la integridad y la seguridad de las redes públicas de comunicaciones [véase el artículo 8, apartado 4, letras c) y f), de la Directiva marco].

50     Procede destacar también que numerosas disposiciones de las Directivas particulares reflejan la preocupación del legislador comunitario por la seguridad de las redes y de la información.

51     En primer lugar, según se desprende del considerando sexto del Reglamento, la Directiva autorización menciona, en su anexo, parte A, apartados 7 y 16, la protección de los datos personales y de la intimidad en el sector de las comunicaciones electrónicas así como la seguridad de las redes públicas de comunicaciones contra accesos no autorizados.

52     En segundo lugar, tal como resulta del considerando séptimo del Reglamento, la Directiva servicio universal tiene por objeto garantizar la integridad y disponibilidad de las redes telefónicas públicas. A este respecto, el artículo 23 de dicha Directiva establece que los Estados miembros tomarán todas las medidas necesarias para garantizar esas funcionalidades, en particular en caso de avería de la red debido a catástrofes o en los casos de fuerza mayor.

53     En tercer lugar, de conformidad con lo previsto en el considerando octavo del Reglamento, la Directiva sobre la privacidad y las comunicaciones electrónicas exige que los proveedores de servicios de comunicaciones electrónicas accesibles al público tomen las medidas técnicas y de organización necesarias para velar por la seguridad de sus servicios así como la confidencialidad de las comunicaciones y los datos de tráfico asociados a las mismas. Esas exigencias se reflejan en particular en los artículos 4 y 5 de dicha Directiva, disposiciones que tienen respectivamente por objeto la seguridad de las redes y la confidencialidad de las comunicaciones.

54     En cuarto lugar, el artículo 17 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), prevé que los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, así como contra cualquier otra forma de tratamiento ilícito.

55     En quinto lugar, hay que recordar que la Directiva sobre la firma electrónica establece, en su artículo 3, apartado 4, que los organismos competentes, designados por los Estados miembros, determinarán las modalidades relativas a la conformidad de los dispositivos seguros de creación de firma.

56     En lo que concierne a las misiones que se encomiendan a la Agencia, debe destacarse de entrada que se refieren a la recogida de la información adecuada para proceder al análisis de los riesgos actuales y emergentes, en particular los que pueden tener una repercusión sobre la resistencia frente a las averías de las redes de comunicaciones electrónicas, así como sobre la autenticidad, integridad y confidencialidad de dichas comunicaciones. La Agencia debe, asimismo, elaborar «metodologías comunes» llamadas a prevenir los problemas de seguridad, contribuir a la sensibilización de todos los usuarios y promover los intercambios de «buenas prácticas actuales», así como los «métodos de alerta» y las actividades de evaluación y gestión de riesgos.

57     La Agencia está también encargada de reforzar la cooperación entre los diferentes actores en el terreno de la seguridad de las redes y de la información, de prestar asistencia a la Comisión y a los Estados miembros en el diálogo que llevan a cabo con las empresas para hacer frente a los problemas relacionados con la seguridad en los equipos y programas informáticos, y también de contribuir a los esfuerzos comunitarios de cooperación con terceros países y, en su caso, con organizaciones internacionales para promover un planteamiento mundial común ante los aspectos relacionados con la seguridad de las redes y de la información.

58     En consecuencia, las funciones asignadas a la Agencia en virtud del artículo 3 del Reglamento están estrechamente vinculadas a los objetivos que la Directiva marco y las Directivas particulares persiguen en el ámbito de la seguridad de las redes y de la información.

59     En estas circunstancias, tal como se declaró en el apartado 47 de la presente sentencia, debe determinarse si cabe considerar que las funciones de la Agencia acompañan y encuadran la ejecución de la legislación comunitaria en la materia, es decir, comprobar si la creación de la Agencia y los objetivos y funciones que le asigna el Reglamento pueden considerarse «medidas relativas a la aproximación» en el sentido del artículo 95 CE.

60     Habida cuenta de las características de la materia de que se trata, es importante destacar que el Reglamento no constituye una medida aislada sino que se inscribe en un contexto normativo delimitado por la Directiva marco y por las Directivas particulares, cuyo objeto es realizar el mercado interior en el ámbito de las comunicaciones electrónicas.

61     Se desprende asimismo del conjunto de los elementos que obran en autos que el legislador comunitario se encontró ante una materia que aplica tecnologías no solamente complejas sino también en rápida mutación, de lo que concluyó que era previsible que la incorporación y la aplicación de la Directiva marco y de las Directivas particulares diesen lugar a divergencias entre los Estados miembros.

62     En esa situación, el legislador comunitario estimó que la creación de un organismo comunitario como la Agencia era un medio adecuado para prevenir la aparición de disparidades que pudieran originar obstáculos al correcto funcionamiento del mercado interior en la materia.

63     En efecto, debe recordarse que, según se desprende de los considerandos tercero y décimo del Reglamento, el legislador comunitario consideró que la aplicación heterogénea de las prescripciones técnicas contenidas en la Directiva marco y en las Directivas particulares amenaza con dificultar el correcto funcionamiento del mercado interior, a causa de la complejidad técnica de las redes y de los sistemas de información, de la diversidad de productos y servicios que están interconectados, así como del gran número de agentes privados y públicos responsables.

64     En ese contexto, el legislador comunitario pudo considerar legítimamente que la opinión de una autoridad independiente que proporciona asesoramiento técnico a petición de la Comisión y de los Estados miembros puede facilitar la adaptación del Derecho interno de estos últimos a dichas Directivas, así como su aplicación a nivel nacional.

65     Por último, debe tenerse en cuenta que, de acuerdo con el artículo 27 del Reglamento, la Agencia se creó por un período de cinco años a partir del 14 de marzo de 2004 y que, según dispone el artículo 25, apartados 1 y 2, del mismo Reglamento, la Comisión deberá llevar a cabo, a mas tardar el 17 de marzo de 2007, una evaluación para estimar la incidencia de la Agencia en el logro de sus objetivos y funciones, así como sus formas de trabajo.

66     Por tanto, de una lectura conjunta de ambas disposiciones resulta que el legislador comunitario consideró que era adecuado, antes de adoptar una decisión acerca de la Agencia, efectuar una evaluación de la eficacia de su actuación, así como de su contribución efectiva a la aplicación de la Directiva marco y de las Directivas particulares.

67     En estas circunstancias y a la vista del conjunto de los elementos que obran en autos, procede declarar que el Reglamento está legítimamente basado en el artículo 95 CE y, por tanto, desestimar el recurso.

 Costas

68     A tenor del artículo 69, apartado 2, del Reglamento de Procedimiento, la parte que pierda el proceso será condenada en costas si así lo hubiera solicitado la otra parte. Por haber solicitado el Parlamento y el Consejo que se condene en costas al Reino Unido y haber sido desestimados los motivos formulados por éste, procede condenarlo en costas. Con arreglo al apartado 4 del mismo artículo, la República de Finlandia y la Comisión soportarán sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1)      Desestimar el recurso.

2)      Condenar en costas al Reino Unido de Gran Bretaña e Irlanda del Norte.

3)      La República de Finlandia y la Comisión de las Comunidades Europeas soportarán sus propias costas.

Firmas

---

* Lengua de procedimiento: inglés.