1.

¿Están comprendidas en el ámbito de aplicación del Reglamento (UE) 2016/679 ( 2 ) las actividades de una comisión de investigación constituida por el Parlamento de un Estado miembro, también cuando la investigación se refiere a cuestiones relativas a la seguridad nacional? En caso de respuesta afirmativa, ¿pueden aplicarse directamente las disposiciones del RGPD relativas al derecho a reclamar ante una autoridad de control nacional pese a la existencia de un principio constitucional que se opone a la injerencia externa en la actividad parlamentaria? Estas son, en esencia, las cuestiones prejudiciales planteadas en el presente asunto por el Vermaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo, Austria).

2.

En consonancia con la jurisprudencia del Tribunal de Justicia, propondré una respuesta afirmativa. En mi opinión, tal solución no solo atiende a la intención del legislador de la Unión —que ha hecho del RGPD una verdadera lex generalis en materia de protección de datos personales—, sino también a los motivos subyacentes a las disposiciones del artículo 16 TFUE, cuyo ámbito de aplicación abarca las actividades de control de los Estados miembros, como las que son objeto de examen en el litigio principal.

3.

En el presente asunto, un agente de la policía judicial, WK (en lo sucesivo, «interesado»), fue oído por una comisión de investigación del Parlamento austriaco en relación con los registros llevados a cabo, en particular, en los locales de la Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Agencia Federal de Protección Constitucional y Lucha contra el Terrorismo; en lo sucesivo, «BVT»). A continuación, el acta de la audiencia fue publicada en el sitio web del Parlamento austriaco, incluyéndose en ella el nombre completo del interesado, debido a que la prensa ya había revelado su identidad.

4.

Al considerar que no se había respetado su derecho a la confidencialidad de los datos personales, el interesado presentó una reclamación ante la Österreichische Datenschutzbehörde (Autoridad Nacional de Protección de Datos, Austria) con arreglo al artículo 77, apartado 1, del RGPD, que, sin embargo, no fue examinada en cuanto al fondo. Teniendo en cuenta el principio de separación de poderes consagrado en el Derecho austriaco, la Autoridad Nacional de Protección de Datos declinó su competencia al considerar que su facultad de control es incompatible en el presente asunto con la independencia constitucional de los órganos del Parlamento.

5.

En estas circunstancias, el interesado interpuso el recurso cuyo resultado depende de la respuesta que se dé a las cuestiones prejudiciales planteadas al Tribunal de Justicia. Estas cuestiones se refieren, en esencia, al ámbito de aplicación material y al efecto directo de las disposiciones pertinentes del RGPD, cuyo contenido se reproduce a continuación.

6.

Los considerandos 16, 20 y 117 del RGPD enuncian lo siguiente:

[…]

[…]

7.

El artículo 2 del RGPD, que lleva por epígrafe «Ámbito de aplicación material», dispone:

«1.   El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.   El presente Reglamento no se aplica al tratamiento de datos personales:

[…]»

8.

El artículo 23, apartado 1, del RGPD, con la rúbrica «Limitaciones», establece lo siguiente:

«El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[…]

[…]».

9.

El artículo 51, apartado 1, del RGPD, cuyo epígrafe es «Autoridad de control», tiene el siguiente tenor:

«Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante «autoridad de control») supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.»

10.

El artículo 55 del RGPD, titulado «Competencia», está redactado en los siguientes términos:

«1.   Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.

[…]

3.   Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.»

11.

El artículo 77, apartado 1, del RGPD, con el epígrafe «Derecho a presentar una reclamación ante una autoridad de control», establece lo siguiente:

«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, […] si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»

12.

El artículo 53 de la Bundes-Verfassungsgesetz (Ley Constitucional Federal), de 2 de enero de 1930 (BGBl. 1/1930), en su versión de 30 de diciembre de 2021 (BGBl. I 235/2021), dispone lo siguiente:

«(1) El Nationalrat [(Cámara Baja del Parlamento, Austria)] podrá decidir la constitución de comisiones de investigación. Las comisiones de investigación también quedarán constituidas a petición de una cuarta parte de los miembros de la Cámara Baja del Parlamento.

(2) El objeto de la investigación serán actuaciones pasadas llevadas a cabo en un ámbito del poder ejecutivo federal. Dichas actuaciones comprenden todas las actividades de los órganos federales a través de los cuales el Estado federal ejerce derechos de participación y de supervisión, independientemente del alcance de su participación. Queda excluida la revisión de la jurisprudencia.

(3) Todos los órganos del Estado federal, de los estados federados, de los municipios y agrupaciones de municipios y de otros organismos autónomos deberán, previa solicitud, presentar sus expedientes y documentos a una comisión de investigación en la medida en que estén comprendidos en el objeto de la investigación y estarán obligados a atender los requerimientos de una comisión de investigación dirigida a recabar elementos de prueba relacionados con el objeto de la investigación. […]

[…]»

13.

En virtud del artículo 18, apartado 1, de la Datenschutzgesetz (Ley de Protección de Datos Personales) de 17 de agosto de 1999 (BGBl. I 165/1999), en su versión de 26 de julio de 2021 (BGBl. I 148/2021, en lo sucesivo «DSG»), que lleva por epígrafe «Organización»:

«Se crea la Autoridad Nacional de Protección de Datos como autoridad nacional de control con arreglo al artículo 51 del [RGPD].»

14.

El artículo 24 de la DSG, titulado «Reclamación ante la Autoridad Nacional de Protección de Datos», está redactado de en los siguientes términos:

«(1) Todo interesado tendrá derecho a presentar una reclamación ante la Autoridad Nacional de Protección de Datos cuando considere que el tratamiento de sus datos personales infringe el RGPD […]».

15.

El artículo 35, de la DSG, con la rúbrica «Facultades específicas de la Autoridad Nacional de Protección de Datos» establece, en su apartado 1, lo siguiente:

«La Autoridad Nacional de Protección de Datos tiene por misión garantizar la protección de datos de conformidad con las disposiciones del RGPD y de la presente Ley federal».

16.

El 20 de abril de 2018, la Cámara Baja del Parlamento austriaco constituyó una comisión de investigación encargada de examinar las presuntas injerencias en la BVT con el fin de instrumentalizar sus actividades. Las aseveraciones de los diputados que motivaron la solicitud de investigación se referían, en particular, a casos de abuso de poder por parte de agentes de la BVT, a rumores sobre un dispositivo de escucha instalado en las oficinas de la Cancillería Federal, a la supuesta instrumentalización de las pesquisas sobre ciertos movimientos extremistas y a nombramientos en la BVT y en los gabinetes ministeriales basados en motivaciones políticas.

17.

El 19 de septiembre de 2018, el interesado fue oído por la comisión de investigación en calidad de testigo. Agente de una brigada de la policía federal encargada de la lucha contra la delincuencia en la vía pública, fue interrogado sobre los registros y la recopilación de datos llevados a cabo por su unidad en las oficinas de la BVT y en los domicilios de los empleados de esta Agencia.

18.

Pese a la práctica adoptada respecto a otros testigos, y no obstante la solicitud de anonimización presentada por el interesado, la comisión de investigación reveló su identidad publicando la versión completa del acta de la audiencia en el sitio web del Parlamento austriaco.

19.

La reclamación presentada por el interesado ante la Autoridad Nacional de Protección de Datos en virtud del artículo 77, apartado 1, del RGPD fue desestimada por falta de competencia. En su decisión de 18 de septiembre de 2019, esa Autoridad alegó que el principio de separación de poderes le impedía inmiscuirse en la labor de un órgano del Parlamento.

20.

El recurso interpuesto por el interesado contra la decisión de 18 de septiembre de 2019 fue estimado por el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo, Austria) mediante sentencia de 23 de noviembre de 2020. Dicho tribunal anuló la decisión de la Autoridad Nacional de Protección de Datos, basándose en que las disposiciones del RGPD no establecen excepciones que puedan limitar su ámbito de aplicación en lo que respecta a los órganos del poder legislativo.

21.

La Autoridad Nacional de Protección de Datos interpuso un recurso de casación contra dicha sentencia ante el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo), que se pregunta si las disposiciones del RGPD pueden aplicarse en el litigio principal.

22.

En primer lugar, y con independencia del objeto de la investigación sobre la que versa el litigio principal, el órgano jurisdiccional remitente se pregunta si las actividades de una comisión parlamentaria de investigación «están comprendidas en el ámbito de aplicación del Derecho de la Unión» a efectos del artículo 16 TFUE, apartado 2. Esta disposición determina la competencia del Parlamento Europeo y del Consejo para adoptar las normas sobre el tratamiento de datos personales por parte de los Estados miembros.

23.

A este respecto, en la medida en que las competencias de la Unión siguen estando limitadas por el principio de atribución, el órgano jurisdiccional remitente se pregunta si el RGPD está destinado a aplicarse a las actividades de un órgano parlamentario que tiene asignada una misión de control político, actividades estas que, a juicio del órgano jurisdiccional, no parecen estar reguladas por ninguna disposición específica del Derecho de la Unión.

24.

Preocupado por preservar la identidad nacional y las funciones esenciales de los Estados miembros, de conformidad con el artículo 4 TUE, apartado 2, el órgano jurisdiccional remitente señala además que la injerencia de un órgano administrativo, como la Autoridad Nacional de Protección de Datos, en la labor del Parlamento vulnera el principio de separación de poderes consagrado en la Constitución austriaca.

25.

A la luz de la sentencia Land Hessen, ( 3 ) en la que el Tribunal de Justicia confirmó que las disposiciones del RGPD se aplican a las actividades de la Comisión de peticiones del Parlamento del estado federado de Hessen, el órgano jurisdiccional remitente se pregunta, por último, si las funciones que incumben a esta Comisión, cuya contribución a los trabajos del Parlamento es solo indirecta, no deben distinguirse de las que tienen asignadas las comisiones de investigación. A su juicio, las actividades de estas comisiones se sitúan en el núcleo de la labor del Parlamento y, por lo tanto, podrían quedar fuera del ámbito de aplicación del Derecho de la Unión.

26.

En segundo lugar, en caso de que el Tribunal de Justicia considere que las disposiciones del RGPD tienen por objeto regular las actividades de las comisiones de investigación, el órgano jurisdiccional remitente se pregunta si, no obstante, la comisión de que se trata en el procedimiento principal no debe quedar excluida del ámbito de aplicación de dicho Reglamento, en la medida en que el objeto de sus actividades presenta vínculos con cuestiones relativas a la seguridad nacional.

27.

Sobre este particular, el órgano jurisdiccional remitente recuerda que, a tenor del considerando 16 del RGPD, las «actividades relativas a la seguridad nacional» están excluidas del ámbito de aplicación del referido Reglamento. En su opinión, este podría ser el caso de la investigación acerca de las presiones políticas ejercidas sobre la BVT, órgano federal responsable de la salvaguardia de las funciones esenciales del Estado.

28.

En tercer lugar, en caso de que el Tribunal de Justicia concluya que las disposiciones del RGPD son, a pesar de todo, aplicables en el presente asunto, el órgano jurisdiccional remitente se pregunta sobre la aplicación directa de dicho Reglamento.

29.

En efecto, a falta de una excepción adecuada de rango constitucional, la competencia de la Autoridad Nacional de Protección de Datos sigue estando limitada por el principio de separación de poderes que prevalece en Derecho austriaco. Por consiguiente, el órgano jurisdiccional remitente se pregunta si la competencia de esta autoridad sobre los órganos del Parlamento austriaco puede derivarse directamente de las disposiciones previstas en el artículo 77, apartado 1, en relación con el artículo 55, apartado 1, del RGPD, cuando el legislador nacional ha constituido una única autoridad de control con arreglo al artículo 51, apartado 1, de dicho Reglamento.

30.

En este contexto, el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

En caso de respuesta afirmativa a la primera cuestión prejudicial:

En el supuesto de respuesta negativa a la segunda cuestión prejudicial:

31.

Presentaron observaciones escritas el interesado, el Präsident des Nationalrates (Presidente de la Cámara Baja del Parlamento, Austria), la Autoridad Nacional de Protección de Datos, los Gobiernos austriaco y checo y la Comisión Europea. Estas mismas partes estuvieron representadas en la vista celebrada el 6 de marzo de 2023.

32.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si las actividades de una comisión de investigación constituida por un Parlamento de un Estado miembro en ejercicio de su facultad de control del poder ejecutivo están comprendidas en el ámbito de aplicación del Derecho de la Unión a efectos del artículo 16 TFUE, apartado 2, primera frase.

33.

La respuesta a esta cuestión depende, por una parte, de la interpretación que deba darse al concepto de «actividades comprendidas en el ámbito de aplicación del Derecho de la Unión» que figura en el artículo 16 TFUE, apartado 2, primera frase. Este concepto, formulado en sentido negativo, figura también en el artículo 2, apartado 2, letra a), del RGPD, que excluye de la aplicación de este Reglamento toda «actividad no comprendida en el ámbito de aplicación del Derecho de la Unión». Estas dos disposiciones delimitan, respectivamente, la competencia de los órganos de la Unión para adoptar normas relativas a la protección de datos personales y el ámbito de aplicación material del RGPD.

34.

Por otra parte, la respuesta a la primera cuestión prejudicial depende de cómo deban calificarse las actividades de las comisiones parlamentarias de investigación a la luz de las disposiciones antes citadas del Tratado FUE y del RGPD.

35.

Como procuré mostrar en otro asunto, ( 4 ) este concepto no está exento de ambigüedad, en la medida en que se presta a dos interpretaciones distintas. Habida cuenta de las controversias que su interpretación ha suscitado en el presente asunto pese a la jurisprudencia consolidada del Tribunal de Justicia, ( 5 ) me parece necesario exponer de manera exhaustiva las razones que justificaron la evolución de la jurisprudencia en la materia.

36.

La primera de las interpretaciones posibles del «ámbito de aplicación del Derecho de la Unión» puede calificarse de especificadora, en el sentido de que conduce a preguntarse si una actividad determinada está regulada por una disposición específica del Derecho de la Unión.

37.

En esencia, esta interpretación se corresponde con el concepto de «aplicación del Derecho de la Unión», que delimita el ámbito de aplicación de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). En un contexto ajeno al de la protección de datos personales, la jurisprudencia del Tribunal de Justicia equipara este concepto al de «ámbito de aplicación del Derecho de la Unión». ( 6 )

38.

El órgano jurisdiccional remitente se basa en esta interpretación en su petición de decisión prejudicial, señalando que las actividades de las comisiones parlamentarias de investigación siguen rigiéndose exclusivamente por el Derecho nacional, lo que suscita sus dudas en cuanto a la aplicabilidad del RGPD en el litigio principal.

39.

También se basó en esta interpretación el Abogado General Tizzano en sus conclusiones presentadas en los asuntos acumulados Österreichischer Rundfunk y otros ( 7 ) y en el asunto Lindqvist, ( 8 ) en el contexto de la Directiva 95/46/CE, ( 9 ) que no fueron seguidas por el Tribunal de Justicia.

40.

Es preciso recordar que la Directiva 95/46 fue adoptada sobre la base del antiguo artículo 100 A del Tratado CE, que tras su modificación pasó a ser el artículo 95 CE, y posteriormente el artículo 114 TFUE, en el marco de las medidas que tenían por objeto el establecimiento y el funcionamiento del mercado interior. Con el objetivo de garantizar la libre circulación y el nivel equivalente de protección de los datos personales dentro de la Unión, esta Directiva no era aplicable, con arreglo a su artículo 3, apartado 2, a las actividades «no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado […] y las actividades del Estado en materia penal», ni a los tratamientos de datos «[efectuados] por una persona física en el ejercicio de actividades exclusivamente personales o domésticas».

41.

Sobre la base de estas disposiciones, el Abogado General Tizzano concluyó que la Directiva 95/46 no podía aplicarse en los asuntos acumulados Österreichischer Rundfunk y otros. ( 10 ) En relación con el tratamiento de datos sobre las remuneraciones abonadas por entidades públicas, que iban a ser incluidos en un informe remitido al Parlamento por el Tribunal de Cuentas austriaco, consideró que, en el referido asunto, este ejercía una «actividad pública de control, prevista y regulada por las autoridades austriacas (incluso con una ley constitucional) con base en una decisión político-institucional autónoma, y no para cumplir una obligación comunitaria. Al no ser objeto de ninguna disciplina comunitaria específica, esta actividad no puede no estar incluida en el ámbito competencial de los Estados miembros». ( 11 )

42.

Siguiendo la misma interpretación en el asunto Lindqvist, el Abogado General Tizzano consideró que la página web creada por la Sra. Lindqvist en el desarrollo desinteresado de su actividad como catequista estaba comprendida en el ámbito de aplicación de «una actividad de carácter no económico, que no presenta ningún vínculo (o, cuando menos, ningún vínculo directo) con el ejercicio de las libertades fundamentales garantizadas por el Tratado y no constituye el objeto de ninguna disciplina específica en el ámbito comunitario». ( 12 ) Según el Abogado General, esta actividad quedaba por ello excluida del ámbito de aplicación del Derecho comunitario, en el sentido del artículo 3, apartado 2, de la Directiva 95/46.

43.

Estas conclusiones no fueron seguidas por el Tribunal de Justicia por razones que cabe asociar al deseo de preservar la seguridad jurídica y a la necesidad de garantizar el efecto útil de la Directiva 95/46.

44.

En efecto, dada la especificidad de los datos personales, cuya circulación y explotación económica se ven facilitadas por su digitalización, es muy difícil determinar en la práctica, caso por caso, si su tratamiento guarda relación con disposiciones específicas del Derecho de la Unión o con las libertades que rigen el mercado interior, como exige la interpretación especificadora.

45.

Retomando como ejemplo el asunto que dio lugar a la sentencia Lindqvist, ( 13 ) sería complicado determinar en la práctica si el funcionamiento de una página web dirigida a un círculo limitado de parroquianos presenta un vínculo concreto con las disposiciones de la Directiva 95/46 relativas a la libre circulación de datos entre los Estados miembros en el mercado común. La respuesta a esta cuestión podría depender, en particular, de la ubicación física de los servidores que alojan el sitio de Internet de que se trata. ( 14 )

46.

Añadiré que, en caso de que en el presente asunto debiera prevalecer la interpretación especificadora en el contexto del RGPD, probablemente surgirían dificultades de naturaleza similar.

47.

A título ilustrativo, sería difícil determinar con precisión en qué medida las actividades de determinados responsables del tratamiento de datos —como las iglesias o las asociaciones religiosas, expresamente contempladas por dicho Reglamento— ( 15 ) quedan realmente sujetas a disposiciones específicas del Derecho de la Unión. ( 16 ) La misma cuestión podría plantearse en relación con las organizaciones sin ánimo de lucro que no desarrollan actividades económicas. Ello generaría inseguridad jurídica en cuanto al ámbito de aplicación del RGPD.

48.

Ante tales dificultades, el Tribunal de Justicia rechazó la interpretación especificadora del «ámbito de aplicación del Derecho comunitario» en el contexto de la Directiva 95/46. En las sentencias Österreichischer Rundfunk y otros ( 17 ) y Lindqvist, ( 18 ) el Tribunal de Justicia declaró que, «puesto que todo dato personal puede circular entre los Estados miembros, la Directiva 95/46 impone, en principio, el respeto de las normas de protección de tales datos por lo que respecta a todo tratamiento de los mismos, tal como lo define su artículo 3. […] En estas circunstancias, la aplicabilidad de la Directiva 95/46 no puede depender de la cuestión de si las situaciones concretas de que se trata […] tienen un vínculo suficiente con el ejercicio de las libertades fundamentales garantizadas por el Tratado […] En efecto, una interpretación contraria podría hacer que los límites del ámbito de aplicación de la referida Directiva se vuelvan particularmente inciertos y aleatorios, lo que sería contrario al objetivo esencial de esta, que es la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros con el fin de eliminar los obstáculos al funcionamiento del mercado interior derivados precisamente de las disparidades entre las legislaciones nacionales». ( 19 )

49.

Así es como ha prevalecido la interpretación «generalizadora» de la Directiva 95/46 en la jurisprudencia del Tribunal de Justicia.

50.

Esta interpretación conduce a incluir en el ámbito de aplicación del Derecho de la Unión todas las actividades que pueden estar comprendidas en este, en el sentido de que no han quedado excluidas de él debido a las competencias exclusivas de los Estados miembros.

51.

En el contexto de la Directiva 95/46, esta interpretación condujo al Tribunal de Justicia a adoptar una interpretación restrictiva de la excepción relativa a las actividades no comprendidas en el ámbito de aplicación del Derecho comunitario. Así, en la sentencia Lindqvist, el Tribunal de Justicia declaró que «las actividades que se citan como ejemplos en el primer guion del artículo 3, apartado 2, de la Directiva 95/46 tienen por objeto delimitar el alcance de la excepción que se establece en dicha disposición, de modo que solo se aplique a aquellas actividades que se mencionan expresamente o que pueden incluirse en la misma categoría (eiusdem generis)». ( 20 )

52.

Antes de la entrada en vigor del Tratado de Lisboa, las actividades comprendidas en esta excepción —relativas a la seguridad pública, la defensa, la seguridad del Estado, el ámbito penal, y las contempladas en los títulos V y VI del Tratado de la Unión Europea— se enmarcaban en los pilares segundo y tercero de la Unión y, por lo tanto, pertenecían a la cooperación intergubernamental. Por consiguiente, estas actividades no podían ser objeto de una regulación comunitaria, habida cuenta del reparto de competencias entre la Unión y los Estados miembros previsto en aquel momento por los Tratados.

53.

La exclusión de las «actividades no comprendidas en el ámbito de aplicación del Derecho comunitario» contenida en el artículo 3, apartado 2, primer guion, de la Directiva 95/46 debe interpretarse en este contexto. Pues bien, el ámbito de aplicación del RGPD ha sido definido en términos similares.

54.

En virtud de su artículo 2, apartado 2, letras a) a d), el RGPD no se aplica al tratamiento de datos personales «a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión; b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE; c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas; d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención». Este último tipo de tratamiento se sometió a las disposiciones de la Directiva (UE) 2016/680. ( 21 )

55.

A la luz del considerando 16 del RGPD, las actividades excluidas del ámbito de aplicación del Derecho de la Unión son, en particular, las relativas a la seguridad nacional.

56.

Basándose en todas estas disposiciones, el Tribunal de Justicia declaró en la sentencia Land Hessen que la excepción establecida en el artículo 2, apartado 2, letra a), del RGPD, relativa a toda «actividad no comprendida en el ámbito de aplicación del Derecho de la Unión», debe interpretarse en sentido estricto, de modo que «el hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que dicha excepción sea automáticamente aplicable a tal actividad. En efecto, es necesario que dicha actividad figure entre las mencionadas expresamente en dicha disposición o que pueda clasificarse en la misma categoría que estas». ( 22 )

57.

Me parece que ninguna de las alegaciones formuladas en el presente asunto puede poner en entredicho esta interpretación.

58.

En particular, no estoy de acuerdo con las alegaciones basadas en el principio de atribución, que han sido formuladas, en particular, por el órgano jurisdiccional remitente y por el Presidente de la Cámara Baja del Parlamento.

59.

De conformidad con el principio de atribución establecido en el artículo 5 TUE, apartado 2, ( 23 ) la Unión solo dispone de las competencias que le atribuyen los Estados miembros en los Tratados.

60.

Desde un punto de vista puramente léxico, el concepto de «actividades comprendidas en el ámbito de aplicación del Derecho de la Unión» es ambiguo a este respecto. A primera vista, la interpretación generalizadora de este concepto adoptada por la jurisprudencia del Tribunal podría parecer dudosa, en la medida en que conduce a someter a las disposiciones del RGPD todas las actividades que no hayan sido excluidas de este Reglamento, lo que parece contravenir el principio recordado anteriormente.

61.

Sin embargo, según reiterada jurisprudencia, al interpretar una disposición del Derecho de la Unión, deben tomarse en consideración no solamente su redacción y los objetivos que persigue, sino también su contexto y el conjunto de las disposiciones del Derecho de la Unión. La génesis de una disposición de Derecho de la Unión también puede ofrecer elementos pertinentes para su interpretación. ( 24 )

62.

Pues bien, obviando la interpretación literal, que me parece poco concluyente a la luz del contenido equívoco del «ámbito de aplicación del Derecho de la Unión», el análisis contextual ( 25 ) y teleológico aboga claramente a favor de la interpretación generalizadora del artículo 16 TFUE, apartado 2, de tal forma que el alcance de esta disposición trascienda la «aplicación del Derecho de la Unión» en el sentido del artículo 51, apartado 1, de la Carta.

63.

En primer lugar, esta conclusión se impone a la luz de la sistemática del Tratado FUE y del lugar específico que ocupa el artículo 16, apartado 2, en la arquitectura de dicho Tratado.

64.

El artículo en cuestión figura en el título II de la primera parte del Tratado FUE, que contiene las «disposiciones de aplicación general». De ello se deduce que el derecho de las personas a la protección de los datos de carácter personal, consagrado en la citada disposición, reviste una especial importancia en relación con los demás derechos fundamentales que quedaron incluidos en la Carta incorporada como anexo al Tratado.

65.

Más concretamente, el lugar privilegiado que ocupa el artículo 16 TFUE en la estructura del Tratado sugiere que el «ámbito de aplicación» al que se refiere esta disposición no se limita únicamente a las situaciones en las que los Estados miembros «apliquen el Derecho de la Unión» en el sentido del artículo 51, apartado 1, de la Carta, lo cual se correspondería a la interpretación especificadora antes mencionada.

66.

Sobre este particular, quisiera señalar una diferencia de naturaleza que existe entre el artículo 16 TFUE, apartado 2, y las disposiciones de la Carta.

67.

De conformidad con su artículo 51, apartado 2, la Carta «[no] crea ninguna competencia o misión nuevas para la Unión, ni modifica las competencias y misiones definidas en los Tratados». Sus disposiciones están dirigidas a los Estados miembros, en la medida en que estos apliquen el Derecho de la Unión en materias que ya están comprendidas en el ámbito de aplicación de dicho Derecho.

68.

No cabe decir lo mismo en lo que respecta al artículo 16 TFUE, apartado 2, cuyas disposiciones constituyen y delegan en la Unión una competencia legislativa en materia de protección y libre circulación de datos personales, y definen a tal efecto un ámbito de aplicación específico, basado en las disposiciones de la Directiva 95/46, como demuestra la génesis de la citada disposición.

69.

En segundo lugar, en efecto, de los trabajos preparatorios del Tratado de Lisboa se desprende claramente que los autores del Tratado FUE pretendieron reafirmar el ámbito de aplicación de las normas relativas a la protección de los datos personales tal como este había sido definido en el contexto de la Directiva 95/46.

70.

A este respecto, procede recordar que el tenor del artículo 16 TFUE se inspira directamente en el Proyecto de Tratado por el que se establece una Constitución para Europa, cuyo artículo 36 bis, apartado 2, (que pasó a ser el artículo 50, apartado 2, en la versión final del proyecto de 18 de julio de 2003) ( 26 ) preveía la competencia del Parlamento y del Consejo para adoptar «las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y a la libre circulación de estos datos». ( 27 )

71.

Pues bien, según las explicaciones proporcionadas por sus autores, «el proyecto de artículo 36 bis tiene por objeto crear una base jurídica única para la protección de los datos personales tanto por las instituciones como por los Estados miembros, cuando actúen en un ámbito comprendido en el ámbito de aplicación del Derecho de la Unión. El texto se basa en el régimen comunitario actual, resultante de la [Directiva 95/46] (basada en el artículo 95 TCE) en lo que respecta a la actuación de los Estados miembros». ( 28 )

72.

De ello se deduce claramente que, en caso de que el concepto de «ámbito de aplicación del Derecho de la Unión» que figura en el artículo 2, apartado 2, letra a), del RGPD debiera interpretarse de tal forma que la aplicación de este Reglamento quedara restringida con respecto a la de la Directiva 95/46, esta interpretación iría en contra de la voluntad de los Estados miembros expresada en el Tratado FUE.

73.

En tercer lugar, deben tenerse en cuenta las consideraciones teleológicas, relacionadas con la dinámica y los objetivos específicos de la protección de datos personales en que se inscribe la adopción del RGPD.

74.

Desde este punto de vista, no cabe duda de que el legislador de la Unión pretendió reforzar esta protección y consolidar el ámbito de aplicación de las normas correspondientes. Son pruebas de ello la sustitución deliberada de la Directiva 95/46 por un dispositivo reglamentario más vinculante y, de manera explícita, el contenido de los considerandos 9, 11 y 13 del RGPD.

75.

Los objetivos perseguidos con esta medida derivan de la especificidad del fenómeno del tratamiento de datos personales, que trasciende el marco de las actividades durante las cuales pueden recogerse tales datos.

76.

Por otro lado, estas actividades no son necesariamente actividades económicas, que ya están sujetas a las normas del Derecho de la Unión que regulan el mercado interior, lo que no disminuye en absoluto el valor de mercado de los datos recogidos ni elimina los riesgos inherentes a su tratamiento.

77.

La problemática de los datos personales presenta a este respecto un carácter transversal, de modo que las normas relativas a su protección no pueden limitarse al ámbito de aplicación de las categorías preexistentes del Derecho de la Unión.

78.

En otras palabras, el «ámbito de aplicación del Derecho de la Unión» al que se refiere el artículo 16 TFUE, apartado 2, rebasa los supuestos de «aplicación del Derecho de la Unión», en el sentido del artículo 51, apartado 1, de la Carta debido a la naturaleza autónoma de las problemáticas asociadas al tratamiento de datos personales, que han precisado de una intervención legislativa específica cuyo alcance trasciende la suma de las disposiciones preexistentes del Derecho de la Unión. Desde este punto de vista, el amplio ámbito de aplicación del RGPD refleja la voluntad de afrontar los desafíos de la protección de datos personales mediante la adopción de un dispositivo creado «a medida».

79.

Habida cuenta de las conclusiones convergentes que se desprenden del análisis contextual y teleológico del artículo 16 TFUE, apartado 2, propongo al Tribunal de Justicia que confirme su jurisprudencia anterior, ( 29 ) adoptando una interpretación estricta de la excepción relativa a las «actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión» contenida en el artículo 2, apartado 2, letra a), del RGPD.

80.

Propongo al Tribunal de Justicia que aprecie a la luz de dicha interpretación si este Reglamento puede aplicarse a los trabajos de la comisión parlamentaria de investigación de que se trata en el procedimiento principal.

81.

Considero que se impone una observación preliminar en lo que se refiere a la manera en que las disposiciones pertinentes del RGPD definen el ámbito de aplicación de dicho Reglamento.

82.

Procede señalar que las consideraciones orgánicas o institucionales relativas a la naturaleza de los órganos o personas responsables del tratamiento de datos personales, tienen una importancia secundaria en la definición del ámbito de aplicación del RGPD.

83.

En efecto, por una parte, el ámbito de aplicación del RGPD se basa en el concepto material de «tratamiento» de datos personales, de conformidad con el artículo 2, apartado 1, de dicho Reglamento. Desde este punto de vista, el concepto orgánico de «responsable del tratamiento», contenido en el artículo 4, apartado 7, del RGPD, es solo accesorio, en el sentido de que se basa, en esencia, en el concepto material de tratamiento. En efecto, si bien la definición de responsable del tratamiento se refiere a «la persona física o jurídica, autoridad pública, servicio u otro organismo», esta evocación viene a neutralizar los criterios orgánicos a efectos de su aplicación.

84.

Por otra parte, aun cuando las disposiciones que limitan el ámbito de aplicación material del RGPD, contenidas en el artículo 2, apartado 2, del Reglamento, se refieren a determinadas categorías de personas u órganos, a saber, los Estados miembros, las personas físicas y las autoridades competentes en materia penal, siempre es en el contexto de las actividades que quedan excluidas del ámbito de aplicación de dicho Reglamento. Por consiguiente, no son determinadas personas como tales las que están excluidas de la aplicación del RGPD, sino solo algunas de sus actividades.

85.

La importancia secundaria de los criterios institucionales también se ve confirmada por el modo en que se definen las excepciones parciales, que limitan el alcance de las disposiciones específicas del RGPD. A título ilustrativo, ( 30 ) si bien es cierto que, de conformidad con el artículo 55, apartado 3, del RGPD, los tribunales no están sometidos a la competencia de las autoridades de control nacionales, ello es así únicamente en la medida en que ejercen funciones jurisdiccionales. Por consiguiente, el alcance de esta excepción no viene determinado por el estatuto de los órganos jurisdiccionales, sino por la naturaleza específica de sus actividades.

86.

De la falta de disposiciones en el RGPD referidas específicamente a los órganos parlamentarios, se deduce, en mi opinión, que la posibilidad de aplicar este Reglamento no debe determinarse atendiendo al estatuto de los órganos parlamentarios en el Derecho austriaco, sino a la naturaleza de sus actividades.

87.

A la luz de todos los elementos puestos en conocimiento del Tribunal de Justicia, considero que las funciones encomendadas a esta comisión pueden calificarse de actividades de control público que implican el ejercicio de la autoridad pública.

88.

Esta calificación se desprende de la propia redacción de las cuestiones prejudiciales primera y segunda, que se refieren a actividades realizadas en el contexto del control del poder ejecutivo. Según las explicaciones del órgano jurisdiccional remitente, «las comisiones de investigación tienen por objeto el esclarecimiento de ciertos asuntos con fines políticos […]. A este respecto, corresponde a las comisiones de investigación llevar a cabo la función de control que les atribuye la Constitución». ( 31 )

89.

Esta calificación se ve corroborada por las observaciones escritas presentadas al Tribunal de Justicia. ( 32 )

90.

A la luz de las explicaciones dadas en la vista por el Presidente de la Cámara Baja del Parlamento, también es evidente que la comisión de investigación de que se trata dispone de ciertas prerrogativas de autoridad pública, tales como el derecho a citar a testigos o a obtener acceso a los documentos relacionados con el objeto de sus actividades, prerrogativas estas que llevan asociada la facultad de imponer sanciones pecuniarias, con el fin de garantizar que la investigación se lleve a cabo correctamente.

91.

En cambio, me parece que existe cierta confusión en lo que respecta a la naturaleza legislativa de las actividades de esta comisión y a sus posibles repercusiones para la aplicabilidad del RGPD.

92.

El Presidente de la Cámara Baja del Parlamento observa sobre este particular que «las comisiones de investigación dependen, tanto desde el punto de vista organizativo como funcional, del poder legislativo. Así pues, las actuaciones realizadas por las comisiones de investigación o en nombre de estas se inscriben en la función legislativa del Estado». ( 33 ) En opinión de dicho órgano, de ello se deduce que «la labor de una comisión de investigación se sitúa, por lo tanto, en el núcleo del ámbito legislativo y, como actividad (de control) de carácter exclusivamente parlamentario y político, está comprendida en la excepción establecida en el artículo 2, apartado 2, letra a), del RGPD». ( 34 )

93.

Estas afirmaciones merecen tres observaciones por mi parte.

94.

En primer lugar, con independencia de la posible participación de las comisiones de investigación en la labor legislativa, quisiera señalar que las actividades legislativas o parlamentarias no han quedado excluidas de la aplicación del RGPD, ( 35 ) a diferencia de las actividades relacionadas con el ejercicio de funciones judiciales, que sí están comprendidas en la excepción parcial establecida en el artículo 55, apartado 3, de dicho Reglamento.

95.

Sobre este extremo, contrariamente a algunos de los interesados, dudo que esta excepción pueda interpretarse por analogía de manera que la excepción referida a las funciones judiciales abarque las funciones legislativas. Antes bien, si la excepción contenida en el artículo 55, apartado 3, del RGPD hubiera de inspirar el razonamiento del Tribunal de Justicia en el presente asunto, ello solo podría llevar a una interpretación a contrario. Habida cuenta del amplio ámbito de aplicación del RGPD, la excepción relativa a las funciones judiciales no puede interpretarse de forma extensiva.

96.

En segundo lugar, en mi opinión, ninguno de los elementos puestos en conocimiento del Tribunal de Justicia permite sostener que la actividad de la comisión de investigación en el procedimiento principal tiene una función legislativa.

97.

En particular, la comisión de investigación de que se trata no está facultada para adoptar iniciativas legislativas ni participa en modo alguno en la labor legislativa del Parlamento austriaco. Por otro lado, si bien el informe final de la investigación puede constituir una fuente de inspiración para el legislador, no me parece que esta circunstancia pueda conferir un carácter legislativo a sus actividades. Los trabajos de determinados órganos extraparlamentarios —como el Tribunal de Cuentas austriaco, cuyos informes se remiten al Parlamento— también pueden servir de inspiración al legislador sin que ello implique asociarlos al ejercicio de la potestad legislativa.

98.

En tercer lugar, y con independencia de su posible importancia a la luz del Derecho austriaco, las consideraciones institucionales siguen siendo irrelevantes para la aplicabilidad del RGPD, de modo que la adscripción organizativa de la comisión parlamentaria de investigación no puede ser determinante para la respuesta que debe darse a la primera cuestión prejudicial.

99.

A la luz de las consideraciones anteriores, procede preguntarse si las actividades de control público llevadas a cabo por una comisión parlamentaria de investigación están comprendidas en el ámbito de aplicación del RGPD.

100.

En mi opinión, esta cuestión debe responderse afirmativamente por tres razones principales.

101.

En primer lugar, el tratamiento de datos personales realizado por la comisión de que se trata se inscribe en el concepto material de «tratamiento» definido en el artículo 2, apartado 1, del RGPD. Ninguna de las partes interesadas en el presente asunto cuestiona esta calificación.

102.

En segundo lugar, las actividades de control público están comprendidas en el ámbito de aplicación del Derecho de la Unión a efectos del artículo 16 TFUE, apartado 2, y del artículo 2, apartado 2, letra a), del RGPD, tal como han sido interpretadas por la jurisprudencia del Tribunal de Justicia, en particular en la medida en que ninguna disposición del citado Reglamento las excluye de su aplicación.

103.

Por el contrario, las actividades de control se mencionan explícitamente en el artículo 23, apartado 1, letra h), del RGPD, que prevé la posibilidad de limitar el alcance de determinados derechos y obligaciones establecidos en dicho Reglamento, cuando tal limitación sea necesaria para garantizar el ejercicio de «una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública» en determinados supuestos previstos por dicha disposición.

104.

De ello se deduce que las disposiciones del RGPD tienen por objeto regular las actividades de control público, aun cuando puedan preverse adaptaciones particulares a tal efecto. Sin embargo, la posible limitación de las protecciones derivadas del RGPD no conduce a excluir su aplicación.

105.

Por último, en tercer lugar, habida cuenta del reparto general de competencias entre la Unión y los Estados miembros, nada indica que las actividades de control público estén reservadas exclusivamente a estos últimos.

106.

Por poner un ejemplo concreto de control parlamentario, las investigaciones llevadas a cabo por duplicado en el asunto denominado «Dieselgate», iniciadas simultáneamente por el Parlamento Europeo ( 36 ) y el Bundestag (Cámara Baja del Parlamento) alemán, son ilustrativas del concurso de competencias en la materia.

107.

Ciertamente, cabría argumentar que el ámbito de aplicación del Derecho de la Unión abarca únicamente las actividades de control que presentan un vínculo con la aplicación de las disposiciones de dicho Derecho.

108.

Sin embargo, tal enfoque equivaldría a recuperar la interpretación especificadora del «ámbito de aplicación del Derecho de la Unión» y, por consiguiente, presentaría los mismos riesgos de inseguridad jurídica. Habida cuenta de la propia naturaleza de una investigación parlamentaria, que tiene por objeto esclarecer las circunstancias de que se trate, me parece difícil determinar de antemano si los trabajos de una comisión de investigación presentan un vínculo concreto con la aplicación de las disposiciones del Derecho de la Unión. ( 37 )

109.

En este contexto, debe tenerse en cuenta el objetivo de seguridad jurídica perseguido por las disposiciones del RGPD, que pretenden evitar una fragmentación de la aplicación de la protección de datos en la Unión. ( 38 )

110.

Atendiendo a este objetivo y de conformidad con la solución adoptada por el Tribunal de Justicia en la sentencia Österreichischer Rundfunk y otros ( 39 ) en el contexto de la Directiva 95/46, el ámbito de aplicación del RGPD debe interpretarse en el sentido de que incluye las actividades de control público, con independencia del vínculo que presenten con la aplicación de disposiciones específicas del Derecho de la Unión.

111.

A la luz de cuanto antecede, propongo que se responda a la primera cuestión prejudicial que las actividades de una comisión de investigación constituida por el Parlamento de un Estado miembro en ejercicio de su facultad de control del poder ejecutivo están comprendidas en el ámbito de aplicación del Derecho de la Unión a efectos del artículo 16 TFUE, apartado 2, primera frase.

112.

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta si las actividades de la comisión de investigación de que se trata en el litigio principal están comprendidas en la excepción prevista en el artículo 2, apartado 2, letra a), del RGPD, interpretado a la luz del considerando 16 del Reglamento, habida cuenta del objeto particular de sus actividades, vinculado con cuestiones de seguridad nacional.

113.

No creo que sea así, por varias razones.

114.

En primer término, habida cuenta del amplio ámbito de aplicación del RGPD, la excepción que abarca las actividades relativas a la seguridad nacional debe interpretarse de forma estricta. De ello deduzco que solo están comprendidas en esta excepción las actividades que tienen por objeto inmediato la seguridad nacional.

115.

Es evidente que este no es el caso de las actividades de la comisión de investigación de que se trata en el litigio principal, a la que se asignó una función de control respecto a los órganos del Gobierno federal.

116.

Ciertamente, en la medida en que el control en cuestión se refiere al funcionamiento de la BVT, cuya misión consiste en garantizar la integridad y la continuidad de las instituciones del Estado, la actividad de dicha comisión pudo contribuir indirectamente a salvaguardar la seguridad nacional.

117.

Sin embargo, tal contribución no altera la naturaleza de las actividades encomendadas a una comisión de investigación y no puede conducir a excluir estas actividades de las disposiciones del RGPD. De prevalecer la solución contraria, cabría preguntarse si una agencia de publicidad, contratada por el Ministerio de Defensa para promover la carrera militar, no debe quedar fuera del ámbito de aplicación del Reglamento por ese mismo motivo.

118.

En segundo término, si la aplicación del RGPD dependiese del objeto de una investigación parlamentaria, ello sería contrario al objetivo de seguridad jurídica perseguido por el legislador de la Unión.

119.

Teniendo en cuenta su naturaleza cambiante, el objeto de una investigación parlamentaria no proporciona una base suficientemente sólida para determinar el ámbito de aplicación del RGPD. Los aspectos coyunturales, como la implicación personal de un ministro de Defensa en un caso de corrupción —que podría confirmarse (o desmentirse) en el curso de la investigación—, no pueden servir de referencia a tal efecto.

120.

En tercer término, la interpretación de la excepción contenida en el artículo 2, apartado 2, letra a), del RGPD debe tener en cuenta la ratio legis de esta disposición. Esta me parece vinculada a la imposibilidad de conciliar determinados aspectos fundamentales del derecho al respeto de los datos personales con el secreto inherente a determinadas actividades relativas a la seguridad nacional.

121.

A título ilustrativo, considero que difícilmente podrían los servicios de inteligencia nacionales garantizar el respeto de los derechos de información y de acceso consagrados en los artículos 14 y 15 del RGPD sin poner en riesgo al mismo tiempo las actividades de vigilancia de personas sospechosas de pertenecer a un movimiento terrorista. En tal supuesto, las exigencias derivadas del RGPD son fundamentalmente incompatibles con los imperativos de la seguridad nacional.

122.

En cambio, me parece que la actividad de una comisión parlamentaria de investigación no se topa con ningún obstáculo insalvable de este tipo, y no veo cómo el cumplimiento de las obligaciones derivadas del RGPD podría poner en riesgo su posible contribución a la salvaguardia de la seguridad nacional.

123.

Ciertamente, la publicidad que suele acompañar a las actividades de las comisiones de investigación forma parte de la dimensión pública del control parlamentario. Sin embargo, el objetivo de transparencia está en el lado opuesto a la ratio legis del artículo 2, apartado 2, letra a), del RGPD, que pretende preservar los secretos de la seguridad nacional.

124.

En cuarto término, aun cuando el correcto desarrollo de una investigación parlamentaria puede, en determinados casos, ser incompatible con el cumplimiento de las obligaciones derivadas del RGPD —por ejemplo, en el supuesto de que la comisión de investigación obtenga acceso a documentos confidenciales que contengan datos personales—, procede recordar que el artículo 23, apartado 1, letras a) y h), del RGPD prevé la posibilidad de limitar los derechos y obligaciones consagrados en los artículos 5, 12 a 22 y 34 de este mismo Reglamento, cuando tal limitación sea necesaria para salvaguardar una función de control atendiendo imperativos de seguridad del Estado.

125.

De ello se desprende, en mi opinión, que la conexión que el objeto de una investigación parlamentaria pueda tener con cuestiones de seguridad nacional no debe conducir a excluir a la comisión de investigación de la aplicación del RGPD. Habida cuenta del contexto institucional en el que se inscribe la actividad de tales comisiones, cuyos miembros participan en los trabajos de los órganos legislativos del Parlamento, me parece además relativamente fácil realizar las adaptaciones legislativas necesarias que permitan tener en cuenta el objeto particular de determinadas investigaciones parlamentarias, como establecen las disposiciones del artículo 23, apartado 1, del RGPD.

126.

Por todas estas razones, propongo al Tribunal de Justicia que responda a la segunda cuestión prejudicial que las actividades de una comisión parlamentaria de investigación que tiene por objeto investigar actividades de una autoridad policial de seguridad del Estado relativas a la protección de la seguridad nacional en el sentido del considerando 16 del RGPD, no están comprendidas en la excepción del artículo 2, apartado 2, letra a), de dicho Reglamento.

127.

Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si la competencia de una autoridad de control única, constituida con arreglo al artículo 51, apartado 1, del RGPD para conocer de las reclamaciones previstas en el artículo 77, apartado 1, de dicho Reglamento, puede derivarse directamente de esta última disposición, en relación con el artículo 55, apartado 1, del RGPD.

128.

Esta cuestión, que se plantea en el supuesto de que el RGPD resulte aplicable a las actividades de la comisión de investigación de que se trata en el litigio principal, obedece a obstáculos de naturaleza constitucional. En opinión del Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo) y de algunos de los interesados, el principio de separación de poderes propio del Derecho austriaco se opone a que un órgano administrativo, en este caso la Autoridad Nacional de Protección de Datos, se inmiscuya en las actividades del Parlamento examinando reclamaciones relacionadas con este.

129.

Así pues, la tercera cuestión prejudicial tiene por objeto determinar el alcance del efecto directo de las disposiciones del artículo 55, apartado 1, en relación con el artículo 77, apartado 1, del RGPD, cuando la competencia de la autoridad de control única establecida por un Estado miembro podría verse limitada por un principio de rango constitucional.

130.

Al tratarse de un reglamento de la Unión, procede recordar que, en principio, estos son directamente aplicables en todos sus elementos, de conformidad con lo dispuesto en el artículo 288 TFUE, párrafo segundo, como confirma el artículo 99, apartado 2, párrafo segundo, del RGPD. ( 40 )

131.

Según la jurisprudencia del Tribunal de Justicia, solo es de otro modo en el supuesto de que una disposición reglamentaria requiera la adopción de medidas de aplicación, habida cuenta del margen de apreciación concedido a los Estados miembros a la hora de ejecutarla. ( 41 )

132.

A este respecto, considero que las disposiciones combinadas del artículo 77, apartado 1, del RGPD, que establece la competencia de las autoridades de control para examinar las reclamaciones previstas en dicho artículo, y el artículo 55, apartado 1, del mismo Reglamento, son suficientemente claras e incondicionales como para aplicarlas directamente.

133.

He de añadir que el Tribunal de Justicia ya ha confirmado el efecto directo del artículo 58, apartado 5, del RGPD al declarar que una autoridad nacional de control puede invocar la facultad de iniciar o ejercitar acciones judiciales que le confiere dicha disposición para ejercitar o retomar una acción contra particulares, aun cuando el Estado miembro de que se trate no haya adoptado ninguna medida legislativa de aplicación a tal efecto. ( 42 )

134.

Por otro lado, en las circunstancias del litigio principal, no me parece necesaria la adopción de una medida de aplicación adicional para regular las modalidades de procedimiento de la reclamación prevista en el artículo 77 del RGPD. La Autoridad Nacional de Protección de Datos examina con regularidad tales reclamaciones, y la única cuestión que se plantea es la de su competencia respecto a los órganos del Parlamento.

135.

Pues bien, esta cuestión no se deja a la libre apreciación de los Estados miembros.

136.

Ciertamente, el ejercicio efectivo del derecho a presentar una reclamación presupone el establecimiento previo de una o varias autoridades de control con arreglo al artículo 51, apartado 1, del RGPD, lo que requiere la intervención de los Estados miembros. Sin embargo, esta es una cuestión relativa al efecto directo de esta última disposición, que no se plantea en el litigio principal.

137.

Por lo que se refiere al número de autoridades de control que deben establecerse con arreglo al artículo 51, apartado 1, del RGPD, la discrecionalidad institucional que se deja a los Estados miembros a este respecto no puede conducir a limitar las competencias de la autoridad única establecida por el legislador austriaco. Una interpretación contraria privaría a los artículos 55, apartado 1, y 77, apartado 1, del RGPD de su efecto directo y podría menoscabar el efecto útil de cualesquiera otras disposiciones de dicho Reglamento que puedan verse afectadas por una reclamación.

138.

Por último, por lo que respecta a los obstáculos de naturaleza constitucional existentes en el Derecho austriaco, estos no pueden traducirse en una negativa a aplicar las disposiciones del RGPD. Según reiterada jurisprudencia del Tribunal de Justicia, la alegación de violaciones de los principios de una estructura constitucional nacional no puede afectar al efecto de un acto de la Unión. ( 43 )

139.

Por consiguiente, en respuesta a la tercera cuestión prejudicial, propongo al Tribunal de Justicia que declare que, en el supuesto de que un Estado miembro haya constituido una única autoridad de control con arreglo al artículo 51, apartado 1, del RGPD, su competencia para conocer de las reclamaciones previstas en el artículo 77, apartado 1, de dicho Reglamento se deriva directamente de esta última disposición, en relación con el artículo 55, apartado 1, del mismo Reglamento.

140.

Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo, Austria) del siguiente modo: