Cauza C‑518/07
Comisia Europeană
împotriva
Republicii Federale Germania
„Neîndeplinirea obligațiilor de către un stat membru – Directiva 95/46/CE – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Articolul 28 alineatul (1) – Autorități naționale de supraveghere – Independență – Tutelă administrativă exercitată asupra acestor autorități”
Sumarul hotărârii
1. Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Autorități naționale de supraveghere
[Directiva 95/46 a Parlamentului European și a Consiliului, art. 28 alin. (1)]
2. Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Autorități naționale de supraveghere
[Directiva 95/46 a Parlamentului European și a Consiliului, art. 28 alin. (1)]
1. Garanția de independență a autorităților naționale de supraveghere, prevăzută la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, are în vedere să asigure eficiența și fiabilitatea supravegherii respectării dispozițiilor în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și trebuie să fie interpretată în lumina acestui obiectiv. Aceasta a fost instituită nu în scopul de a conferi un statut special acestor autorități în sine, precum și reprezentanților acestora, ci pentru a consolida protecția persoanelor și a organismelor care sunt avute în vedere prin deciziile acestora. Rezultă că, în exercitarea atribuțiilor, autoritățile de supraveghere trebuie să acționeze într‑un mod obiectiv și imparțial. În acest sens, acestea trebuie să fie protejate de orice influență exterioară, inclusiv aceea directă sau indirectă a statului sau a landurilor, iar nu numai de influența organismelor supravegheate.
Prin urmare, autoritățile de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public trebuie să beneficieze de o independență care să le permită să își exercite atribuțiile fără nicio influență exterioară. Această independență exclude nu numai orice influență exercitată de organismele supravegheate, ci și orice ingerință și orice altă influență exterioară, indiferent dacă aceasta este directă sau indirectă, care ar putea să pună în discuție îndeplinirea de către autoritățile menționate a sarcinii acestora care constă în stabilirea unui echilibru just între protecția dreptului la viață privată și libera circulație a datelor cu caracter personal.
(a se vedea punctele 25 și 30)
2. Simplul risc ca autoritățile de tutelă să poată exercita o influență politică asupra deciziilor autorităților de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal, prevăzute la articolul 28 alineatul (1) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, este suficient pentru a împiedica exercitarea în mod independent a atribuțiilor acestora. Pe de o parte, ar putea exista situația unei „supuneri anticipate” a acestor autorități în ceea ce privește practica decizională a autorității de tutelă. Pe de altă parte, rolul de gardian al dreptului la viață privată pe care și‑l asumă autoritățile de supraveghere menționate impune ca deciziile acestora și, așadar, ele însele, să fie mai presus de orice suspiciune de părtinire. Tutela statului exercitată asupra autorităților naționale de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public nu este, așadar, compatibilă cu cerința de independență.
Prin urmare, nu își îndeplinește obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46 un stat membru care supune tutelei statului autoritățile de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal de către alte organisme decât cele publice și de către întreprinderile de drept public care iau parte la concurența pe piață în diferitele landuri, transpunând astfel în mod eronat cerința potrivit căreia aceste autorități își exercită atribuțiile în condiții de independență deplină.
(a se vedea punctele 36, 37 și 56 și dispozitivul)
HOTĂRÂREA CURȚII (Marea Cameră)
9 martie 2010(*)
„Neîndeplinirea obligațiilor de către un stat membru – Directiva 95/46/CE – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Articolul 28 alineatul (1) – Autorități naționale de supraveghere – Independență – Tutelă administrativă exercitată asupra acestor autorități”
În cauza C‑518/07,
având ca obiect o acțiune în constatarea neîndeplinirii obligațiilor formulată în temeiul articolului 226 CE, introdusă la 22 noiembrie 2007,
Comisia Europeană, reprezentată de domnii C. Docksey, C. Ladenburger și H. Krämer, în calitate de agenți, cu domiciliul ales în Luxemburg,
reclamantă,
susținută de:
Autoritatea Europeană pentru Protecția Datelor, reprezentată de domnii H. Hijmans și A. Scirocco, în calitate de agenți, cu domiciliul ales în Luxemburg,
intervenientă,
împotriva
Republicii Federale Germania, reprezentată de domnii M. Lumma și J. Möller, în calitate de agenți, cu domiciliul ales în Luxemburg,
pârâtă,
CURTEA (Marea Cameră),
compusă din domnul V. Skouris, președinte, domnii A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.‑C. Bonichot și E. Levits, președinți de cameră, domnii A. Rosas, K. Schiemann (raportor), J.‑J. Kasel, M. Safjan și D. Šváby, judecători,
avocat general: domnul J. Mazák,
grefier: domnul R. Grass,
având în vedere procedura scrisă,
după ascultarea concluziilor avocatului general în ședința din 12 noiembrie 2009,
pronunță prezenta
Hotărâre
1 Prin cererea introductivă, Comisia Comunităților Europene solicită Curții să constate că Republica Federală Germania nu și‑a îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), prin supunerea la tutela statului a autorităților de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public din diferitele landuri și, astfel, prin transpunerea în mod eronat a cerinței de „independență deplină” a autorităților responsabile de garantarea protecției acestor date.
Cadrul juridic
Reglementarea comunitară
2 Directiva 95/46 a fost adoptată în temeiul articolului 100 A din Tratatul CE (devenit, după modificare, articolul 95 CE) și urmărește armonizarea legislațiilor naționale referitoare la prelucrarea datelor cu caracter personal.
3 Considerentele (3), (7), (8), (10) și (62) ale Directivei 95/46 menționează următoarele:
„(3) întrucât instituirea și funcționarea unei piețe interne în care este asigurată, în conformitate cu articolul 7a din [Tratatul CE (devenit, după modificare, articolul 14 CE)], libera circulație a bunurilor, a persoanelor, a serviciilor și a capitalurilor necesită nu numai libera circulație a datelor cu caracter personal de la un stat membru la altul, ci și garantarea drepturilor fundamentale ale persoanei;
[…]
(7) întrucât diferența dintre nivelurile de protecție a drepturilor și libertăților persoanelor, în special a dreptului la viață privată în ceea ce privește prelucrarea datelor cu caracter personal permisă în statele membre poate împiedica transmiterea unor astfel de date de pe teritoriul unui stat membru pe cel al altui stat membru; întrucât această diferență poate constitui, prin urmare, un obstacol în desfășurarea unor activități economice la nivel comunitar, poate denatura concurența și poate împiedica autoritățile să‑și îndeplinească responsabilitățile conform dreptului comunitar; întrucât diferența dintre nivelurile de protecție se datorează disparităților între actele cu putere de lege și actele administrative interne;
(8) întrucât, pentru a îndepărta obstacolele din calea circulației datelor cu caracter personal, nivelul protecției drepturilor și libertăților persoanei în ceea ce privește prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre; întrucât acest obiectiv este vital pentru piața internă, dar nu poate fi atins numai de statele membre, în special având în vedere dimensiunea divergențelor existente în prezent între legislațiile interne ale statelor membre și necesitatea de coordonare a legislațiilor statelor membre astfel încât să reglementeze fluxul transfrontalier de date cu caracter personal în mod coerent și conform cu obiectivele pieței interne menționate în articolul 7a din tratat; întrucât acțiunea Comunității de apropiere a legislațiilor este, prin urmare, necesară;
[…]
(10) întrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale [semnată la Roma la 4 noiembrie 1950], cât și în principiile generale ale dreptului comunitar; întrucât, din acest motiv, apropierea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în Comunitate;
[…]
(62) întrucât instituirea în statele membre a unor autorități de supraveghere care să‑și exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal”.
4 Intitulat „Obiectul directivei”, articolul 1 din Directiva 95/46 are următorul cuprins:
„(1) Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și a libertăților fundamentale ale persoanei [fizice] și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.
(2) Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).”
5 Articolul 28 din Directiva 95/46, intitulat „Autoritatea de supraveghere”, prevede:
„(1) Fiecare stat membru prevede ca una sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive.
Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite.
(2) Fiecare stat membru prevede ca autoritățile de supraveghere să fie consultate la elaborarea normelor și actelor administrative referitoare la protecția drepturilor și libertăților persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.
(3) Fiecare autoritate este, în special, învestită cu:
– competențe de investigare, cum ar fi cea de acces la datele care fac obiectul unei prelucrări și cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere;
– competențe efective de intervenție, cum ar fi, de exemplu, competența de a emite avize înainte de începerea prelucrării, în conformitate cu articolul 20, și de a asigura publicarea adecvată a acestor avize sau de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naționale sau alte instituții politice;
– competența de a acționa în justiție în cazul încălcării dispozițiilor de drept intern adoptate în temeiul prezentei directive sau de a sesiza autoritățile judecătorești asupra acestor încălcări.
Deciziile autorităților de supraveghere care dau naștere unor plângeri pot face obiectul unei acțiuni în justiție.
(4) Fiecare autoritate de supraveghere poate fi sesizată de orice persoană sau de orice asociație care o reprezintă printr‑o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal. Persoana vizată este informată despre soluția dată plângerii sale.
Fiecare autoritate de supraveghere poate fi sesizată printr‑o plângere depusă de orice persoană cu privire la legalitatea prelucrării datelor, atunci când se aplică dispozițiile de drept intern adoptate în temeiul articolului 13 din prezenta directivă. Persoana este informată, în orice caz, că s‑a efectuat o verificare.
(5) Fiecare autoritate de supraveghere întocmește, cu regularitate, un raport privind activitățile desfășurate. Raportul este publicat.
(6) Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru.
Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.
(7) Statele membre prevăd ca membrii și personalul autorității de supraveghere să se supună, chiar după încetarea activității acestora, obligației privind secretul profesional în ceea ce privește informațiile confidențiale la care au acces.
6 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142) a fost adoptat în temeiul articolului 286 CE. Articolul 44 alineatele (1) și (2) din acest regulament prevăd:
„(1) Autoritatea Europeană pentru Protecția Datelor [(denumită în continuare «AEPD»)] își exercită atribuțiile în deplină independență.
(2) [AEPD] nu solicită și nici nu primește instrucțiuni din partea altcuiva, în îndeplinirea atribuțiilor sale.”
Reglementarea națională
7 Dreptul german operează o distincție în ceea ce privește protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în funcție de împrejurarea dacă această prelucrare este efectuată sau nu este efectuată de către organisme publice.
8 Autoritățile însărcinate cu supravegherea respectării dispozițiilor din domeniu, pe de o parte, de către organismele publice și, pe de altă parte, de către alte organisme decât cele publice și de către întreprinderile de drept public care iau parte la concurența pe piață (öffentlich‑rechtliche Wettbewerbsunternehmen) (denumite în continuare, împreună, „celelalte sectoare decât cel public”) sunt, astfel, diferite.
9 Prelucrarea datelor cu caracter personal efectuată de către organismele publice este supravegheată, la nivel federal, de către Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (delegatul federal pentru protecția datelor și a libertății informației) și, la nivelul landurilor, de către Landesdatenschutzbeauftragte (delegații pentru protecția datelor din landuri). Toți acești delegați sunt responsabili numai în fața parlamentului lor și nu sunt supuși, în mod normal, niciunei tutele, instrucțiuni sau alte influențe din partea organismelor publice care sunt plasate sub controlul lor.
10 În schimb, structura autorităților responsabile de supravegherea prelucrării datelor respective de către celelalte sectoare decât cel public diferă de la un land la altul. Totuși, legile landurilor au drept caracteristică comună supunerea expresă a acestor autorități de supraveghere la o tutelă exercitată de către stat.
Procedura precontencioasă și procedura în fața Curții
11 Considerând că este incompatibil cu articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 a supune tutelei statului autoritatea însărcinată cu respectarea dispozițiilor privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către celelalte sectoare decât cel public, astfel cum este situația în toate landurile germane, Comisia, la 5 iulie 2005, a adresat Republicii Federale Germania o scrisoare de punere în întârziere. Aceasta din urmă a răspuns printr‑o scrisoare din 12 septembrie 2005, afirmând că sistemul german de supraveghere în materie răspunde cerințelor directivei menționate. Comisia a adresat ulterior, la 12 decembrie 2006, un aviz motivat Republicii Federale Germania, prin care a reiterat motivul formulat anterior. În răspunsul său din 14 februarie 2007, aceasta și‑a reafirmat punctul de vedere inițial.
12 În aceste condiții, Comisia a decis să introducă prezenta acțiune.
13 Prin Ordonanța președintelui Curții din 14 octombrie 2008, s‑a admis intervenția AEPD în prezenta cauză în susținerea concluziilor Comisiei.
Cu privire la acțiune
Argumentele părților
14 Prezentul litigiu se referă la două concepții contrare pe care Comisia, susținută de AEPD, pe de o parte, și Republica Federală Germania, pe de altă parte, le au în privința expresiei „în condiții de independență deplină”, prevăzută la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 și asupra exercitării atribuțiilor autorităților de supraveghere în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
15 În opinia Comisiei și a AEPD, care se întemeiază pe o interpretare în sens larg a expresiei „în condiții de independență deplină”, cerința exercitării atribuțiilor autorităților de supraveghere „în condiții de independență deplină” trebuie să fie interpretată în sensul că o autoritate de supraveghere trebuie să fie protejată de orice influență, indiferent dacă aceasta este exercitată de către alte autorități sau în afara cadrului administrației. Tutela statului căreia îi sunt subordonate, în Germania, autoritățile de supraveghere a respectării reglementării în materie de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în celelalte sectoare decât cel public ar reprezenta, prin urmare, o încălcare a cerinței menționate.
16 Republica Federală Germania preconizează, în ceea ce o privește, o interpretare mai restrânsă a expresiei „în condiții de independență deplină” și susține că articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 impune o independență funcțională a autorităților de supraveghere, în sensul că aceste autorități trebuie să fie independente de celelalte sectoare decât cel public supus supravegherii acestora și că nu trebuie să fie expuse niciunei influențe externe. Or, în opinia acesteia, tutela statului exercitată în landurile germane nu constituie o asemenea influență exterioară, ci un mecanism de supraveghere internă a administrației, pus în aplicare de către autoritățile care aparțin aceluiași aparat administrativ ca autoritățile de supraveghere și care sunt obligate, la fel ca acestea din urmă, să îndeplinească obiectivele Directivei 95/46.
Aprecierea Curții
Cu privire la întinderea cerinței de independență a autorităților de supraveghere
17 Aprecierea temeiniciei prezentei acțiuni depinde de întinderea cerinței de independență cuprinse în articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 și, prin urmare, de interpretarea acestei dispoziții. În acest context, trebuie să se țină seama de modul de redactare a înseși dispoziției menționate, precum și de obiectivele și de structura Directivei 95/46.
18 În primul rând, cu privire la modul de redactare a articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46, întrucât expresia „în condiții de independență deplină” nu este definită de aceasta din urmă, trebuie să se țină seama de sensul obișnuit al acestei expresii. Cu privire la un organism public, termenul „independență” desemnează în mod obișnuit un statut care asigură organismului respectiv posibilitatea de a acționa în condiții de libertate deplină, protejat de orice instrucțiune sau de orice presiune.
19 Contrar poziției susținute de Republica Federală Germania, nimic nu arată că cerința de independență se referă exclusiv la relația dintre autoritățile de supraveghere și organismele supuse supravegherii acestora. Dimpotrivă, noțiunea „independență” este întărită de adjectivul „deplină”, ceea ce presupune o putere de decizie protejată de orice influență exterioară autorității de supraveghere, indiferent dacă aceasta este directă sau indirectă.
20 În al doilea rând, în ceea ce privește obiectivele Directivei 95/46, din considerentele (3), (7) și (8) ale acesteia reiese în special că, prin armonizarea normelor naționale care protejează persoanele fizice în ceea ce privește prelucrarea datelor cu caracter personal, această directivă urmărește în principal să asigure libera circulație între statele membre a unor asemenea date (a se vedea în acest sens Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, Rec., p. I‑4989, punctele 39 și 70), necesară instituirii și funcționării pieței interne, în sensul articolului 14 alineatul (2) CE.
21 Or, libera circulație a datelor cu caracter personal poate să aducă atingere dreptului la viață privată astfel cum este recunoscut în special de articolul 8 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale (a se vedea în acest sens Curtea Europeană a Drepturilor Omului, Hotărârea Amann împotriva Elveției din 16 februarie 2000, Recueil des arrêts et décisions, 2000‑II, §§ 69 și 80, și Hotărârea Rotaru împotriva României din 4 mai 2000, Recueil des arrêts et décisions, 2000‑V, § 43 și 46), precum și de principiile generale de drept comunitar.
22 Din acest motiv și astfel cum reiese în special din considerentul (2) și din articolul 1 din Directiva 95/46, aceasta urmărește de asemenea să nu diminueze protecția pe care o asigură normele naționale existente, ci, dimpotrivă, să garanteze în cadrul Comunității un nivel ridicat de protecție a libertăților și a drepturilor fundamentale în ceea ce privește prelucrarea datelor cu caracter personal (a se vedea în acest sens Hotărârea Österreichischer Rundfunk și alții, citată anterior, punctul 70, precum și Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia, C‑73/07, Rep., p. I‑9831, punctul 52).
23 Autoritățile de supraveghere prevăzute la articolul 28 din Directiva 95/46 sunt, așadar, gardieni ai drepturilor și libertăților fundamentale, iar instituirea acestora, în statele membre, este considerată, astfel cum arată considerentul (62) al acestei directive, un element esențial al protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.
24 Pentru a garanta această protecție, autoritățile de supraveghere trebuie să asigure un echilibru just între, pe de o parte, respectarea dreptului fundamental la viață privată și, pe de altă parte, interesele care impun o liberă circulație a datelor cu caracter personal. Pe de altă parte, în temeiul articolului 28 alineatul (6) din Directiva 95/46, diferitele autorități naționale sunt chemate să coopereze între ele și chiar, dacă este cazul, să își exercite competențele la solicitarea unui autorități dintr‑un alt stat membru.
25 Garanția de independență a autorităților naționale de supraveghere are în vedere să asigure eficiența și fiabilitatea supravegherii respectării dispozițiilor în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și trebuie să fie interpretată în lumina acestui obiectiv. Aceasta a fost instituită nu în scopul de a conferi un statut special acestor autorități în sine, precum și reprezentanților acestora, ci pentru a consolida protecția persoanelor și a organismelor care sunt avute în vedere prin deciziile acestora. Rezultă că, în exercitarea atribuțiilor, autoritățile de supraveghere trebuie să acționeze într‑un mod obiectiv și imparțial. În acest sens, acestea trebuie să fie protejate de orice influență exterioară, inclusiv aceea directă sau indirectă a statului sau a landurilor, iar nu numai de influența organismelor supravegheate.
26 În al treilea rând, în ceea ce privește structura Directivei 95/46, această directivă trebuie înțeleasă ca fiind similară articolului 286 CE și Regulamentului nr. 45/2001. Acestea din urmă privesc prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare, precum și libera circulație a acestor date. Directiva menționată urmărește și ea aceste obiective, dar cu privire la prelucrarea unor asemenea date în statele membre.
27 La fel ca organismele de supraveghere care există la nivel național, și la nivel comunitar este prevăzut un organism de supraveghere însărcinat să controleze aplicarea normelor în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, și anume AEPD. În conformitate cu articolul 44 alineatul (1) din Regulamentul nr. 45/2001, acest organism își exercită atribuțiile în deplină independență. Alineatul (2) al articolului menționat explicitează această noțiune de independență adăugând că, în îndeplinirea atribuțiilor sale, AEPD nu solicită și nici nu primește instrucțiuni din partea altcuiva.
28 Ținând seama de faptul că articolul 44 din Regulamentul nr. 45/2001 și articolul 28 din Directiva 95/46 sunt întemeiate pe același concept general, aceste două dispoziții trebuie să fie interpretate în mod omogen, astfel încât nu numai independența AEPD, ci și cea a autorităților naționale să presupună lipsa oricăror instrucțiuni referitoare la exercitarea atribuțiilor acestora.
29 Chiar și în temeiul modului de redactare a articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46, precum și al obiectivelor și economiei acestei directive, se poate ajunge la o interpretare clară a respectivului articol 28 alineatul (1) al doilea paragraf. În consecință, nu este necesară luarea în considerare a istoricului legislativ al directivei menționate sau pronunțarea asupra expunerilor, contradictorii în această privință, prezentate de Comisie și de Republica Federală Germania.
30 Ținând seama de toate cele de mai sus, articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 trebuie să fie interpretat în sensul că autoritățile de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public trebuie să beneficieze de o independență care să le permită să își exercite atribuțiile fără nicio influență exterioară. Această independență exclude nu numai orice influență exercitată de către organismele supravegheate, ci și orice ingerință și orice altă influență exterioară, indiferent dacă aceasta este directă sau indirectă, care ar putea să pună în discuție îndeplinirea de către autoritățile menționate a sarcinii acestora care constă în stabilirea unui echilibru just între protecția dreptului la viață privată și libera circulație a datelor cu caracter personal.
Cu privire la tutela statului
31 În continuare, trebuie să se examineze dacă tutela statului la care sunt supuse în Germania autoritățile de supraveghere a prelucrării datelor cu caracter personal efectuată de către celelalte sectoare decât cel public este compatibilă cu cerința de independență astfel cum a fost precizată.
32 În această privință, trebuie să se constate că tutela statului, indiferent ce natură are aceasta, permite în principiu guvernului landului în cauză sau unui organ al administrației supuse acestui guvern să influențeze în mod direct sau indirect deciziile autorităților de supraveghere sau, dacă este cazul, să anuleze sau să înlocuiască aceste decizii.
33 Desigur, trebuie să se admită a priori, astfel cum arată Republica Federală Germania, că tutela statului nu urmărește decât să garanteze o acțiune a autorităților de supraveghere care să fie în conformitate cu dispozițiile naționale și comunitare aplicabile și că aceasta nu are, așadar, ca obiectiv să oblige autoritățile menționate să urmărească eventual obiective politice contrare protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și drepturile fundamentale.
34 Totuși, nu se poate exclude ca autoritățile de tutelă, care fac parte din administrația generală și sunt supuse, așadar, guvernului landului lor, să nu fie în măsură să acționeze într‑un mod obiectiv atunci când interpretează și aplică dispozițiile referitoare la prelucrarea datelor cu caracter personal.
35 Într‑adevăr, astfel cum arată AEPD în observațiile sale, guvernul landului în cauză poate avea interesul să nu respecte dispozițiile referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal atunci când se pune problema prelucrării acestor date de către celelalte sectoare decât cel public. Acest guvern poate el însuși să fie o parte interesată de această prelucrare, dacă participă sau ar putea participa la aceasta, de exemplu în situația unui parteneriat public‑privat sau în cadrul contractelor de achiziții publice cu sectorul privat. De asemenea, acest guvern poate să aibă un interes specific dacă îi este necesar sau pur și simplu util să consulte baze de date pentru a îndeplini anumite atribuții, în special în scopuri fiscale sau represive. Același guvern poate, pe de altă parte, să aibă și tendința de a privilegia interese economice în aplicarea dispozițiilor respective de către anumite societăți importante, din punct de vedere economic, pentru land sau regiune.
36 În plus, trebuie să se sublinieze că simplul risc ca autoritățile de tutelă să poată exercita o influență politică asupra deciziilor autorităților de supraveghere este suficient pentru a împiedica exercitarea în mod independent a atribuțiilor acestora. Pe de o parte, astfel cum a arătat Comisia, ar putea exista situația unei „supuneri anticipate” a acestor autorități în ceea ce privește practica decizională a autorității de tutelă. Pe de altă parte, rolul de gardian al dreptului la viață privată pe care și‑l asumă autoritățile menționate impune ca deciziile acestora și, așadar, ele însele să fie mai presus de orice suspiciune de părtinire.
37 Având în vedere considerațiile de mai sus, trebuie să se constate că tutela statului exercitată asupra autorităților germane de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal în celelalte sectoare decât cel public nu este compatibilă cu cerința de independență astfel cum este descrisă la punctul 30 din prezenta hotărâre.
Cu privire la principiile de drept comunitar invocate de Republica Federală Germania
38 Republica Federală Germania a arătat că ar fi contrar anumitor principii de drept comunitar ca cerința de independență prevăzută la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 să fie interpretată astfel încât să oblige acest stat membru să abandoneze sistemul său testat și eficient de tutelă asupra autorităților de supraveghere în ceea ce privește prelucrarea datelor cu caracter personal în celelalte sectoare decât cel public.
39 În primul rând, în opinia statului membru menționat, în special principiul democrației s‑ar opune unei interpretări în sens larg a respectivei cerințe de independență.
40 Acest principiu, care ar fi consacrat nu numai în constituția germană, ci și la articolul 6 alineatul (1) UE, ar impune o supunere a administrației la instrucțiunile guvernului, responsabil în fața parlamentului. Astfel, intervențiile privind drepturile cetățenilor și ale întreprinderilor ar trebui să fie supuse tutelei referitoare la aspecte de legalitate a ministrului competent. Întrucât autoritățile de supraveghere în materie de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal dispun de anumite competențe de intervenție față de cetățeni și față de celelalte sectoare decât cel public, în temeiul articolului 28 alineatul (3) din Directiva 95/46, o supraveghere extinsă a legalității activităților acestora prin intermediul instrumentelor de control al legalității sau al fondului ar fi absolut necesară.
41 În această privință, trebuie să se amintească faptul că principiul democrației face parte din ordinea juridică comunitară și a fost consacrat în mod expres la articolul 6 alineatul (1) UE ca unul dintre fundamentele Uniunii Europene. În calitate de principiu comun statelor membre, acesta trebuie să fie luat în considerare cu ocazia interpretării unui act de drept derivat, cum este articolul 28 din Directiva 95/46.
42 Acest principiu nu se opune existenței unor autorități publice situate în afara administrației ierarhizate clasice și mai mult sau mai puțin independente față de guvern. Existența și condițiile de funcționare ale unor asemenea autorități sunt prevăzute, în statele membre, de lege sau chiar, în anumite state membre, de constituție, iar aceste autorități sunt supuse respectării legii, sub controlul instanțelor competente. Asemenea autorități administrative independente, astfel cum există, de altfel, în sistemul juridic german, au deseori funcții normative sau exercită atribuții care trebuie să fie protejate de influența politică, rămânând totodată supuse respectării legii, sub controlul instanțelor competente. Tocmai aceasta este situația atribuțiilor autorităților de supraveghere în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
43 Desigur, lipsa oricărei influențe parlamentare asupra acestor autorități nu poate fi concepută. Cu toate acestea, trebuie arătat că Directiva 95/46 nu impune deloc statelor membre o asemenea lipsă a oricărei influențe parlamentare.
44 Astfel, pe de o parte, persoanele care exercită atribuțiile de conducere a autorităților de supraveghere pot fi numite de parlament sau de guvern. Pe de altă parte, legiuitorul poate stabili competențele autorităților respective.
45 În plus, legiuitorul poate să impună autorităților de supraveghere obligația de a adresa parlamentului rapoarte cu privire la activitățile lor. În această privință, poate fi făcută o apropiere față de articolul 28 alineatul (5) din Directiva 95/46, care prevede că fiecare autoritate de supraveghere stabilește la intervale regulate un raport asupra activității sale, care va fi publicat.
46 Ținând seama de cele de mai sus, faptul de a conferi un statut independent de administrația generală autorităților de supraveghere în domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în celelalte sectoare decât cel public nu este, în sine, de natură să priveze aceste autorități de legitimitatea lor democratică.
47 În al doilea rând, în ceea ce privește principiul atribuirii competențelor consacrat la articolul 5 primul paragraf CE, de asemenea invocat de Republica Federală Germania, acesta obligă Comunitatea să acționeze numai în limitele competențelor conferite și ale scopurilor atribuite prin Tratatul CE.
48 Republica Federală Germania arată că, în acest context, independența autorităților de supraveghere în raport cu autoritățile administrative superioare nu poate fi impusă în temeiul articolului 100 A din Tratatul CE, pe care se întemeiază Directiva 95/46.
49 Această dispoziție abilitează legiuitorul comunitar să adopte măsuri destinate să amelioreze condițiile de instituire și de funcționare a pieței interne, aceste măsuri trebuind să aibă în mod efectiv acest obiect și să contribuie la eliminarea obstacolelor în calea libertăților economice garantate de Tratatul CE [a se vedea în acest sens, printre altele, Hotărârea din 5 octombrie 2000, Germania/Parlamentul European și Consiliul, C‑376/98, Rec., p. I‑8419, punctele 83, 84 și 95, Hotărârea din 10 decembrie 2002, British American Tobacco (Investments) și Imperial Tobacco, C‑491/01, Rec., p. I‑11453, punctul 60, precum și Hotărârea din 2 mai 2006, Parlamentul European/Consiliul, C‑436/03, Rec., p. I‑3733, punctul 38].
50 Astfel cum s‑a prezentat deja, independența autorităților de supraveghere, în sensul că acestea trebuie protejate de orice influență exterioară care ar putea să orienteze deciziile lor, este un element esențial din perspectiva obiectivelor Directivei 95/46. Independența este necesară pentru a crea în toate statele membre un nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și contribuie astfel la libera circulație a acestor date, care este necesară instituirii și funcționării pieței interne.
51 Ținând seama de cele de mai sus, o interpretare în sens larg a cerinței de independență a autorităților de supraveghere nu depășește limitele competențelor atribuite Comunității în temeiul articolului 100 A din Tratatul CE, articol ce reprezintă temeiul juridic al Directivei 95/46.
52 În al treilea rând, Republica Federală Germania invocă principiile subsidiarității și proporționalității, prevăzute la articolul 5 al doilea și al treilea paragraf CE, precum și principiul cooperării loiale dintre statele membre și instituțiile comunitare consacrat la articolul 10 CE.
53 Aceasta amintește în special alineatul (7) al Protocolului privind aplicarea principiilor subsidiarității și proporționalității, anexat Tratatului UE și Tratatului CE prin Tratatul de la Amsterdam, potrivit căruia, fără a aduce atingere legislației comunitare, trebuie respectate practicile naționale bine stabilite, precum și organizarea și funcționarea sistemelor juridice ale statelor membre.
54 Ar fi contrat acestei cerințe ca Republica Federală Germania să fie obligată să adopte un sistem străin de ordinea sa juridică și, astfel, să abandoneze un sistem de control eficient care a avut rezultate de aproape treizeci de ani și care ar fi reprezentat un model în domeniul legislației în materie de protecție a datelor, a cărui influență s‑ar fi manifestat mult dincolo de nivelul național.
55 Această argumentație nu poate fi admisă. Într‑adevăr, astfel cum s‑a prezentat la punctele 21-25, precum și la punctul 50 din prezenta hotărâre, interpretarea cerinței de independență prevăzute la articolul 28 alineatul (1) al doilea paragraf din Directiva 95/46 în sensul că aceasta se opune unei tutele a statului nu depășește ceea ce este necesar în vederea atingerii obiectivelor Tratatului CE.
56 Având în vedere totalitatea considerațiilor de mai sus, trebuie să se constate că Republica Federală Germania nu și‑a îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46, prin supunerea la tutela statului a autorităților de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal de celelalte sectoare decât cel public, din diferite landuri, transpunând astfel în mod eronat cerința potrivit căreia aceste autorități își exercită atribuțiile „în condiții de independență deplină”.
Cu privire la cheltuielile de judecată
57 Potrivit articolului 69 alineatul (2) din Regulamentul de procedură, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor de judecată. Întrucât Comisia a solicitat obligarea Republicii Federale Germania la plata cheltuielilor de judecată, iar Republica Federală Germania a căzut în pretenții, se impune obligarea acesteia la plata cheltuielilor de judecată.
58 AEPD va suporta propriile cheltuieli de judecată.
Pentru aceste motive, Curtea (Marea Cameră) declară și hotărăște:
1) Republica Federală Germania nu și‑a îndeplinit obligațiile care îi revin în temeiul articolului 28 alineatul (1) al doilea paragraf din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, prin supunerea la tutela statului a autorităților de supraveghere competente pentru supravegherea prelucrării datelor cu caracter personal de către alte organismele decât cele publice și de către întreprinderile de drept public care iau parte la concurența pe piață (öffentlich‑rechtliche Wettbewerbsunternehmen) în diferitele landuri, transpunând astfel în mod eronat cerința potrivit căreia aceste autorități își exercită atribuțiile „în condiții de independență deplină”.
2) Obligă Republica Federală Germania la plata cheltuielilor de judecată efectuate de Comisia Europeană.
3) Autoritatea Europeană pentru Protecția Datelor suportă propriile cheltuieli de judecată.
Semnături
* Limba de procedură: germana.