Una comisión de investigación creada por el parlamento de un Estado miembro en ejercicio de su facultad de control del poder ejecutivo debe respetar, en principio, el Reglamento General de Protección de Datos (RGPD). 1 Asimismo, cuando en ese Estado miembro solo haya una autoridad de control, esta es competente, en principio, para controlar el respeto del RGPD por la comisión de investigación. Por el contrario, cuando la comisión de investigación ejerza efectivamente una actividad destinada como tal a proteger la seguridad nacional, no está sujeta al RGPD ni, en consecuencia, al control de la autoridad de control.
La Cámara Baja del Parlamento austriaco constituyó una comisión de investigación encargada de aclarar la existencia de una posible influencia política sobre la Agencia Federal de Protección Constitucional y Lucha contra el Terrorismo austriaca.
2 Esta comisión de investigación oyó a un testigo en un interrogatorio retransmitido por los medios de comunicación.
El acta de esta audiencia fue publicada en el sitio de Internet del Parlamento austriaco y, a pesar de que el testigo había solicitado permanecer en el anonimato, contenía el nombre completo de este.
Al estimar que la mención de su nombre era contraria al RGPD, el testigo presentó una reclamación ante la autoridad austriaca de protección de datos. Explicó que trabajaba como agente infiltrado en el grupo de intervención de la policía encargado de la lucha contra la delincuencia en la vía pública. La autoridad de protección de datos desestimó dicha reclamación por considerar que el principio de separación de poderes impide que esta autoridad, como órgano del poder ejecutivo, controle el respeto del RGPD por parte de la comisión de investigación.
El testigo impugnó esta decisión ante los órganos jurisdiccionales austriacos.
El Tribunal Supremo de lo Contencioso-Administrativo austriaco preguntó al Tribunal de Justicia si la comisión de investigación, que forma parte del poder legislativo y lleva a cabo una investigación relativa a actividades de seguridad nacional, está sujeta al RGPD y al control de la autoridad de protección de datos.
El Tribunal de Justicia resuelve que incluso una comisión de investigación creada por el parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo debe respetar, en principio, el RGPD.
Ciertamente, el RGPD no se aplica a los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad destinada a preservar la seguridad nacional. No obstante, sin perjuicio de las comprobaciones que deba realizar el Tribunal Supremo de lo Contencioso-Administrativo austriaco, la investigación en cuestión no parece tener por objeto, como tal, proteger la seguridad nacional. Así, esta comisión de investigación debía inquirir acerca de la existencia de una posible influencia política sobre una autoridad perteneciente al poder ejecutivo, la cual tenía como misión proteger la Constitución y luchar contra el terrorismo.
Dicho esto, la seguridad nacional puede justificar limitaciones, a través de medidas legislativas, a las obligaciones y a los derechos derivados del RGPD, Sin embargo, de los autos del asunto no se desprende que la comisión de investigación en cuestión alegara que la divulgación del nombre del testigo fuera necesaria para proteger la seguridad nacional y estuviera basada en una medida legislativa. No obstante, corresponde al Tribunal Supremo de lo Contencioso-Administrativo austriaco hacer las comprobaciones necesarias a este respecto.
Dado que Austria ha optado por crear una única autoridad de control, en el sentido del RGPD, esto es, la autoridad de protección de datos, esa autoridad también es competente, en principio, para controlar el respeto de ese Reglamento por una comisión de investigación como la del presente asunto, sin que obste a ello el principio de separación de poderes. Esta solución se desprende del efecto directo del RGPD y de la primacía del Derecho de la Unión, incluso respecto del Derecho constitucional nacional.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 16 de enero de 2024 (*)
“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Artículo 16 TFUE - Reglamento (UE) 2016/679 - Artículo 2, apartado 2, letra a) - Ámbito de aplicación - Exclusiones - Actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión - Artículo 4 TUE, apartado 2 - Actividades relativas a la seguridad nacional - Comisión de investigación creada por el Parlamento de un Estado miembro - Artículos 23, apartado 1, letras a) y h), 51 y 55 del Reglamento 2016/679 - Competencia de la autoridad de control responsable de la protección de datos - Artículo 77 - Derecho a presentar una reclamación ante una autoridad de control - Efecto directo”
En el asunto C-33/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo, Austria), mediante resolución de 14 de diciembre de 2021, recibida en el Tribunal de Justicia el 14 de enero de 2022, en el procedimiento entre
Österreichische Datenschutzbehörde
contra
WK,
con intervención de:
Präsident des Nationalrates,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, la Sra. K. Jürimäe y los Sres. C. Lycourgos, E. Regan y N. Piçarra, Presidentes de Sala, y los Sres. M. Ileič y P. G. Xuereb, la Sra. L. S. Rossi (Ponente), los Sres. I. Jarukaitis, A. Kumin, N. Jääskinen y N. Wahl, la Sra. I. Ziemele y el Sr. J. Passer, Jueces;
Abogado General: Sr. M. Szpunar;
Secretario: Sr. D. Dittert, jefe de unidad;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 6 de marzo de 2023;
consideradas las observaciones presentadas:
- en nombre de la Österreichische Datenschutzbehörde, por la Sra. A. Jelinek y el Sr. M. Schmidl, en calidad de agentes;
- en nombre de WK, por el Sr. M. Sommer, Rechtsanwalt;
- en nombre del Präsident des Nationalrates, por las Sras. C. Neugebauer y R. Posnik, en calidad de agentes;
- en nombre del Gobierno austriaco, por el Sr. A. Posch y las Sras. J. Schmoll, S. Dörnhöfer y C. Leeb, en calidad de agentes;
- en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;
- en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 11 de mayo de 2023;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 16 TFUE, apartado 2, primera frase, y de los artículos 2, apartado 2, letra a), 51, apartado 1, 55, apartado 1, y 77, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, “RGPD”).
2 Esta petición se ha presentado en el contexto de un litigio entre la Österreichische Datenschutzbehörde (Autoridad Nacional de Protección de Datos, Austria; en lo sucesivo, “Datenschutzbehörde”) y WK, en relación con la desestimación de la reclamación presentada por este último contra una supuesta vulneración de su derecho a la protección de sus datos personales.
Marco jurídico
Derecho de la Unión
3 Los considerandos 16, 20 y 117 del RGPD tienen el siguiente tenor:
“(16) El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.
[]
(20) Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos.
[]
(117) El establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal. Los Estados miembros deben tener la posibilidad de establecer más de una autoridad de control, a fin de reflejar su estructura constitucional, organizativa y administrativa.”
4 El artículo 2 del RGPD, titulado “Ámbito de aplicación material”, establece:
“1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
[]
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
3. El Reglamento (CE) n.º 45/2001 [del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1),] es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento [n.º 45/2001] y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.
[]”.
5 El artículo 4 del RGPD, titulado “Definiciones”, tiene el siguiente tenor:
“A efectos del presente Reglamento se entenderá por:
[]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
[]”.
6 El artículo 23 del RGPD, titulado “Limitaciones”, dispone en su apartado 1:
“El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
a) la seguridad del Estado;
b) la defensa;
c) la seguridad pública;
d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
f) la protección de la independencia judicial y de los procedimientos judiciales;
[]
h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros;
[]”.
7 El artículo 51 del RGPD, titulado “Autoridad de control”, establece en su apartado 1:
“Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.”
8 El artículo 54 del RGPD, titulado “Normas relativas al establecimiento de la autoridad de control”, dispone en su apartado 1:
“Cada Estado miembro establecerá por ley todos los elementos indicados a continuación:
a) el establecimiento de cada autoridad de control;
[]”.
9 El artículo 55 del RGPD, titulado “Competencia”, tiene el siguiente tenor:
“1. Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.
2. Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.
3. Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.”
10 El artículo 77 del RGPD, titulado “Derecho a presentar una reclamación ante una autoridad de control”, establece:
“1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.
2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.”
Derecho austriaco
11 El artículo 53 de la Bundes-Verfassungsgesetz (Ley Constitucional Federal), republicada el 2 de enero de 1930 (BGBl. 1/1930), en su versión aplicable a los hechos del litigio principal (en lo sucesivo, “B-VG”), establece:
“(1) El Nationalrat [(Cámara Baja del Parlamento, Austria)] podrá decidir la constitución de comisiones de investigación. Las comisiones de investigación también quedarán constituidas a petición de una cuarta parte de los miembros de la Cámara Baja del Parlamento.
(2) El objeto de la investigación serán actuaciones pasadas llevadas a cabo en un ámbito del poder ejecutivo federal. Dichas actuaciones comprenden todas las actividades de los órganos federales a través de los cuales el Estado federal ejerce derechos de participación y de supervisión, independientemente del alcance de su participación. Queda excluida la revisión de la jurisprudencia.
(3) Todos los órganos del Estado federal, de los estados federados, de los municipios y agrupaciones de municipios y de otros organismos autónomos deberán, previa solicitud, presentar sus expedientes y documentos a una comisión de investigación en la medida en que estén comprendidos en el objeto de la investigación y estarán obligados a atender los requerimientos de una comisión de investigación dirigida a recabar elementos de prueba relacionados con el objeto de la investigación. Esta obligación no se aplicará a la presentación de expedientes y documentos cuya divulgación pueda comprometer las fuentes en el sentido del artículo 52a, apartado 2.
(4) La obligación prevista en el apartado 3 no se aplicará en la medida en que resulte afectado el proceso legal de formación de la voluntad del Gobierno federal o de algunos de sus miembros o la preparación inmediata de este.
[]”
12 La B-VG establece la separación de los poderes legislativo, ejecutivo y judicial. Toda inaplicación de este principio de separación requiere una base constitucional.
13 El artículo 1, apartado 1, de la Datenschutzgesetz (Ley de Protección de Datos Personales), de 17 de agosto de 1999 (BGBl. I, 165/1999), en su versión aplicable a los hechos del litigio principal (en lo sucesivo, “DSG”), dispone:
“Toda persona tiene derecho, especialmente en lo que se refiere al respeto de su vida privada y familiar, al secreto de los datos de carácter personal que le conciernan, en tanto en cuanto tenga en ello un interés legítimo. No existirán interés legítimo y, por tanto, derecho al referido secreto, cuando dichos datos sean accesibles al público o su relación con el interesado no quede acreditada.”
14 A tenor del artículo 18, apartado 1, de la DSG:
“Se crea la Datenschutzbehörde como autoridad nacional de control con arreglo al artículo 51 del [RGPD].”
15 El artículo 24, apartado 1, de la DSG tiene el siguiente tenor:
“Todo interesado tendrá derecho a presentar una reclamación ante la Datenschutzbehörde cuando considere que el tratamiento de sus datos personales infringe el RGPD o el artículo 1 o el artículo 2, primera parte principal.”
16 El artículo 35 de la DSG establece:
“(1) La Datenschutzbehörde tiene por misión garantizar la protección de datos de conformidad con las disposiciones del [RGPD] y de la presente ley federal.
(2) La Datenschutzbehörde ejerce asimismo sus facultades frente a los órganos supremos del poder ejecutivo a que se refiere el artículo 19 de la B-VG, así como frente a los órganos supremos con arreglo a lo dispuesto en el artículo 30, apartados 3 a 6, en los artículos 125 y 134, apartado 8, y en el artículo 148h, apartados 1 y 2, de la B-VG en lo que respecta a las cuestiones administrativas de su competencia.
Litigio principal y cuestiones prejudiciales
17 Mediante resolución de 20 de abril de 2018, la Cámara Baja del Parlamento constituyó, con arreglo al artículo 53 de la B-VG, una comisión de investigación encargada de aclarar la existencia de una posible influencia política sobre el Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Agencia Federal de Protección Constitucional y Lucha contra el Terrorismo, Austria; en lo sucesivo, “BVT”), a la que sucedió el 1 de diciembre de 2021 la Direktion Staatsschutz und Nachrichtendienst (Dirección de Seguridad del Estado y Servicio de Información, Austria).
18 El 19 de septiembre de 2018, esta comisión de investigación (en lo sucesivo, “comisión de investigación BVT”) oyó a WK como testigo en un interrogatorio accesible a los representantes de los medios de comunicación. A pesar de una solicitud de anonimización formulada por WK, el acta de esta audiencia, en el que se citaban su nombre y apellidos completos, fue publicada en el sitio de Internet del Parlament Österreich (Parlamento austriaco).
19 El 2 de abril de 2019, WK presentó una reclamación ante la Datenschutzbehörde en la que alegaba que la publicación, en contra de su voluntad, del acta de dicha audiencia, mencionando su identidad, era contraria a las disposiciones del RGPD y al artículo 1 de la DSG. En apoyo de su reclamación, explicó que trabajaba como agente infiltrado en el grupo de intervención de la policía encargado de la lucha contra la delincuencia en la vía pública.
20 Mediante resolución de 18 de septiembre de 2019, la Datenschutzbehörde desestimó dicha reclamación. Consideró que, si bien el RGPD no se oponía, en principio, a que las autoridades de control controlaran los órganos legislativos, estaba excluido, en virtud del principio de separación de poderes, que el poder legislativo estuviera sujeto al control del poder ejecutivo. En estas circunstancias, y en la medida en que la comisión de investigación BVT formaba parte del poder legislativo, la Datenschutzbehörde, que es un órgano del poder ejecutivo, no se consideró facultada para controlar la actividad de dicha comisión y, por lo tanto, estimó que carecía de competencia para pronunciarse sobre la reclamación de WK.
21 Mediante resolución de 23 de noviembre de 2020, el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo, Austria) estimó el recurso interpuesto por WK y anuló la resolución de la Datenschutzbehörde. Consideró, en esencia, que el RGPD es aplicable a los actos del legislador y, por ende, a los de la comisión de investigación BVT. A su juicio, el ámbito de aplicación material del RGPD, tal como se define en su artículo 2, apartado 1, está concebido de manera exhaustiva y abarca todos los tratamientos de datos, con independencia de la entidad que efectúe el tratamiento y de la función estatal a la que pertenezca dicha entidad. Por otra parte, a su entender, tampoco puede deducirse del artículo 2, apartado 2, del RGPD una excepción a la aplicabilidad de dicho Reglamento en lo que respecta a determinadas funciones del Estado, como la función legislativa, puesto que la excepción prevista en la letra a) de esta disposición debe interpretarse de manera restrictiva. Por consiguiente, según el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo), la Datenschutzbehörde era competente para pronunciarse sobre la reclamación de WK, de conformidad con el artículo 77 de dicho Reglamento.
22 El Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo, Austria), órgano jurisdiccional remitente en el presente asunto, que conoce del recurso de casación interpuesto por la Datenschutzbehörde contra dicha resolución del Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo), se pregunta, en primer lugar, si los actos de una comisión de investigación creada por el Parlamento de un Estado miembro están excluidos, con independencia incluso del objeto de la investigación, del ámbito de aplicación del RGPD en virtud del artículo 2, apartado 2, letra a), de este y del artículo 16 TFUE, apartado 2, primera frase, debido a que los trabajos de una comisión de esa índole constituyen, por naturaleza, una actividad que no está comprendida en el ámbito de aplicación del Derecho de la Unión.
23 En este contexto, dicho órgano jurisdiccional señala, en primer lugar, que, de conformidad con la jurisprudencia del Tribunal de Justicia en la materia, derivada, en particular, de la sentencia de 9 de julio de 2020, Land Hessen (C-272/19, EU:C:2020:535), no puede exigirse, a efectos de la aplicación del RGPD, que el tratamiento de datos personales de que se trate se efectúe concretamente con fines comprendidos en la esfera del Derecho de la Unión, que sea transfronterizo o que afecte concreta y directamente a la libre circulación entre los Estados miembros. Por el contrario, la aplicación de este Reglamento solo está excluida si se cumple al menos uno de los requisitos de aplicación de la excepción del artículo 2, apartado 2, letras a) a d), de dicho Reglamento.
24 A este respecto, el órgano jurisdiccional remitente recuerda que, según la jurisprudencia del Tribunal de Justicia, debe considerarse que el artículo 2, apartado 2, letra a), del RGPD, interpretado a la luz del considerando 16 de dicho Reglamento, tiene por único objeto excluir del ámbito de aplicación de dicho Reglamento los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad destinada a preservar la seguridad nacional o de una actividad que pueda incluirse en la misma categoría. Las actividades que tienen por objeto preservar la seguridad nacional a las que se refiere el artículo 2, apartado 2, letra a), del RGPD comprenden, en particular, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartados 62 a 67 y jurisprudencia citada].
25 A continuación, subraya algunas diferencias entre la comisión parlamentaria controvertida en el asunto que dio lugar a la sentencia de 9 de julio de 2020, Land Hessen (C-272/19, EU:C:2020:535), a saber, la Comisión de Peticiones del Parlamento del Land Hessen (estado federado de Hesse, Alemania), y la comisión de investigación BVT. En particular, los trabajos de esta última no solo contribuyen indirectamente a la actividad parlamentaria, sino que constituyen el núcleo de esta actividad, debido a la misión de control conferida por la B-VG a las comisiones de investigación establecidas por la Cámara Baja del Parlamento.
26 Por último, el órgano jurisdiccional remitente hace referencia al principio de separación de los poderes legislativo, ejecutivo y judicial, principio inherente tanto al Derecho de cada Estado miembro como al Derecho de la Unión. Sostiene que, ciertamente, el artículo 55, apartado 3, del RGPD se limita a excluir la competencia de las autoridades de control para controlar los tratamientos de datos personales efectuados por los órganos jurisdiccionales en el ejercicio de sus actividades jurisdiccionales y no se refiere a los tratamientos de datos efectuados en el marco del contenido esencial de la actividad parlamentaria. No obstante, este silencio podría explicarse por el hecho de que, para el legislador de la Unión, esta última actividad ya está excluida del ámbito de aplicación de dicho Reglamento en virtud de su artículo 2, apartado 2, letra a).
27 En segundo lugar, el órgano jurisdiccional remitente subraya que el objeto de la investigación de la comisión de investigación BVT se refiere a actividades de seguridad nacional que, a la luz del considerando 16 del RGPD, no están comprendidas en el ámbito de aplicación del Derecho de la Unión y, por tanto, están excluidas del ámbito de aplicación material de dicho Reglamento, de conformidad con su artículo 2, apartado 2, letra a).
28 Así pues, suponiendo que la actividad de control parlamentario de una comisión de investigación esté comprendida, en principio, en el ámbito de aplicación del Derecho de la Unión, en el sentido del artículo 16 TFUE, apartado 2, sería preciso comprobar además si sus actividades están al menos cubiertas por la excepción prevista en el artículo 2, apartado 2, letra a), del RGPD, habida cuenta de que el objeto de la investigación se refiere a actividades del poder ejecutivo que, como en el caso de autos, no están comprendidas en el ámbito de aplicación del Derecho de la Unión.
29 En tercer lugar, el órgano jurisdiccional remitente se pregunta si, habida cuenta, en particular, del principio constitucional de separación de poderes en Austria, la Datenschutzbehörde, única autoridad de control nacional en el sentido del artículo 51 del RGPD, es competente, únicamente sobre la base de este Reglamento, para pronunciarse sobre una reclamación como la presentada por WK, cuando no exista ningún fundamento constitucional en el Derecho nacional que permita determinar la existencia de tal competencia.
30 En este contexto, el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
“1) ¿Están comprendidas en el ámbito de aplicación del Derecho de la Unión a efectos del artículo 16 TFUE, apartado 2, primera frase, las actividades de una comisión de investigación constituida por el Parlamento de un Estado miembro en ejercicio de su facultad de control del poder ejecutivo, sea cual sea el objeto de la investigación, de manera que el [RGPD] es aplicable al tratamiento de los datos personales que efectúe una comisión parlamentaria de investigación de un Estado miembro?
En caso de respuesta afirmativa a la primera cuestión prejudicial:
2) ¿Están comprendidas en la excepción del artículo 2, apartado 2, letra a), del RGPD las actividades de una comisión de investigación constituida por el Parlamento de un Estado miembro en ejercicio de su facultad de control del poder ejecutivo, que tiene por objeto las actividades de una autoridad policial de seguridad del Estado y, por lo tanto, actividades relativas a la seguridad nacional en el sentido del considerando 16 del RGPD?
En el supuesto de respuesta negativa a la segunda cuestión prejudicial:
3) En caso de que (como aquí sucede) un Estado miembro haya constituido una única autoridad de control con arreglo al artículo 51, apartado 1, del RGPD, ¿se deriva directamente del [RGPD] su competencia para conocer de las reclamaciones prevista en el artículo 77, apartado 1, en relación con el artículo 55, apartado 1, del RGPD?”
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
31 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 16 TFUE, apartado 2, primera frase, y el artículo 2, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que una actividad, por la mera razón de que la ejerce una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo, se encuentra excluida del ámbito de aplicación del Derecho de la Unión y, por tanto, no le resulta aplicable dicho Reglamento.
32 El artículo 16 TFUE, que constituye la base jurídica del RGPD, establece, en su apartado 2, que el Parlamento Europeo y el Consejo de la Unión Europea establecerán las normas relativas, en particular, a la protección de las personas físicas respecto del tratamiento de datos personales por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión.
33 De conformidad con esta disposición, el artículo 2, apartado 1, del RGPD da una definición muy amplia del ámbito de aplicación material de este [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 61]. En efecto, establece que dicho Reglamento “se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.
34 Además, ese mismo artículo 2 del RGPD establece, en sus apartados 2 y 3, de manera exhaustiva, las excepciones a la norma que define el ámbito de aplicación material de este Reglamento enunciada en su apartado 1. En particular, el artículo 2, apartado 2, letra a), del Reglamento precisa que este no se aplica al tratamiento de datos personales “en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión”.
35 En este contexto, el órgano jurisdiccional remitente se pregunta si un tratamiento de datos personales que se inscribe en el marco de la actividad de una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo está comprendido, en cualquier caso y con independencia del objeto de la investigación, en la excepción prevista en esta última disposición.
36 A este respecto, procede recordar que, sin perjuicio de los supuestos mencionados en su artículo 2, apartados 2 y 3, el RGPD se aplica a los tratamientos efectuados tanto por los particulares como por las autoridades públicas (véase, en este sentido, la sentencia de 24 de marzo de 2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, apartado 25).
37 De la jurisprudencia del Tribunal de Justicia se desprende que la excepción prevista en el artículo 2, apartado 2, del RGPD debe interpretarse en sentido estricto [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 62 y jurisprudencia citada]. En este contexto, el Tribunal de Justicia ya ha tenido ocasión de precisar que el artículo 2, apartado 2, letra a), de este Reglamento, interpretado a la luz del considerando 16 de dicho Reglamento, tiene como único objeto excluir del ámbito de aplicación de este los tratamientos de datos personales efectuados por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o una actividad que pueda incluirse en la misma categoría, de modo que el mero hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que dicha excepción sea automáticamente aplicable a tal actividad [sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 66, y de 20 de octubre de 2022, Koalitsia Demokratichna Bulgaria - Obedinenie, C-306/21, EU:C:2022:813, apartado 39].
38 Esta interpretación, que ya se desprende del hecho de que el artículo 2, apartado 1, del RGPD no establece distinción alguna en función de la identidad del autor del tratamiento de que se trate, queda confirmada por el artículo 4, punto 7, de dicho Reglamento, que define el concepto de “responsable del tratamiento” como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”.
39 Precisamente al interpretar esta última disposición, el Tribunal de Justicia ha declarado que, en la medida en que determina, sola o junto con otros, los fines y los medios del tratamiento, una comisión de peticiones del Parlamento de un Estado federado de un Estado miembro debe calificarse de “responsable del tratamiento” a efectos de dicha disposición, de modo que el tratamiento de datos personales efectuado por la mencionada comisión está comprendido en el ámbito de aplicación de dicho Reglamento (sentencia de 9 de julio de 2020, Land Hessen, C-272/19, EU:C:2020:535, apartado 74).
40 El hecho, puesto de relieve por el Präsident des Nationalrates (presidente de la Cámara Baja del Parlamento, Austria), de que -contrariamente a la comisión de peticiones controvertida en el asunto que dio lugar a la sentencia de 9 de julio de 2020, Land Hessen (C-272/19, EU:C:2020:535), que solo contribuía indirectamente a la actividad parlamentaria- la comisión de investigación BVT sea un órgano cuya actividad es directa y exclusivamente de carácter parlamentario no implica que las actividades de esta última comisión estén excluidas del ámbito de aplicación del RGPD.
41 En efecto, como ha señalado en esencia el Abogado General en el punto 84 de sus conclusiones, la excepción al ámbito de aplicación del RGPD prevista en el artículo 2, apartado 2, letra a), de dicho Reglamento se refiere únicamente a categorías de actividades que, por su naturaleza, no están comprendidas en el ámbito de aplicación del Derecho de la Unión, y no a categorías de personas, dependiendo de si tienen carácter privado o público, ni, cuando el responsable del tratamiento sea una autoridad pública, al hecho de que las misiones y funciones de esta formen parte directa y exclusivamente de una prerrogativa determinada de poder público sin que dicha prerrogativa se vincule a una actividad que, en cualquier caso, quede fuera del ámbito de aplicación del Derecho de la Unión.
42 Por lo tanto, el hecho de que el tratamiento de datos personales sea efectuado por una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo no permite, como tal, apreciar que dicho tratamiento se efectúa en el marco de una actividad que no está comprendida en el ámbito de aplicación del Derecho de la Unión, en el sentido del artículo 2, apartado 2, letra a), del RGPD.
43 Habida cuenta de lo anterior, procede responder a la primera cuestión prejudicial que el artículo 16 TFUE, apartado 2, primera frase, y el artículo 2, apartado 2, letra a), del RGPD deben interpretarse en el sentido de que no cabe considerar que una actividad se encuentra fuera del ámbito de aplicación del Derecho de la Unión y, por tanto, no le resulta aplicable dicho Reglamento por la única razón de que la ejerza una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo.
Segunda cuestión prejudicial
44 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 2, apartado 2, letra a), del RGPD, en relación con el considerando 16 de este, debe interpretarse en el sentido de que no pueden considerarse actividades relativas a la seguridad nacional excluidas del ámbito de aplicación del Derecho de la Unión, en el sentido de esa disposición, las actividades de una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo, que tiene por objeto investigar las actividades de una autoridad policial de protección del Estado debido a una sospecha de influencia política sobre dicha autoridad.
45 Como se ha recordado en el apartado 37 de la presente sentencia, el artículo 2, apartado 2, letra a), del RGPD debe ser interpretado de forma estricta y tiene como único objeto excluir del ámbito de aplicación de dicho Reglamento los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad destinada a preservar la seguridad nacional o de una actividad que pueda incluirse en la misma categoría.
46 Las actividades que tienen por objeto preservar la seguridad nacional en el sentido del artículo 2, apartado 2, letra a), del RGPD comprenden, en particular, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad [sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C-439/19, EU:C:2021:504, apartado 67, y de 20 de octubre de 2022, Koalitsia Demokratichna Bulgaria - Obedinenie, C-306/21, EU:C:2022:813, apartado 40].
47 De conformidad con el artículo 4 TUE, apartado 2, tales actividades siguen siendo responsabilidad exclusiva de los Estados miembros. (véase, en este sentido, la sentencia de 15 de julio de 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, apartado 36).
48 En el presente asunto, de los autos que obran en poder del Tribunal de Justicia se desprende que la comisión de investigación BVT fue creada por la Cámara Baja del Parlamento con el fin de investigar la existencia de una eventual influencia política sobre el BVT, cuya misión consistía, durante el período sobre el que versa el litigio principal, en garantizar la protección de la Constitución y luchar contra el terrorismo.
49 El presidente de la Cámara Baja del Parlamento y el Gobierno checo consideran, en esencia, que, dado que las misiones de la BVT incluyen “actividades relativas a la seguridad nacional”, sus actividades estaban comprendidas en la excepción prevista en el artículo 2, apartado 2, letra a), del RGPD. Afirman que las actividades de una comisión de investigación del Parlamento de un Estado miembro consistentes en controlar a los órganos estatales que, como era el caso de la BVT, están encargados de garantizar la seguridad nacional también están comprendidas en el concepto de actividades relativas a la seguridad nacional. En su opinión, el objetivo de la actividad de control de tal comisión de investigación es comprobar que las autoridades controladas garantizan correctamente la seguridad nacional.
50 A este respecto, es importante señalar que, si bien corresponde únicamente a los Estados miembros, con arreglo al artículo 4 TUE, apartado 2, determinar sus intereses esenciales de seguridad y adoptar las medidas adecuadas para garantizar su seguridad interior y exterior, el mero hecho de que se haya adoptado una medida nacional con el fin de proteger la seguridad nacional no puede dar lugar a la inaplicabilidad del Derecho de la Unión ni dispensar a los Estados miembros de la necesaria observancia de dicho Derecho (véase, en este sentido, la sentencia de 15 de julio de 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, apartado 40 y jurisprudencia citada).
51 Pues bien, como se ha recordado en el apartado 41 de la presente sentencia, la excepción prevista en el artículo 2, apartado 2, letra a), del RGPD se refiere únicamente a categorías de actividades que, por su naturaleza, no están comprendidas en el ámbito de aplicación del Derecho de la Unión, y no a categorías de personas, dependiendo de si tienen carácter privado o público, ni, cuando el responsable del tratamiento sea una autoridad pública, al hecho de que las misiones y funciones de esta formen parte directa y exclusivamente de una prerrogativa determinada de poder público sin que dicha prerrogativa se vincule a una actividad que, en cualquier caso, quede fuera del ámbito de aplicación del Derecho de la Unión. A este respecto, el hecho de que el responsable del tratamiento sea una autoridad pública cuya actividad principal es garantizar la seguridad nacional no basta, como tal, para excluir del ámbito de aplicación del RGPD los tratamientos de datos personales efectuados por dicha autoridad en el marco de las demás actividades que lleva a cabo.
52 En el presente asunto, de los autos que obran en poder del Tribunal de Justicia se desprende que la comisión de investigación controvertida en el litigio principal tenía por objeto proceder a un control político de la actividad de la BVT debido a una sospecha de influencia política sobre dicho organismo, sin que ese control parezca constituir, como tal, una actividad dirigida a preservar la seguridad nacional o que pueda incluirse en la misma categoría, en el sentido de la jurisprudencia recordada en el apartado 45 de la presente sentencia. De ello se deduce que, sin perjuicio de que el órgano jurisdiccional remitente lo compruebe, esta actividad no está excluida del ámbito de aplicación del RGPD en virtud del artículo 2, apartado 2, letra a), de este.
53 Dicho esto, una comisión parlamentaria de investigación como aquella sobre la que versa el litigio principal puede, en el marco de sus trabajos, tener acceso a información, en particular a datos personales, que, por razones de seguridad nacional, deben gozar de una protección especial, consistente, por ejemplo, en limitar la información que debe facilitarse a las personas afectadas en cuanto a la recogida de esos datos o incluso el acceso de esas mismas personas a dichos datos.
54 A este respecto, el artículo 23 del RGPD establece que podrán establecerse limitaciones, a través de medidas legislativas, a las obligaciones y derechos previstos en los artículos 5, 12 a 22 y 34 del RGPD para garantizar, en particular, la seguridad nacional o una misión de control relacionada con el ejercicio de la autoridad pública, en particular en el marco de la seguridad nacional.
55 Así pues, la exigencia de salvaguardia de la seguridad nacional puede justificar limitaciones, a través de medidas legislativas, a las obligaciones y a los derechos derivados del RGPD, en particular en lo que respecta a la recogida de datos personales, a la información de los interesados y a su acceso a dichos datos o a la divulgación de estos, sin el consentimiento de los interesados, a personas distintas del responsable del tratamiento, siempre que tales limitaciones respeten en lo esencial los derechos y libertades fundamentales de los interesados y constituyan una medida necesaria y proporcionada en una sociedad democrática.
56 En el presente asunto, sin embargo, de los autos que obran en poder del Tribunal de Justicia no se desprende que la comisión de investigación BVT haya alegado que la divulgación de los datos personales de WK, que tuvo lugar con ocasión de la publicación en el sitio de Internet del Parlamento austriaco del acta de su audiencia ante dicha comisión, y sin el consentimiento de dicha persona, fuera necesaria para proteger la seguridad nacional y estuviera basada en una medida legislativa nacional prevista a tal efecto. No obstante, corresponde al órgano jurisdiccional remitente, en su caso, hacer las comprobaciones necesarias a este respecto.
57 Habida cuenta de lo anterior, procede responder a la segunda cuestión prejudicial que el artículo 2, apartado 2, letra a), del RGPD, en relación con el considerando 16 de este, debe interpretarse en el sentido de que las actividades de una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo que tiene por objeto investigar las actividades de una autoridad policial de protección del Estado, debido a una sospecha de influencia política sobre dicha autoridad, no pueden considerarse, como tales, actividades relativas a la seguridad nacional excluidas del ámbito de aplicación del Derecho de la Unión, en el sentido de esa disposición.
Tercera cuestión prejudicial
58 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 77, apartado 1, y 55, apartado 1, del RGPD deben interpretarse en el sentido de que, cuando un Estado miembro ha optado, de conformidad con el artículo 51, apartado 1, de dicho Reglamento, por crear una única autoridad de control, sin atribuirle, no obstante, la competencia para supervisar la aplicación del RGPD por una comisión de investigación creada por el Parlamento de ese Estado miembro en el ejercicio de su facultad de control del poder ejecutivo, estas disposiciones confieren directamente a esa autoridad competencia para conocer de las reclamaciones relativas a tratamientos de datos personales efectuados por dicha comisión de investigación.
59 Para responder a esta cuestión, procede recordar que, a tenor del artículo 288 TFUE, párrafo segundo, el Reglamento es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
60 Según reiterada jurisprudencia, en virtud de esta disposición y en razón de la propia índole de los Reglamentos y de su función en el sistema de fuentes del Derecho de la Unión, sus disposiciones tienen, por regla general, efecto directo en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación (sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483, apartado 110 y jurisprudencia citada).
61 Pues bien, por un lado, según el artículo 77, apartado 1, del RGPD, todo interesado tiene derecho a presentar una reclamación ante una autoridad de control, si considera que el tratamiento de datos personales que le conciernen infringe dicho Reglamento. Por otro lado, con arreglo a lo dispuesto en el artículo 55, apartado 1, de dicho Reglamento, cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con ese Reglamento en el territorio de su Estado miembro.
62 Del tenor de estas disposiciones se desprende que, como ha señalado en esencia el Abogado General en el punto 132 de sus conclusiones, los artículos 77, apartado 1, y 55, apartado 1, del RGPD no requieren, para su ejecución, la adopción de medidas nacionales de aplicación y son lo suficientemente claros, precisos e incondicionales como para tener efecto directo.
63 De ello se deduce que, si bien el RGPD, de conformidad con su artículo 51, apartado 1, reconoció un margen de apreciación a los Estados miembros en cuanto al número de autoridades de control que deben establecerse, fijó el alcance de la competencia que, con independencia de su número, deben tener esas autoridades para vigilar la aplicación de dicho Reglamento.
64 Así, como ha señalado, en esencia, el Abogado General en el punto 137 de sus conclusiones, en el supuesto de que un Estado miembro opte por crear una única autoridad de control, esta estará necesariamente dotada de todas las competencias que el RGPD confiere a las autoridades de control.
65 Cualquier otra interpretación menoscabaría el efecto útil de los artículos 55, apartado 1, y 77, apartado 1, del RGPD y podría debilitar el efecto útil de todas las demás disposiciones de dicho Reglamento que pueden verse afectadas por una reclamación.
66 Por lo demás, cuando el legislador de la Unión ha querido limitar la competencia de las autoridades de control en materia de control de las operaciones de tratamiento efectuadas por autoridades públicas, lo ha hecho expresamente, como demuestra el artículo 55, apartado 3, del RGPD, a tenor del cual dichas autoridades no son competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.
67 La Datenschutzbehörde, el presidente de la Cámara Baja del Parlamento y el Gobierno austriaco señalan que las disposiciones de Derecho austriaco de rango constitucional prohíben al poder ejecutivo ejercer cualquier control sobre el poder legislativo. Por lo tanto, a su juicio, estas disposiciones excluyen la posibilidad de que la Datenschutzbehörde, que depende del poder ejecutivo, supervise la aplicación del RGPD por la comisión de investigación BVT, que es un órgano que forma parte del poder legislativo.
68 Sin embargo, en el caso de autos, precisamente dentro del respeto de la estructura constitucional de los Estados miembros, el artículo 51, apartado 1, del RGPD se limita a exigir a los Estados miembros que establezcan al menos una autoridad de control, ofreciéndoles al mismo tiempo la posibilidad de establecer varias. Por otra parte, el considerando 117 de dicho Reglamento precisa que los Estados miembros deben tener la posibilidad de establecer más de una autoridad de control, a fin de reflejar su estructura constitucional, organizativa y administrativa.
69 De este modo, el artículo 51, apartado 1, del RGPD reconoce a cada Estado miembro un margen de apreciación que le permite establecer tantas autoridades de control como lo requieran, en particular, las exigencias relativas a su estructura constitucional.
70 Asimismo, es preciso recordar que la invocación por un Estado miembro de disposiciones de Derecho nacional no puede afectar a la unidad y a la eficacia del Derecho de la Unión. En efecto, los efectos que se asocian al principio de primacía del Derecho de la Unión se imponen a todos los órganos de un Estado miembro, sin que puedan oponerse a él, en particular, las disposiciones internas, incluidas las de rango constitucional [sentencia de 22 de febrero de 2022, RS (Efectos de las sentencias de un tribunal constitucional), C-430/21, EU:C:2022:99, apartado 51 y jurisprudencia citada].
71 Dado que, en el marco de su margen de apreciación, un Estado miembro ha optado por establecer una única autoridad de control, este no puede invocar disposiciones de Derecho nacional, aunque sean de rango constitucional, para excluir los tratamientos de datos personales comprendidos en el ámbito de aplicación del RGPD de la vigilancia de dicha autoridad.
72 Habida cuenta de lo anterior, procede responder a la tercera cuestión prejudicial que los artículos 77, apartado 1, y 55, apartado 1, del RGPD deben interpretarse en el sentido de que, cuando un Estado miembro ha optado, de conformidad con el artículo 51, apartado 1, de dicho Reglamento, por crear una única autoridad de control, sin atribuirle, no obstante, la competencia para supervisar la aplicación de dicho Reglamento por una comisión de investigación creada por el Parlamento de ese Estado miembro en el ejercicio de su facultad de control del poder ejecutivo, estas disposiciones confieren directamente a esa autoridad la competencia para conocer de las reclamaciones relativas a tratamientos de datos personales efectuados por dicha comisión de investigación.
Costas
73 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artículo 16 TFUE, apartado 2, primera frase, y el artículo 2, apartado 2, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),
deben interpretarse en el sentido de que
no cabe considerar que una actividad se encuentra fuera del ámbito de aplicación del Derecho de la Unión y, por tanto, no le resulta aplicable dicho Reglamento por la única razón de que la ejerza una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo.
2) El artículo 2, apartado 2, letra a), del Reglamento 2016/679, en relación con el considerando 16 de este,
deben interpretarse en el sentido de que
las actividades de una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo que tiene por objeto investigar las actividades de una autoridad policial de protección del Estado, debido a una sospecha de influencia política sobre dicha autoridad, no pueden considerarse, como tales, actividades relativas a la seguridad nacional excluidas del ámbito de aplicación del Derecho de la Unión, en el sentido de esa disposición.
3) Los artículos 77, apartado 1, y 55, apartado 1, del Reglamento 2016/679
deben interpretarse en el sentido de que
cuando un Estado miembro ha optado, de conformidad con el artículo 51, apartado 1, de dicho Reglamento, por crear una única autoridad de control, sin atribuirle, no obstante, la competencia para supervisar la aplicación de dicho Reglamento por una comisión de investigación creada por el Parlamento de ese Estado miembro en el ejercicio de su facultad de control del poder ejecutivo, estas disposiciones confieren directamente a esa autoridad la competencia para conocer de las reclamaciones relativas a tratamientos de datos personales efectuados por dicha comisión de investigación.
