62023CJ0313

Este documento es un extracto de la web EUR-Lex

EUROPA
EUR-Lex Inicio
EUR-Lex - 62023CJ0313 - ES

Ayuda

Consejos de búsqueda

¿Necesita más opciones de búsqueda? Utilice la Búsqueda avanzada

Documento 62023CJ0313

Ayuda

Sentencia del Tribunal de Justicia (Sala Primera) de 30 de abril de 2025.
Inspektorat kam Visshia sadeben savet.
Peticiones de decisión prejudicial planteadas por el Sofiyski rayonen sad.
Procedimiento prejudicial — Estado de Derecho — Independencia judicial — Artículo 19 TUE, apartado 1, párrafo segundo — Tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión — Órgano judicial competente para proponer la apertura de procedimientos disciplinarios sancionadores contra los jueces y fiscales — Mantenimiento de los miembros del órgano judicial en el cargo tras la finalización de sus mandatos — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Seguridad de los datos — Acceso de un órgano judicial a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias — Autorización judicial para la comunicación de datos protegidos por el secreto bancario — Órgano jurisdiccional que autoriza la comunicación de los datos protegidos por el secreto bancario — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Artículo 51 — Concepto de “autoridad de control”.
Asuntos acumulados C-313/23 y C-316/23.

Identificador Europeo de Jurisprudencia: ECLI:EU:C:2025:303

Lengua de procedimiento

HTML

PDF

Documento publicado en la Recopilación electrónica de la Jurisprudencia, con carácter oficial.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 30 de abril de 2025 ( *1 )

«Procedimiento prejudicial — Estado de Derecho — Independencia judicial — Artículo 19 TUE, apartado 1, párrafo segundo — Tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión — Órgano judicial competente para proponer la apertura de procedimientos disciplinarios sancionadores contra los jueces y fiscales — Mantenimiento de los miembros del órgano judicial en el cargo tras la finalización de sus mandatos — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Seguridad de los datos — Acceso de un órgano judicial a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias — Autorización judicial para la comunicación de datos protegidos por el secreto bancario — Órgano jurisdiccional que autoriza la comunicación de los datos protegidos por el secreto bancario — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Artículo 51 — Concepto de “autoridad de control”»

En los asuntos acumulados C‑313/23, C‑316/23 y C‑332/23,

que tienen por objeto tres peticiones de decisión prejudicial planteadas, con arreglo al artículo 267 TFUE, por el Sofiyski rayonen sad (Tribunal de Primera Instancia de Sofía, Bulgaria), mediante resoluciones de 22 de mayo de 2023 (C‑313/23 y C‑332/23) y de 23 de mayo de 2023 (C‑316/23), recibidas en el Tribunal de Justicia el 22 de mayo de 2023 (C‑313/23), el 23 de mayo de 2023 (C‑316/23) y el 25 de mayo de 2023 (C‑332/23), en los procedimientos incoados por

Inspektorat kam Visshia sadeben savet,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, en funciones de Presidente de la Sala Primera, el Sr. T. von Danwitz (Ponente), Vicepresidente del Tribunal de Justicia, y el Sr. A. Kumin y las Sras. I. Ziemele y O. Spineanu-Matei, Jueces;

Abogado General: Sr. P. Pikamäe;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

–	en nombre de la Inspektorat kam Visshia sadeben savet, por la Sra. T. Tochkova, en calidad de agente;

–	en nombre del Gobierno búlgaro, por las Sras. T. Mitova y S. Ruseva y por el Sr. R. Stoyanov, en calidad de agentes;

–	en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

–	en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. C. Georgieva y los Sres. H. Kranenborg y P. Van Nuffel, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 4 de octubre de 2024;

dicta la siguiente

Sentencia

Las peticiones de decisión prejudicial tienen por objeto la interpretación del artículo 19 TUE, apartado 1, párrafo segundo, y de los artículos 2, apartado 2, letra a), 4, punto 7, 32, apartado 1, letra b), 33, apartado 3, letra d), 51, 57, apartado 1, letra b), y 79, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»), en relación con el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

Estas peticiones se han presentado en el contexto de una serie de procedimientos incoados por la Inspektorat kam Visshia sadeben savet (Inspección del Consejo Superior del Poder Judicial, Bulgaria; en lo sucesivo, «Inspección») con el objeto de que se ordene la divulgación a la Inspección de los datos relativos a las cuentas bancarias de varios jueces y fiscales y de los miembros de sus familias.

Marco jurídico

Derecho de la Unión

Los considerandos 16 y 20 del RGPD señalan:

«(16)

El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito [del] Derecho de la Unión, como las actividades relativas a la seguridad nacional. […]

[…]

(20)

Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos.»

El artículo 2 de este Reglamento, titulado «Ámbito de aplicación material», establece en sus apartados 1 y 2:

«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a)	en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

[…]».

El artículo 4 de dicho Reglamento, titulado «Definiciones», dispone:

«A efectos del presente Reglamento se entenderá por:

[…]

“tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

“responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[…]».

El artículo 12 del RGPD, titulado «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», dispone en su apartado 1:

«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo […]. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. […]»

El artículo 14 de este Reglamento, titulado «Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado», dispone en sus apartados 1 y 2:

«1. Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitará la siguiente información:

a)	la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)	los datos de contacto del delegado de protección de datos, en su caso;

c)	los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d)	las categorías de datos personales de que se trate;

e)	los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)	en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional […].

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a)	el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b)	cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero;

c)	la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

d)	cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;

e)	el derecho a presentar una reclamación ante una autoridad de control;

f)	la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

g)	la existencia de decisiones automatizadas […]».

El artículo 21 del RGPD, titulado «Derecho de oposición», establece en su apartado 1:

«El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.»

El artículo 32 de este Reglamento, titulado «Seguridad del tratamiento», establece en su apartado 1:

«Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

[…]

b)	la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

[…]».

El artículo 33 de dicho Reglamento, titulado «Notificación de una violación de la seguridad de los datos personales a la autoridad de control», preceptúa en sus apartados 1 y 3:

«1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

[…]

3. La notificación contemplada en el apartado 1 deberá, como mínimo:

[…]

d)	describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.»

11	El capítulo VI del RGPD, titulado «Autoridades de control independientes», engloba los artículos 51 a 59.

El artículo 51 de este Reglamento, titulado «Autoridad de control», tiene el siguiente tenor:

«1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión [Europea].

[…]

3. Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité [Europeo de Protección de Datos], y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63.

4. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que afecte a dichas disposiciones.»

El artículo 55 de este Reglamento, titulado «Competencia», establece:

«1. Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.

2. Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad de control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.

3. Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.»

El artículo 57 del RGPD, titulado «Funciones», establece en su apartado 1:

«Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

a)	controlar la aplicación del presente Reglamento y hacerlo aplicar;

[…]

h)	llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

[…]».

15	El artículo 58 del RGPD, titulado «Poderes», enumera, en su apartado 1, los poderes de investigación de que dispone cada autoridad de control y, en su apartado 2, los poderes correctivos de que la misma dispone.

16	El capítulo VIII del RGPD, titulado «Recursos, responsabilidad y sanciones», comprende los artículos 77 a 84.

El artículo 77 de este Reglamento, titulado «Derecho a presentar una reclamación ante una autoridad de control», establece lo siguiente en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»

El artículo 78 del mencionado Reglamento, que lleva por título «Derecho a la tutela judicial efectiva contra una autoridad de control», indica en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.»

El artículo 79 del citado Reglamento, que se titula «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», establece en su apartado 1:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»

Derecho búlgaro

Constitución búlgara

El artículo 117, apartado 2, de la Konstitutsia na Republika Bulgaria (Constitución de la República de Bulgaria), en su versión aplicable a los hechos de los litigios principales (en lo sucesivo, «Constitución búlgara»), dispone:

«El poder judicial es independiente. En el ejercicio de sus funciones, los jueces, los jurados, los fiscales y los jueces de instrucción solo están sometidos a la ley.»

El artículo 132 bis de la Constitución búlgara, en su versión aplicable en la fecha de la presentación de estas peticiones de decisión prejudicial, establece:

«(1) Se creará en el Consejo Superior del Poder Judicial una inspección compuesta por un inspector general y diez inspectores.

(2) El inspector general será elegido por la Asamblea Nacional por mayoría de dos tercios de los diputados, por un período de cinco años.

(3) Los inspectores serán elegidos por la Asamblea Nacional por un período de cuatro años, de conformidad con el procedimiento establecido en el apartado 2.

(4) El inspector general y los inspectores podrán ser reelegidos, si bien no podrán serlo para dos mandatos consecutivos.

[…]

(6) La Inspección supervisa las actividades de las autoridades judiciales, sin perjuicio de la independencia de los jueces, jurados, fiscales y jueces de instrucción en el ejercicio de sus funciones. La [Inspección] lleva a cabo controles sobre la integridad y los conflictos de intereses de los jueces, fiscales y jueces de instrucción, sobre sus declaraciones de bienes y sobre la identificación de las acciones que dañan la reputación del poder judicial y las relacionadas con la vulneración de la independencia de los jueces, fiscales y jueces de instrucción. En el ejercicio de sus funciones, el inspector general y los inspectores serán independientes y solo estarán sujetos a la ley.

(7) La Inspección actuará de oficio, a iniciativa de los ciudadanos, de las personas jurídicas y de las autoridades del Estado, incluidos los jueces, fiscales y jueces de instrucción.

[…]

(10) Las condiciones y el procedimiento aplicables a la elección y cese del inspector general y de los inspectores, así como la organización y el funcionamiento de la Inspección, se establecerán por ley.»

Ley del Poder Judicial

El artículo 46 de la Zakon za sadebnata vlast (Ley del Poder Judicial) (DV n.o 64, de 7 de agosto de 2007), en su versión aplicable a los hechos de los litigios principales, establece:

«La Asamblea Nacional elegirá al inspector general y a cada uno de los inspectores individualmente por mayoría de dos tercios de los diputados.»

El artículo 54, apartados 1 y 2, de esta Ley dispone:

«(1) La Inspección:

[…]

2.	supervisa la organización de la apertura y del desarrollo de los procedimientos judiciales, de los procedimientos de instrucción por parte de la fiscalía y de las investigaciones, así como la conclusión de los asuntos en los plazos fijados;

[…]

6.	propone sanciones disciplinarias contra jueces, fiscales, jueces de instrucción y responsables administrativos del poder judicial;

7.	emite advertencias, sugerencias e informes a otras autoridades estatales, incluidas las autoridades del sistema judicial;

lleva a cabo controles sobre la integridad y los conflictos de intereses de los jueces, fiscales y jueces de instrucción, sobre sus declaraciones de bienes y sobre la identificación de las acciones que dañan la reputación del poder judicial y las relacionadas con la vulneración de la independencia de los jueces, fiscales y jueces de instrucción;

[…]

15.	controla el tratamiento de los datos personales en los casos contemplados en el artículo 17, apartado 1, de la Ley de Protección de Datos Personales;

[…]

(2) Al llevar a cabo la supervisión a que se refiere el apartado 1, punto 15, la Inspección desempeñará las funciones y ejercerá las facultades previstas en la Ley de Protección de Datos Personales.»

El artículo 175 bis, apartado 1, de la citada Ley dispone:

«Los jueces, fiscales y jueces instructores deberán presentar las siguientes declaraciones a la [Inspección]:

1.	una declaración de bienes e intereses en dos partes;

2.	una declaración de cambio de circunstancias, en relación con la declaración a que se refiere el punto 1, de la parte relativa a los intereses contemplados en el artículo 175 ter, apartado 1, puntos 11 a 13, y al origen de los fondos en caso de amortización anticipada de deudas y préstamos.»

25	El artículo 175 ter, apartado 4, de la Ley del Poder Judicial tiene el siguiente tenor: «Los jueces, fiscales y jueces de instrucción deberán declarar el patrimonio y los ingresos de su cónyuge o de las personas con las que convivan de hecho en calidad de cónyuge y de sus hijos menores de edad.»

El artículo 175 quinquies de esta Ley dispone:

«(1) La [Inspección] llevará y conservará registros públicos electrónicos:

1.	de las declaraciones con arreglo al artículo 175 bis, apartado 1, puntos 1 y 2;

2.	de las resoluciones sancionadoras administrativas que hayan adquirido firmeza.

(2) La [Inspección] incluirá en el registro público a que se refiere el apartado 1, punto 1, las declaraciones de bienes e intereses, así como las declaraciones relativas a cambios en las circunstancias declaradas. La inclusión será efectuada exclusivamente por agentes autorizados por el inspector general.

[…]

(4) Toda persona tendrá derecho a acceder a los datos obrantes en el registro público.

(5) El acceso se garantizará a través del sitio de Internet de la [Inspección], sin perjuicio de las exigencias de protección de los datos personales.»

El artículo 175 sexies, apartados 1 y 6, de dicha Ley dispone:

«(1) En los seis meses siguientes a la expiración del plazo de presentación de la declaración, la [Inspección] comprobará la veracidad de los datos facilitados. […]

[…]

(6) La [Inspección] podrá obtener información de los sistemas de información a que se refieren los artículos 56 y 56 bis de la Ley de Entidades de Crédito. El inspector general y los inspectores de la [Inspección] podrán solicitar la comunicación de datos protegidos por el secreto bancario al Rayonen sad [(Tribunal de Primera Instancia)] de la circunscripción en la que tenga su domicilio el interesado, a menos que se haya dado el consentimiento con arreglo al artículo 62, apartado 5, punto 1, de la Ley de Entidades de Crédito. El consentimiento se dará ante la [Inspección] por escrito, sin certificación notarial de la firma, en un formulario aprobado por el inspector general.»

28	El artículo 307, apartado 2, de la Ley del Poder Judicial dispone: «Constituye falta disciplinaria el incumplimiento culposo de las obligaciones profesionales y el menoscabo de la dignidad del poder judicial.»

El artículo 311 de la Ley del Poder Judicial es del siguiente tenor:

«Corresponderá imponer la sanción disciplinaria:

1.	al responsable administrativo, en el caso de la sanción contemplada en el artículo 308, apartado 1, punto 1;

2.	a la sala pertinente del Consejo Superior del Poder Judicial (la sala de jueces, de los fiscales o de los jueces instructores), en el caso de las sanciones contempladas en el artículo 308, apartado 1, puntos 2, 3, 4 y 6;

[…]

4.	al pleno del Consejo Superior del Poder Judicial, en el caso de las sanciones contempladas en el artículo 308, apartado 2, que se impongan a los miembros electos del Consejo Superior del Poder Judicial.»

El artículo 312, apartado 1, de la citada Ley dispone:

«La propuesta de incoación de procedimientos disciplinarios sancionadores contra los jueces, los fiscales, los jueces de instrucción, los responsables administrativos y los responsables administrativos adjuntos corresponde:

[…]

3. a la [Inspección];

[…]».

El artículo 323, apartado 1, de dicha Ley establece:

«La resolución del pleno o de la sala correspondiente del Consejo Superior del Poder Judicial podrá ser impugnada por la persona a la que se haya impuesto la sanción disciplinaria, y, cuando no se haya impuesto sanción disciplinaria alguna o sea menos severa que la propuesta, por el autor de la propuesta, ante el Varhoven administrativen sad [(Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria)] en un plazo de catorce días desde la notificación de la resolución.»

Ley de Entidades de Crédito

El artículo 62 de la Zakon za kreditnite institutsii (Ley de Entidades de Crédito) (DV n.o 59, de 21 de julio de 2006), en su versión aplicable a los hechos de los litigios principales, establece:

«(1) Se prohíbe a los empleados bancarios, a los miembros de los órganos de gestión y supervisión de los bancos, a los agentes del [Banco Nacional de Bulgaria (BNB)], a los empleados y a los miembros del consejo de administración del Fondo de Garantía de Depósitos, a los liquidadores, a los administradores provisionales y a los síndicos, así como a cualquier otra persona que trabaje para un banco, revelar o utilizar en su propio beneficio o en beneficio de los miembros de su familia información que constituya secreto bancario.

(2) El secreto bancario estará constituido por los hechos y las circunstancias que afecten a los saldos y a las operaciones de las cuentas y depósitos de los clientes del banco.

[…]

(5) Salvo en el caso del BNB y a los efectos y en las condiciones del artículo 56, el banco solo podrá facilitar la información a que se refiere el apartado 2 relativa a clientes individuales:

1.	con su consentimiento;

2.	en virtud de una resolución judicial adoptada de conformidad con los apartados 6 y 7;

3.	por orden de un órgano jurisdiccional, cuando sea necesario para aclarar las circunstancias de un asunto de que conozca;

4.	en las situaciones a que se refiere el apartado 12, en el caso de un banco sometido a un procedimiento de insolvencia;

5.	en el marco de un procedimiento arbitral internacional en curso en el que la República de Bulgaria sea parte.

(6) El órgano jurisdiccional también podrá ordenar la comunicación de la información mencionada en el apartado 2 a solicitud:

[…]

12. del inspector general o de un inspector de la [Inspección].

(7) El juez del Rayonen sad [(Tribunal de Primera Instancia)], en sesión a puerta cerrada, responderá mediante resolución motivada a la solicitud mencionada en el apartado 6 en un plazo no superior a veinticuatro horas desde la recepción de la solicitud y precisará el período al que se refiere la información mencionada en el apartado 1. La resolución adoptada por el tribunal no es recurrible.

[…]»

Ley de Protección de Datos Personales

El artículo 6, apartado 1, de la Zakon za zashtita na lichnite danni (Ley de Protección de Datos Personales) (DV n.o 1, de 4 de enero de 2002), en su versión aplicable a los hechos de los litigios principales, tiene el siguiente tenor:

«La Komisia za zashtita na lichnite danni [(Comisión de Protección de Datos Personales, Bulgaria)] es una autoridad permanente e independiente de control que garantiza la protección de las personas en lo que respecta al tratamiento de los datos personales y al acceso a ellos, así como el control del cumplimiento del [RGPD] y de la presente Ley».

El artículo 17, apartados 1 y 2, de esta Ley dispone:

«(1) La [Inspección] supervisará y controlará el cumplimiento del [RGPD], de la presente Ley y de los actos en materia de protección de datos personales cuando los datos personales sean tratados por:

1.	el órgano jurisdiccional en el ejercicio de sus funciones como autoridad del poder judicial, y

2.	la fiscalía y las autoridades de investigación en el ejercicio de sus funciones como autoridad del poder judicial con fines de prevención, detección, instrucción o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

(2) Las modalidades de ejecución de la actividad a que se hace referencia en el apartado 1, incluida la realización de controles y el examen de los procedimientos ante la Inspección, se establecerán en el reglamento contemplado en el artículo 55, apartado 8, [de la Ley del Poder Judicial].»

El artículo 17 bis, apartado 1, de la Ley de Protección de Datos Personales dispone:

«Al controlar el tratamiento de datos personales por un órgano jurisdiccional en el ejercicio de sus funciones como autoridad judicial, salvo en los casos de tratamiento de datos personales a los efectos del artículo 42, apartado 1, la Inspección:

1.	desempeñará las funciones relacionadas en el artículo 57, apartados 1, letras a) a i), l), u) y v), 2 y 3 del [RGPD];

2.	ejercerá las facultades conferidas por el artículo 58, apartados 1, letras a), b), d), e) y f), 2, letras a) a g), i) y j), y 3, letras a), b) y c), del [RGPD];

3.	aplicará la lista establecida por la [Comisión de Protección de Datos Personales], de conformidad con el artículo 35, apartado 4, del [RGPD], leído en relación con la exigencia de una evaluación de impacto relativa a la protección de datos;

4.	ejercerá las oportunas acciones ante los tribunales en caso de infracción del [RGPD].»

El artículo 39 de la Ley de Protección de Datos Personales establece:

«(1) En caso de vulneración de los derechos que le confieren el [RGPD] y la presente Ley, el interesado podrá impugnar los actos y acciones del responsable y del encargado del tratamiento ante un órgano jurisdiccional de conformidad con el procedimiento establecido en el Código de Procedimiento Administrativo.

[…]

(4) El interesado no podrá ejercer acciones ante los tribunales cuando esté pendiente un procedimiento ante la [Comisión de Protección de Datos Personales] por la misma infracción o cuando se haya interpuesto recurso frente a una resolución de [esta Comisión] relativa a la misma infracción y no haya recaído resolución judicial firme. A petición del interesado o del órgano jurisdiccional, [dicha Comisión] certificará la inexistencia de procedimiento pendiente ante ella en el mismo litigio.

(5) El apartado 4 se aplicará también en caso de procedimiento pendiente ante la Inspección.»

Litigios principales y cuestiones prejudiciales

El 15 de mayo de 2023, tras expirar el plazo para la presentación de las declaraciones de bienes anuales de los jueces y fiscales y de sus familias correspondientes al año 2022, establecido en los artículos 175 bis y 175 ter de la Ley del Poder Judicial, la Inspección presentó ante el Sofiyski rayonen sad (Tribunal de Primera Instancia de Sofía, Bulgaria), que es el órgano jurisdiccional remitente, una solicitud al objeto de que se le comunicaran los datos de las cuentas bancarias de diversos jueces y fiscales y de los miembros de sus familias, de conformidad con el artículo 62, apartado 6, punto 12, de la Ley de Entidades de Crédito.

El órgano jurisdiccional remitente señala, en primer lugar, que debe comprobar si la Inspección tiene competencia para presentarle tal solicitud. A este respecto, precisa que la Inspección, que se creó mediante una enmienda a la Constitución búlgara adoptada en 2007, tiene el cometido de investigar acerca de las influencias indebidas que se ejerzan sobre los jueces y fiscales, de comprobar las declaraciones de bienes de estos y de detectar posibles conflictos de intereses y ataques a la independencia del poder judicial.

El órgano jurisdiccional remitente indica que la Inspección se compone de un inspector general y diez inspectores elegidos por la Asamblea Nacional para mandatos de cinco y cuatro años, respectivamente. Pues bien, los mandatos de todos los miembros de la Inspección finalizaron en 2020, sin que la Asamblea Nacional haya procedido a elegir a los nuevos miembros.

El órgano jurisdiccional remitente indica que, mediante sentencia de 27 de septiembre de 2022, el Konstitutsionen sad (Tribunal Constitucional, Bulgaria) declaró que la Constitución búlgara debe interpretarse en el sentido de que el inspector general y los inspectores que tengan el mandato caducado siguen ejerciendo sus funciones hasta que la Asamblea Nacional elija a los nuevos miembros de la Inspección, al considerar que la preservación de la misión encomendada a la Inspección prima sobre los riesgos de abuso de los miembros con el mandato caducado. No obstante, el órgano jurisdiccional remitente señala que dicha sentencia no analizó si los miembros de la Inspección que siguen ejerciendo sus funciones tras finalizar sus mandatos podrían ejercer influencias indebidas sobre el poder judicial o verse ellos mismos sometidos a presiones por parte de diputados.

Así, dicho órgano jurisdiccional se pregunta si el Derecho de la Unión establece requisitos más estrictos que la Constitución búlgara tal como la interpreta el Konstitutsionen sad (Tribunal Constitucional). Concretamente, habida cuenta de la jurisprudencia del Tribunal de Justicia derivada de la sentencia de 11 de mayo de 2023, Inspecția Judiciară (C‑817/21, EU:C:2023:391), apartados 50 y 51, se pregunta si la prórroga de los mandatos de los miembros de la Inspección pudiera quebrantar las garantías de independencia de esa autoridad como autoridad facultada para incoar procedimientos disciplinarios contra los jueces y fiscales y, en caso afirmativo, qué criterios permiten apreciar si tal prórroga es admisible y por cuánto tiempo.

42	En segundo lugar, el órgano jurisdiccional remitente se pregunta por la función y las obligaciones de los órganos jurisdiccionales nacionales cuando tienen que autorizar el acceso de la Inspección a los datos personales de los jueces y fiscales.

A este respecto, el órgano jurisdiccional remitente señala que, durante el año 2019, un grave problema referente a la seguridad de los datos en poder de la Inspección atrajo la atención de los medios de comunicación búlgaros. Así, la Comisión de Protección de Datos Personales constató que los datos personales de una veintena de jueces y fiscales en poder de la Inspección se habían publicado ilegalmente en su totalidad en el sitio de Internet de la Inspección, lo que llevó a dicha Comisión a imponer a esta una multa. Pues bien, el órgano jurisdiccional remitente señala que no dispone de información alguna que le permita determinar si, desde que se produjo ese incidente, se han adoptado medidas para garantizar la seguridad de los datos.

El órgano jurisdiccional remitente se pregunta si su actividad consistente en autorizar a la Inspección el acceso a datos personales protegidos por el secreto bancario está comprendida en el ámbito de aplicación del RGPD y, en caso afirmativo, qué consecuencias se derivarían de ahí para el control que él debe ejercer. A este respecto, subraya que el RGPD impone obligaciones a las personas que efectúan un tratamiento de datos personales, a los responsables del tratamiento y a las autoridades de control.

En cambio, prosigue el órgano jurisdiccional remitente, las obligaciones de un órgano jurisdiccional que concede a una autoridad autorización para acceder a tales datos no se rigen directamente por el RGPD; por lo tanto, ha de determinarse si se debe considerar que tal órgano jurisdiccional tiene la condición de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, o de «autoridad de control», en el sentido del artículo 51 de este Reglamento, en la medida en que estaría concediendo a la Inspección una autorización sin la cual no podría tener lugar el acceso a los datos en cuestión. La Inspección recaba y comprueba, a los efectos contemplados en los artículos 175 bis y 175 quinquies de la Ley del Poder Judicial, datos relativos a los bienes de los jueces y fiscales, mientras que los órganos jurisdiccionales controlan esa actividad concediendo o denegando el acceso a los datos en cuestión.

A este respecto, el órgano jurisdiccional remitente observa que, según la interpretación del Derecho nacional imperante en Bulgaria, su control debe ser meramente formal y limitarse a comprobar si las personas a cuyos datos bancarios se solicita acceso tienen la condición de personas sujetas a la obligación de declaración en el sentido de la Ley del Poder Judicial, es decir, si son jueces o fiscales o personas con una relación familiar u otra relación con estos últimos contemplada en ese Derecho. En principio, cuando se cumplen estos requisitos, los órganos jurisdiccionales deben autorizar siempre el acceso a los datos bancarios. En cambio, no sucedería tal cosa si los órganos jurisdiccionales que ejercen el control previo pudieran considerarse responsables del tratamiento de datos personales a los que conceden acceso, en cuyo caso dichos órganos habrían de garantizar la seguridad de los datos en virtud de los artículos 32 a 34 del RGPD.

Pues bien, prosigue el órgano jurisdiccional remitente, aunque esos órganos jurisdiccionales no tengan un acceso directo a los datos personales protegidos por el secreto bancario, determinan en cierta medida los fines del tratamiento al autorizar o prohibir el acceso a ellos. Por otra parte, las disposiciones nacionales aplicables en los litigios principales no precisan, cuando los fines del tratamiento de los datos personales están determinados por la ley, qué autoridad tiene los derechos y las obligaciones de un responsable del tratamiento de datos personales.

48	Además, el órgano jurisdiccional remitente se pregunta si puede comprobar, antes de autorizar el acceso a los datos, si la Inspección ha adoptado medidas para garantizar la conformidad a Derecho del tratamiento de los datos, a fin de no actuar como una mera sala de registro.

El órgano jurisdiccional remitente señala, por último, que, aun cuando el órgano jurisdiccional encargado de autorizar el acceso de la Inspección a los datos personales protegidos por el secreto bancario no tuviera la condición de responsable del tratamiento o de autoridad de control, se plantearía la cuestión de si debe realizar tales controles para garantizar la tutela judicial efectiva contemplada en el artículo 79 del RGPD. Es cierto que esta disposición regula los supuestos en los que el interesado acude ante el juez para que se tutelen sus derechos. No obstante, cuando el procedimiento relativo a la divulgación de los datos se lleva a cabo sin la participación del interesado y el Derecho nacional contempla un control judicial previo, habría de imponerse de oficio una obligación similar. Así se deriva también del derecho a la tutela judicial efectiva, consagrado en el artículo 47 de la Carta. A falta de tal obligación, el juez se limitaría invariablemente a realizar un examen formal y a confirmar la actuación de la Administración, lo que podría revelarse contrario a los objetivos del artículo 79 del RGPD.

En estas circunstancias, el Sofiyski rayonen sad (Tribunal de Primera Instancia de Sofía) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales, formuladas en términos idénticos en los asuntos C‑313/23, C‑316/23 y C‑332/23:

«1)

¿Debe interpretarse el artículo 19 [TUE], apartado 1, párrafo segundo, en relación con el artículo 47, párrafo segundo, de la [Carta], en el sentido de que constituye, de por sí o en determinadas condiciones, un incumplimiento de la obligación que incumbe a los Estados miembros de garantizar la tutela judicial efectiva en cuanto a un control judicial independiente el hecho de que puedan ser prorrogadas indefinidamente las funciones de una autoridad facultada para imponer sanciones disciplinarias a los jueces y para obtener datos relativos al patrimonio de estos, una vez concluido el mandato de dicho organismo, cuya duración está establecida en la Constitución? En caso de que sea admisible tal prórroga de esas funciones, ¿en qué condiciones lo es?

¿Debe interpretarse el artículo 2, apartado 2, letra a), del [RGPD] en el sentido de que la comunicación de datos protegidos por el secreto bancario con fines de comprobación del patrimonio de jueces y fiscales —datos que posteriormente son publicados— constituye una actividad que no está comprendida en el ámbito de aplicación del Derecho de la Unión? ¿Es distinta la respuesta si esta actividad incluye también la comunicación de datos de los miembros de la familia de jueces y fiscales, que no sean ellos mismos jueces ni fiscales?

En caso de respuesta a la segunda cuestión en el sentido de que es aplicable el Derecho de la Unión, ¿debe interpretarse el artículo 4, punto 7, del RGPD en el sentido de que una autoridad judicial que concede a otra autoridad del Estado el acceso a datos sobre los saldos de cuentas de jueces y fiscales y de miembros de sus familias determina los fines o los medios del tratamiento de datos personales, por lo que se considera “responsable” del tratamiento de los datos personales?

En caso de respuesta a la segunda cuestión en el sentido de que es de aplicación el Derecho de la Unión y de respuesta negativa a la tercera cuestión, ¿debe interpretarse el artículo 51 del RGPD en el sentido de que una autoridad judicial que concede a otra autoridad del Estado el acceso a datos sobre los saldos de cuentas de jueces y fiscales y de miembros de sus familias es responsable de supervisar [la aplicación del] RGPD, por lo que debe considerarse “autoridad de control” respecto a tales datos?

En caso de respuesta a la segunda cuestión en el sentido de que es aplicable el Derecho de la Unión y de respuesta afirmativa a la tercera o a la cuarta cuestión, ¿deben interpretarse los artículos 32, apartado 1, letra b), o 57, apartado 1, letra a), del RGPD en el sentido de que una autoridad judicial que concede a otra autoridad del Estado el acceso a datos sobre los saldos de cuentas de jueces y fiscales y de miembros de sus familias está obligada, si se conoce que existió una vulneración de la protección de datos personales cometida en el pasado por la autoridad a la que se pretende conceder dicho acceso, a recabar información sobre las medidas adoptadas para la protección de los datos y, al decidir sobre la concesión del acceso, debe tener en cuenta la idoneidad de estas medidas?

En caso de respuesta a la segunda cuestión prejudicial en el sentido de que es aplicable el Derecho de la Unión, y con independencia de la respuesta a las cuestiones prejudiciales tercera y cuarta, ¿debe interpretarse el artículo 79, apartado 1, del RGPD, en relación con el artículo 47 de la [Carta], en el sentido de que, cuando el Derecho nacional de un Estado miembro dispone que determinadas categorías de datos solo pueden comunicarse previa autorización judicial, el órgano jurisdiccional competente al respecto debe conceder de oficio tutela judicial a las personas cuyos datos se comunican, obligando a la autoridad que ha solicitado el acceso a los datos y de la que consta que en el pasado vulneró la protección de datos personales a facilitar información sobre las medidas adoptadas con arreglo al artículo 33, apartado 3, letra d), del RGPD y su aplicación efectiva?»

Procedimiento ante el Tribunal de Justicia

Sobre la acumulación

51	Mediante decisión del Presidente del Tribunal de Justicia de 30 de junio de 2023, se acumularon los asuntos C‑313/23, C‑316/23 y C‑332/23 a efectos de las fases escrita y oral del procedimiento y de la sentencia.

Sobre la solicitud de reapertura de la fase oral del procedimiento

Mediante escrito presentado en la Secretaría del Tribunal de Justicia el 30 de octubre de 2024, la Inspección solicitó que se ordenara, con arreglo al artículo 83 del Reglamento de Procedimiento del Tribunal de Justicia, la reapertura de la fase escrita del procedimiento. Dado que el citado artículo 83 regula la reapertura de la fase oral del procedimiento y que, en el caso de autos, esta fase había concluido tras la presentación de las conclusiones del Abogado General, debe entenderse que esa solicitud se refiere la reapertura de la fase oral.

En apoyo de su solicitud, la Inspección expone dos razones en relación con la primera cuestión prejudicial. En primer lugar, se ha producido un hecho nuevo: la modificación, en diciembre de 2023, del artículo 132 bis, apartado 4, de la Constitución búlgara para permitir, en adelante, que los miembros de la Inspección sean elegidos para dos mandatos consecutivos. En segundo lugar, en sus conclusiones, el Abogado General realizó una apreciación inexacta de la situación controvertida en los litigios principales al hacer referencia a una normativa nacional y a un dictamen de la Comisión Europea para la Democracia por el Derecho, la denominada «Comisión de Venecia», que no son pertinentes para los presentes asuntos.

A este respecto, es preciso recordar, por un lado, que ni el Estatuto del Tribunal de Justicia de la Unión Europea ni el Reglamento de Procedimiento contemplan la posibilidad de que los interesados mencionados en el artículo 23 de ese Estatuto formulen observaciones en respuesta a las conclusiones presentadas por el Abogado General. Por otro lado, en virtud del artículo 252 TFUE, párrafo segundo, el Abogado General presenta públicamente, con toda imparcialidad e independencia, conclusiones motivadas sobre los asuntos que, de conformidad con dicho Estatuto, requieran su intervención. El Tribunal de Justicia no está vinculado ni por las conclusiones del Abogado General ni por la motivación que este desarrolla para llegar a ellas. Por consiguiente, el hecho de que una parte interesada no esté de acuerdo con las conclusiones del Abogado General no constituye en sí mismo un motivo que justifique la reapertura de la fase oral, sin importar cuáles sean las cuestiones que examine en sus conclusiones (sentencia de 19 de diciembre de 2024, Ford Italia, C‑157/23, EU:C:2024:1045, apartado 26 y jurisprudencia citada).

Es cierto que, con arreglo al artículo 83 de su Reglamento de Procedimiento, el Tribunal de Justicia puede ordenar en todo momento, tras oír al Abogado General, la apertura o la reapertura de la fase oral del procedimiento, en particular si estima que la información de que dispone es insuficiente o cuando una parte haya invocado ante él, tras el cierre de esta fase, un hecho nuevo que pueda influir decisivamente en su resolución, o también cuando el asunto deba resolverse basándose en un argumento que no fue debatido entre los interesados.

Sin embargo, en el caso de autos, el Tribunal de Justicia dispone de todos los elementos necesarios para pronunciarse sobre las peticiones de decisión prejudicial y los presentes asuntos no deben resolverse sobre la base de argumentos que no hayan sido debatidos entre los interesados. Por lo demás, la solicitud de reapertura de la fase oral del procedimiento no contiene ningún hecho nuevo que pueda influir decisivamente en la resolución que el Tribunal de Justicia debe adoptar en estos asuntos.

57	En estas circunstancias, el Tribunal de Justicia, tras oír al Abogado General, considera que no procede ordenar la reapertura de la fase oral del procedimiento.

Sobre la admisibilidad de las peticiones de decisión prejudicial

El Gobierno búlgaro abriga dudas sobre la admisibilidad de las peticiones de decisión prejudicial porque, a su criterio, el organismo remitente en los litigios principales no presenta, en el marco de los procedimientos principales, el carácter de «órgano jurisdiccional» a los efectos del artículo 267 TFUE; en efecto, por una parte, los procedimientos ante dicho organismo son unilaterales, por cuanto se tramitan sin la participación de las personas interesadas. Por otra parte, esos procedimientos no tienen por objeto la resolución de un litigio jurídico, pues su única finalidad consiste en comprobar el cumplimiento de los requisitos impuestos para la comunicación de los datos bancarios.

Según reiterada jurisprudencia del Tribunal de Justicia, para dilucidar si el organismo remitente tiene la condición de «órgano jurisdiccional» a efectos del artículo 267 TFUE, cuestión que depende únicamente del Derecho de la Unión, el Tribunal de Justicia debe tener en cuenta un conjunto de factores, como son, entre otros, el origen legal del organismo, su permanencia, el carácter obligatorio de su jurisdicción, la aplicación por parte del organismo de normas jurídicas y su independencia (véanse, en este sentido, las sentencias de 29 de marzo de 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, apartado 66, y de 7 de mayo de 2024, NADA y otros, C‑115/22, EU:C:2024:384, apartado 35 y jurisprudencia citada).

También se desprende de reiterada jurisprudencia que, si bien el artículo 267 TFUE no supedita la remisión del asunto al Tribunal de Justicia al carácter contradictorio del procedimiento en el que el juez nacional formula la cuestión prejudicial, los órganos jurisdiccionales nacionales solo pueden pedir al Tribunal de Justicia que se pronuncie si ante ellos está pendiente un litigio y si deben adoptar su resolución en el marco de un procedimiento que concluya con una decisión de carácter judicial. Así pues, la competencia de un organismo para pedir al Tribunal de Justicia que se pronuncie deberá determinarse basándose tanto en criterios estructurales como funcionales. Un organismo nacional puede tener la consideración de «órgano jurisdiccional» a efectos del artículo 267 TFUE si ejerce funciones jurisdiccionales, aun cuando en el ejercicio de otras funciones, en particular de carácter administrativo, no pueda reconocérsele tal calificación (véase, en este sentido, la sentencia de 3 de mayo de 2022, CityRail, C‑453/20, EU:C:2022:341, apartados 42 y 43 y jurisprudencia citada).

No se discute que el Sofiyski rayonen sad (Tribunal de Primera Instancia de Sofía), como tal, cumple las exigencias recordadas, en el apartado 59 de la presente sentencia, en cuanto a su origen, su permanencia, la aplicación de normas jurídicas y su independencia, sin que en los autos en poder del Tribunal de Justicia obre elemento alguno que lleve a tener dudas al respecto. La cuestión que, en el caso de autos, plantea el Gobierno búlgaro estriba en si dicho órgano jurisdiccional debe pronunciarse en el marco de un procedimiento que concluya con una decisión de carácter judicial. A este respecto, procede señalar que ante dicho órgano jurisdiccional se ha presentado una solicitud de la Inspección al objeto de que se le comuniquen datos bancarios con arreglo al artículo 62, apartado 6, punto 12, de la Ley de Entidades de Crédito. Aunque el Gobierno búlgaro alega que el examen que debe efectuar el órgano jurisdiccional remitente es de naturaleza puramente formal, no es menos cierto que este tiene que controlar si se cumplen los requisitos legales para la comunicación de datos bancarios, resolver mediante decisión motivada y fijar el período objeto de tal levantamiento del secreto bancario.

En concreto, la autorización que el órgano jurisdiccional remitente puede conceder tiene, como se desprende del artículo 62, apartado 5, de la Ley de Entidades de Crédito, valor de consentimiento de las personas interesadas. Esa autorización puede oponerse frente a los bancos en los que dichas personas sean titulares de cuentas bancarias y tiene como efecto permitir a la Inspección acceder a los datos personales relativos a dichas cuentas. Además, tal acceso supone una injerencia en los derechos fundamentales de dichas personas consagrados en los artículos 7 y 8 de la Carta [véase, en este sentido, la sentencia de 6 de octubre de 2020, État luxembourgeois (Derecho de recurso contra una solicitud de información en materia fiscal), C‑245/19 y C‑246/19, EU:C:2020:795, apartado 74].

En estas circunstancias, las funciones que ejerce el órgano jurisdiccional remitente en virtud del artículo 62, apartado 6, punto 12, de la Ley de Entidades de Crédito no consisten en la adopción de actos de naturaleza administrativa susceptibles de recurso judicial, sino que deben calificarse de judiciales, pues dicho órgano jurisdiccional tiene que resolver de manera independiente para garantizar la legalidad de la comunicación de los datos bancarios (véase, por analogía, el auto de 15 de enero de 2004, Saetti y Frediani, C‑235/02, EU:C:2004:26, apartado 23).

64	Por consiguiente, las peticiones de decisión prejudicial son admisibles.

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

Con carácter preliminar, debe recordarse que, según reiterada jurisprudencia, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia establecido por el artículo 267 TFUE, corresponde a este proporcionar al órgano jurisdiccional nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde, en su caso, al Tribunal de Justicia reformular la cuestión prejudicial que se le ha planteado (sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartado 31 y jurisprudencia citada).

En el presente asunto, aunque la primera cuestión prejudicial se refiere a un órgano judicial «facultad[o] para imponer sanciones disciplinarias a los jueces y para obtener datos relativos al patrimonio de estos», tanto de las peticiones de decisión prejudicial como de los autos que obran en poder del Tribunal de Justicia se desprende que dicho órgano controla la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos y que, en este contexto, dispone de la facultad de recabar datos personales que les conciernan. Concretamente, dicho órgano está facultado para, a raíz de tales controles, proponer a otro órgano judicial que se les abra un procedimiento disciplinario sancionador.

Pues bien, como se desprende de las peticiones de decisión prejudicial, el órgano jurisdiccional remitente considera que el hecho de que los miembros de la Inspección, elegidos por mayoría de dos tercios de los diputados de la Asamblea Nacional, sigan ejerciendo sus funciones pese a haber caducado sus mandatos puede plantear interrogantes en lo que toca a la exigencia de independencia del poder judicial. En efecto, dicho órgano jurisdiccional se pregunta si los miembros de ese órgano judicial pudieran, en tal contexto, ejercer influencias indebidas sobre los jueces o fiscales o proseguir sus actividades bajo la presión de diputados de la Asamblea Nacional.

Así pues, la primera cuestión prejudicial versa sobre la interpretación del artículo 19 TUE, apartado 1, párrafo segundo, a la luz del artículo 47 de la Carta, únicamente en lo referente a la prórroga de los mandatos caducados de los miembros de la Inspección, sin que el alcance de las facultades de dicho órgano judicial sea, como tal, objeto de esta cuestión.

En estas circunstancias, ha de considerarse que, mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si y, en su caso, en qué condiciones el artículo 19 TUE, apartado 1, párrafo segundo, a la luz del artículo 47 de la Carta, se opone a la práctica de un Estado miembro conforme a la cual los miembros de un órgano judicial de ese Estado miembro, que son elegidos por el Parlamento para unos mandatos de duración determinada y que son competentes para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador, siguen ejerciendo sus funciones tras concluir la duración legal de sus mandatos, fijada por la Constitución de dicho Estado miembro, hasta que el Parlamento elija nuevos miembros.

Sobre la competencia del Tribunal de Justicia

70	El Gobierno polaco asevera que el Tribunal de Justicia no es competente para responder a la primera cuestión prejudicial porque la Unión carece de competencias en el ámbito de la organización de la Administración de Justicia en los Estados miembros.

A este respecto, si bien corresponde a los Estados miembros determinar cómo organizan su Administración de Justicia, no es menos cierto que, al ejercer esta competencia, deben cumplir las obligaciones que les impone el Derecho de la Unión y, en particular, el artículo 19 TUE, apartado 1, párrafo segundo [véase, en este sentido, la sentencia de 9 de enero de 2024, G. y otros (Nombramiento de los jueces ordinarios en Polonia), C‑181/21 y C‑269/21, EU:C:2024:1, apartado 57 y jurisprudencia citada].

Tal es el caso de las normas nacionales que regulan la responsabilidad disciplinaria de los jueces (véanse, en este sentido, las sentencias de 21 de diciembre de 2021, Euro Box Promotion y otros, C‑357/19, C‑379/19, C‑547/19, C‑811/19 y C‑840/19, EU:C:2021:1034, apartado 133, y de11 de mayo de 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, apartado 44 y jurisprudencia citada), incluidas las relativas a la organización y el funcionamiento de un órgano judicial que, como la Inspección, es competente para controlar la actividad de los jueces en el ejercicio de sus funciones, para comprobar su integridad y la posible existencia de conflictos de intereses por parte de estos y para proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador.

73	En estas circunstancias, y dado que la primera cuestión prejudicial se refiere a la interpretación del Derecho de la Unión, el Tribunal de Justicia es competente para responderla.

Sobre la admisibilidad

74	El Gobierno búlgaro y la Inspección cuestionan que la primera cuestión prejudicial sea admisible, ya que la Inspección no está facultada para imponer sanciones disciplinarias, de modo que esta primera cuestión no guarda relación alguna con el objeto de los procedimientos principales.

Además, la Inspección alega que la primera cuestión prejudicial es hipotética; por una parte, los procedimientos principales no tienen ninguna relación con procedimientos disciplinarios. Por otra parte, mientras que la declaración de violación del artículo 19 TUE, apartado 1, párrafo segundo, requiere un incumplimiento estructural de las exigencias de independencia, el órgano jurisdiccional remitente no aclara por qué la violación que se alega en los procedimientos principales tiene carácter estructural.

A este respecto, según reiterada jurisprudencia, corresponde exclusivamente al órgano jurisdiccional nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que debe adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar su sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación de una norma del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse [sentencias de 16 de febrero de 2023, Rzecznik Praw Dziecka y otros (Suspensión de la resolución de restitución), C‑638/22 PPU, EU:C:2023:103, apartado 47, y de 24 de julio de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, apartado 61].

Las cuestiones relativas al Derecho de la Unión gozan por tanto de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación de una norma del Derecho de la Unión solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado [véanse, en este sentido, las sentencias de 16 de febrero de 2023, Rzecznik Praw Dziecka y otros (Suspensión de la resolución de restitución), C‑638/22 PPU, EU:C:2023:103, apartado 48, y de 24 de julio de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, apartado 62].

En el caso de autos, el órgano jurisdiccional remitente se pregunta por la decisión que debe adoptarse sobre las solicitudes de la Inspección al objeto de que se la autorice a acceder a los datos relativos a las cuentas bancarias de varios jueces y fiscales y de los miembros de sus familias. En concreto, desea que se dilucide si el Derecho de la Unión se opone a que tal órgano judicial pueda presentarle solicitudes de esta naturaleza cuando los mandatos de todos sus miembros llevan varios años caducados. Por lo tanto, resulta que corresponde a dicho órgano jurisdiccional resolver in limine litis con carácter incidental sobre esta cuestión antes de poder decidir sobre las solicitudes que se le han presentado. De ello se desprende que la interpretación del Derecho de la Unión solicitada responde a una necesidad objetiva para la decisión que el órgano jurisdiccional remitente debe adoptar (véase, en este sentido, la sentencia de 18 de mayo de 2021, Asociaţia Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartados 118 y 119).

En cuanto a las consideraciones de la Inspección expuestas en el apartado 75 de la presente sentencia sobre, en particular, las facultades de que dispone en el contexto de los procedimientos principales y la inexistencia de incumplimiento estructural de las exigencias dimanantes del artículo 19 TUE, apartado 1, párrafo segundo, se enmarcan, en realidad, en el examen del fondo de la primera cuestión prejudicial y, por tanto, no pueden dar lugar a su inadmisibilidad.

80	De las anteriores consideraciones resulta que procede declarar admisible la primera cuestión prejudicial.

Sobre el fondo

Todo Estado miembro debe garantizar, en virtud del artículo 19 TUE, apartado 1, párrafo segundo, que los órganos que, en calidad de «órganos jurisdiccionales» en el sentido definido por el Derecho de la Unión, tengan que resolver sobre cuestiones vinculadas a la aplicación o la interpretación de este Derecho y que formen parte del sistema de vías de recurso en los ámbitos cubiertos por el Derecho de la Unión cumplan las exigencias de la tutela judicial efectiva, entre ellas la de independencia (sentencia de 11 de julio de 2024, Hann-Invest y otros, C‑554/21, C‑622/21 y C‑727/21, EU:C:2024:594, apartado 47 y jurisprudencia citada).

La existencia misma de un control judicial efectivo para garantizar el cumplimiento del Derecho de la Unión es inherente a un Estado de Derecho. A tal efecto, conforme al artículo 19 TUE, apartado 1, párrafo segundo, corresponde a los Estados miembros prever un sistema de vías de recurso y de procedimientos que garantice a los justiciables el respeto de su derecho a la tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión. El principio de la tutela judicial efectiva de los derechos que el ordenamiento jurídico de la Unión confiere a los justiciables, al que se refiere el artículo 19 TUE, apartado 1, párrafo segundo, constituye un principio general del Derecho de la Unión que emana de las tradiciones constitucionales comunes a los Estados miembros, que ha sido consagrado en los artículos 6 y 13 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950, y que en la actualidad se reconoce en el artículo 47 de la Carta (sentencia de 21 de diciembre de 2021, Euro Box Promotion y otros, C‑357/19, C‑379/19, C‑547/19, C‑811/19 y C‑840/19, EU:C:2021:1034, apartado 219 y jurisprudencia citada).

A tal fin, es primordial preservar la independencia de los órganos que pueden tener que pronunciarse sobre cuestiones relacionadas con la aplicación o la interpretación del Derecho de la Unión, como confirma el artículo 47, párrafo segundo, de la Carta, que, entre las exigencias vinculadas al derecho fundamental a la tutela judicial efectiva, menciona el acceso a un juez «independiente» (sentencia de 18 de mayo de 2021, Asociația Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartado 194 y jurisprudencia citada).

Esta exigencia de independencia de los tribunales, inherente a la función jurisdiccional, está integrada en el contenido esencial del derecho a la tutela judicial efectiva y del derecho fundamental a un proceso equitativo, derecho este último que reviste una importancia capital como garante de la protección del conjunto de los derechos que el Derecho de la Unión confiere a los justiciables y de la salvaguarda de los valores comunes de los Estados miembros proclamados en el artículo 2 TUE, en particular el valor del Estado de Derecho. Conforme al principio de separación de poderes que caracteriza el funcionamiento de un Estado de Derecho, debe garantizarse la independencia de los tribunales en particular frente a los poderes legislativo y ejecutivo (sentencia de 18 de mayo de 2021, Asociația Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartado 195 y jurisprudencia citada).

Con arreglo a reiterada jurisprudencia, las garantías de independencia e imparcialidad exigidas por el Derecho de la Unión postulan la existencia de reglas que permitan excluir toda duda legítima en el ánimo de los justiciables en lo que respecta a la impermeabilidad del órgano de que se trate frente a elementos externos y en lo que respecta a la neutralidad de este ante los intereses en litigio (sentencias de 20 de abril de 2021, Repubblika, C‑896/19, EU:C:2021:311, apartado 53 y jurisprudencia citada, y de 18 de mayo de 2021, Asociaţia Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartado 196).

Más concretamente, en lo que concierne a las normas del régimen disciplinario de los jueces, la necesidad de independencia judicial que resulta del artículo 19 TUE, apartado 1, párrafo segundo, exige que ese régimen presente las garantías necesarias para evitar cualquier riesgo de que dicho régimen pueda utilizarse como sistema de control político del contenido de las resoluciones judiciales. A este respecto, el establecimiento de normas que definan, en particular, tanto los comportamientos constitutivos de infracciones disciplinarias como las sanciones concretas aplicables, prevean la intervención de un órgano independiente con arreglo a un procedimiento que garantice plenamente los derechos consagrados en los artículos 47 y 48 de la Carta, especialmente el derecho de defensa, y reconozcan la posibilidad de impugnar judicialmente las decisiones de los órganos disciplinarios constituye un conjunto de garantías esenciales para preservar la independencia del poder judicial (sentencias de 18 de mayo de 2021, Asociaţia Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartado 198 y jurisprudencia citada, y de 11 de mayo de 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, apartado 48 y jurisprudencia citada).

Habida cuenta de que la mera perspectiva de que se abra una investigación disciplinaria puede ejercer presión sobre las personas que tienen la misión de juzgar, el Tribunal de Justicia ha declarado que es básico que el órgano competente para dirigir las investigaciones y ejercitar la acción disciplinaria actúe de forma objetiva e imparcial en el ejercicio de sus funciones y que esté para ello protegido de toda influencia exterior (sentencias de 18 de mayo de 2021, Asociația Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartado 199, y de 11 de mayo de 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, apartado 49). Tal es el caso, en particular, de un órgano judicial que, como la Inspección, dispone de amplias facultades para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para, a raíz de tales controles, proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador.

Así, es preciso que el conjunto de normas que regulan la organización y el funcionamiento de tal órgano, incluidas las relativas al procedimiento de nombramiento de sus miembros, se conciban de tal manera que no puedan suscitar dudas legítimas en el ánimo de los justiciables acerca de la utilización de las prerrogativas y funciones del citado órgano como instrumento de presión sobre la actividad judicial o de control político de dicha actividad (véase, en este sentido, la sentencia de 11 de mayo de 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, apartados 50 y 51 y jurisprudencia citada).

En efecto, estas normas pueden, de manera general, afectar directamente a la práctica de dicho órgano y, por tanto, evitar o, por el contrario, favorecer el ejercicio de acciones disciplinarias que tengan por objeto o como efecto ejercer presión sobre quienes tienen la misión de juzgar o conseguir un control político de la actividad de estos últimos (véase, en este sentido, la sentencia de 11 de mayo de 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, apartado 52).

Es al órgano jurisdiccional remitente a quien, en último término, corresponderá pronunciarse sobre la impermeabilidad del órgano en cuestión en los litigios principales frente a toda influencia exterior y sobre su objetividad e imparcialidad en el ejercicio de sus funciones, una vez haya efectuado las apreciaciones requeridas al efecto. Ha de recordarse, en efecto, que el artículo 267 TFUE no faculta al Tribunal de Justicia para aplicar las normas del Derecho de la Unión a un asunto determinado, sino tan solo para interpretar los Tratados y los actos adoptados por las instituciones de la Unión. No obstante, según reiterada jurisprudencia, el Tribunal de Justicia, en el marco de la cooperación judicial establecida en dicho artículo 267 TFUE, puede proporcionar al órgano jurisdiccional nacional, a partir de los datos obrantes en los autos, los elementos de interpretación del Derecho del Unión que pudieran serle útiles para la apreciación de los efectos de una u otra disposición de este Derecho (véase, en este sentido, la sentencia de 11 de mayo de 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, apartado 58).

En el caso de autos, la Inspección se compone de un inspector general y diez inspectores elegidos por la Asamblea Nacional por mayoría de dos tercios de los diputados para mandatos de cinco y cuatro años, respectivamente. De conformidad con la legislación nacional aplicable en la fecha de la presentación de estas peticiones de decisión prejudicial, los miembros de la Inspección no podían ser reelegidos para un segundo mandato consecutivo.

Por lo que toca a la situación controvertida en los litigios principales, en la que los mandatos de los miembros de la Inspección han caducado, sin que la Asamblea Nacional haya procedido a elegir a los nuevos miembros, la normativa nacional no parece incluir ninguna norma relativa a la posible continuación en el cargo de los miembros de la Inspección con el mandato caducado. Es cierto que, según indica el órgano jurisdiccional remitente, en tal situación, de conformidad con la jurisprudencia del Konstitutsionen sad (Tribunal Constitucional), los miembros de la Inspección siguen ejerciendo sus funciones hasta que la Asamblea Nacional elija a los nuevos miembros. Sin embargo, además de no incluir normas que regulen el ejercicio de esas funciones prorrogadas de tal manera, el Derecho búlgaro tampoco incluye ningún mecanismo legal que permita poner fin a un eventual bloqueo en el proceso de nombramiento de los nuevos miembros de la Inspección, de suerte que la prórroga de los mandatos de sus antiguos miembros parece, en la práctica, poder prolongarse sin limitación temporal alguna.

Pues bien, por una parte, si bien corresponde exclusivamente a los Estados miembros decidir si autorizan o no el ejercicio de las funciones de los miembros de un órgano judicial, que es competente para controlar la actividad de los jueces y fiscales y para proponer la incoación de procedimientos disciplinarios contra ellos, tras cumplirse la duración legal de los mandatos de esos miembros con la finalidad de garantizar que dicho órgano siga funcionando, los Estados miembros están obligados, cuando optan por tal prórroga de los mandatos, a velar por que el ejercicio de las funciones tras caducar el mandato tenga una base legal expresa en el Derecho interno con normas claras y precisas que regulen tal ejercicio.

Por añadidura, los Estados miembros deben velar por que las condiciones y el régimen a que se encuentre sujeto tal ejercicio se conciban de manera que los miembros de tal órgano judicial puedan actuar, en el desempeño de sus funciones, con objetividad e imparcialidad y, a tal efecto, estén protegidos frente a toda influencia exterior, como requiere la jurisprudencia citada en los apartados 87 y 88 de la presente sentencia.

Por otra parte, como ha señalado esencialmente el Abogado General en el punto 58 de sus conclusiones, aunque, en determinadas circunstancias, la prórroga de los mandatos puede ser necesaria considerando la importancia de las funciones desempeñadas por el órgano judicial en cuestión, no es menos cierto que, tras cumplirse la duración legal de esos mandatos, dicho órgano actúa sin una base jurídica expresa en Derecho interno que contenga normas claras y precisas para regular el ejercicio de esas funciones. Por tanto, dicha prórroga solo puede contemplarse excepcionalmente y con la condición de que se regule con normas claras y precisas que excluyan, en la práctica, la posibilidad de que no tenga limitación temporal alguna.

No obstante, al adoptar un Estado miembro tal regulación, no puede modificar su legislación o su Constitución con el resultado de que se produzca una regresión en la protección del valor del Estado de Derecho, valor que se concreta, en particular, en el artículo 19 TUE, en especial en lo referente a las garantías de independencia de los jueces frente a los poderes legislativo y ejecutivo (véase, en este sentido, la sentencia de 20 de abril de 2021, Repubblika, C‑896/19, EU:C:2021:311, apartados 63 y 65).

Habida cuenta de las consideraciones que anteceden, procede responder a la primera cuestión prejudicial que el artículo 19 TUE, apartado 1, párrafo segundo, a la luz del artículo 47 de la Carta, debe interpretarse en el sentido de que el principio de independencia judicial se opone a la práctica de un Estado miembro conforme a la cual los miembros de un órgano judicial de ese Estado miembro, que son elegidos por el Parlamento para mandatos de duración determinada y que son competentes para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador, siguen ejerciendo sus funciones tras concluir la duración legal de sus mandatos, fijada por la Constitución de dicho Estado miembro, hasta que el Parlamento elija nuevos miembros, sin que la prórroga de los mandatos caducados tenga, en el Derecho nacional, una base legal expresa con normas claras y precisas que regulen el ejercicio de esas funciones y sin que se garantice que tal prórroga esté, en la práctica, limitada en el tiempo.

Segunda cuestión prejudicial

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente desea que se dilucide, en esencia, si el artículo 2 del RGPD debe interpretarse en el sentido de que la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias, para la comprobación de las declaraciones de bienes de esos jueces y fiscales y de los miembros de sus familias, las cuales se publican, constituye un tratamiento de datos personales comprendido en el ámbito de aplicación material de dicho Reglamento.

Según reiterada jurisprudencia, el artículo 2, apartado 1, del RGPD da una definición muy amplia del ámbito de aplicación material de este. Sin perjuicio de los supuestos mencionados en su artículo 2, apartados 2 y 3, el RGPD se aplica a los tratamientos efectuados tanto por los particulares como por las autoridades públicas, incluidas, como indica su considerando 20, las autoridades judiciales (véanse, en este sentido, las sentencias de 24 de marzo de 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, apartado 25, y de 16 de enero de 2024, Österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, apartados 33 y 36).

100

Además, el Tribunal de Justicia ya ha declarado que ni el hecho de que la información que constituye el objeto de las disposiciones nacionales verse sobre los jueces ni la circunstancia de que esta información pueda eventualmente presentar ciertos vínculos con el ejercicio de las funciones de estos pueden, en sí, sustraer estas disposiciones nacionales del ámbito de aplicación del RGPD [sentencia de 5 de junio de 2023, Comisión/Polonia (Independencia y vida privada de los jueces), C‑204/21, EU:C:2023:442, apartado 315].

101

En efecto, el artículo 2 del RGPD establece, en sus apartados 2 y 3, de manera exhaustiva, las excepciones a la norma que define el ámbito de aplicación material de este Reglamento recogida en su apartado 1, y esas excepciones, en particular las contempladas en el apartado 2, deben interpretarse estrictamente [véanse, en este sentido, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 62; de 5 de junio de 2023, Comisión/Polonia (Independencia y vida privada de los jueces), C‑204/21, EU:C:2023:442, apartado 316, y de 16 de enero de 2024, Österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, apartado 37].

102	El artículo 2, apartado 2, letra a), del RGPD, al que se hace expresa referencia en la segunda cuestión prejudicial, señala que este Reglamento no se aplica al tratamiento de datos personales «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión».

103

Conforme a reiterada jurisprudencia, esta disposición, a la luz del considerando 16 del RGPD, tiene como único objeto excluir del ámbito de aplicación de este los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o una actividad que pueda incluirse en la misma categoría, debiendo entenderse que las actividades cuya finalidad es preservar la seguridad nacional abarcan, en particular, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad. Así, el mero hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que tal excepción sea automáticamente aplicable a tal actividad [véanse, en este sentido, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 66 y 67; de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal), C‑180/21, EU:C:2022:967, apartado 79, y de 5 de junio de 2023, Comisión/Polonia (Independencia y vida privada de los jueces), C‑204/21, EU:C:2023:442, apartados 317 y 318].

104

Pues bien, aunque garantizar la buena administración de la justicia en los Estados miembros y, especialmente, la promulgación de normas aplicables al estatuto de los fiscales y de los jueces, en particular de estos últimos, y al ejercicio de sus funciones es competencia de dichos Estados [véase, en este sentido, la sentencia de 5 de junio de 2023, Comisión/Polonia (Independencia y vida privada de los jueces), C‑204/21, EU:C:2023:442, apartado 319], un tratamiento de datos como el controvertido en los litigios principales, que tiene como objetivo controlar la integridad de los jueces y fiscales y comprobar la existencia de eventuales conflictos de intereses por parte de estos no es una actividad dirigida a preservar la seguridad nacional ni una actividad que pueda incluirse en la misma categoría.

105

Asimismo, ha de señalarse que la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias, para comprobar las declaraciones de bienes de los jueces y fiscales y de los miembros de sus familias, las cuales se publican, constituye «tratamiento» en el sentido del artículo 4, punto 2, del RGPD. En efecto, tal divulgación constituye una puesta a disposición de esos datos personales a favor de dicho órgano.

106

Por tanto, ha de responderse a la segunda cuestión prejudicial que el artículo 2 del RGPD debe interpretarse en el sentido de que la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias, para la comprobación de las declaraciones de bienes de esos jueces y fiscales y de los miembros de sus familias, las cuales se publican, constituye un tratamiento de datos personales comprendido en el ámbito de aplicación material de dicho Reglamento.

Tercera cuestión prejudicial

107

Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que un órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último órgano de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias puede calificarse de responsable del tratamiento en el sentido de esta disposición.

108

En virtud del artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» incluye a las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que solos o junto con otros determinen los fines y medios del tratamiento. Esta disposición establece asimismo que, si el Derecho de un Estado miembro determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos ese Derecho.

109

Conforme a reiterada jurisprudencia del Tribunal de Justicia, dicha disposición persigue garantizar, definiendo de manera amplia el concepto de «responsable del tratamiento», de conformidad con el objetivo del RGPD, una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas y, en particular, un elevado nivel de protección del derecho de toda persona a la protección de los datos personales que la conciernan (véanse, en este sentido, las sentencias de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartados 28 y 29, y de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apartados 53 a 55 y jurisprudencia citada).

110

Por tanto, para determinar si una persona o entidad debe ser calificada de responsable del tratamiento, en el sentido del artículo 4, punto 7, del RGPD, es preciso averiguar si esa persona o entidad determina, sola o junto con otros, los fines y medios del tratamiento o si estos vienen determinados por el Derecho nacional. Cuando tal determinación se efectúe en virtud del Derecho nacional, deberá comprobarse si dicho Derecho designa al responsable del tratamiento o establece los criterios específicos aplicables a su nombramiento (sentencia de 27 de febrero de 2025, Amt der Tiroler Landesregierung, C‑638/23, EU:C:2025:127, apartado 27).

111

Ha de puntualizarse que, en atención a la definición amplia del concepto de «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, la determinación de los fines y medios del tratamiento y, en su caso, la designación del responsable por el Derecho nacional pueden ser no solo explícitas, sino también implícitas. En este último caso, se requiere, no obstante, que dicha determinación de los fines y medios del tratamiento se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas a la persona o entidad de que se trate (sentencia de 27 de febrero de 2025, Amt der Tiroler Landesregierung, C‑638/23, EU:C:2025:127, apartado 28).

112

En efecto, la protección de las personas interesadas se vería menoscabada si el artículo 4, punto 7, del RGPD se interpretara de manera restrictiva para abarcar únicamente los supuestos en los que los fines y medios de un tratamiento de datos realizado por una persona, una autoridad pública, un servicio o un organismo están determinados expresamente por el Derecho nacional, aun cuando tales fines y medios se desprendan, en esencia, de las disposiciones legales que regulan la actividad de la entidad de que se trate [sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 30].

113

En el caso de autos, el órgano jurisdiccional remitente se pregunta si se le debe considerar responsable del tratamiento controvertido en los litigios principales (esto es, la comunicación a la Inspección de datos personales protegidos por el secreto bancario) por cuanto tiene legalmente atribuido el cometido de autorizar tal comunicación.

114

A este respecto, en virtud de la normativa nacional aplicable en los litigios principales, la Inspección es competente para efectuar, en particular, controles sobre la integridad y la inexistencia de conflictos de intereses de los jueces y fiscales, así como sobre sus declaraciones de bienes. A tal efecto, esa normativa brinda a la Inspección la posibilidad de solicitar el acceso a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias. En el supuesto de que las personas de que se trate no presten su consentimiento a tal acceso, ese órgano judicial está, en virtud de la referida normativa, facultado para solicitar la autorización judicial previa a fin de acceder a dichos datos.

115

Por tanto, resulta que la normativa nacional aplicable en los asuntos principales determina el círculo de personas y los datos que pueden ser objeto de tratamiento, fija los fines de ese tratamiento y designa al órgano competente —la Inspección— para la consecución de dichos fines. El órgano jurisdiccional ante el que se presenta la solicitud al objeto de que se autorice la comunicación de los datos no interviene sino a instancias de la Inspección a los efectos del ejercicio de las potestades que le atribuye el Derecho nacional y se limita a comprobar si concurren los requisitos de legalidad que ese Derecho establece. Del mismo modo, no es el referido órgano jurisdiccional, sino la Inspección, quien determina, en función de las normas nacionales aplicables, las personas a cuyos datos pretende acceder a los efectos de ese ejercicio y respecto de las cuales presenta una solicitud de autorización ante dicho órgano jurisdiccional.

116

Así pues, aunque corresponde a dicho órgano jurisdiccional examinar si y en qué medida se reúnen, en un caso concreto, los requisitos de legalidad del tratamiento, él no determina por sí mismo el fin del tratamiento ni las personas y los datos objeto del mismo. En estas circunstancias, el responsable del tratamiento, en el sentido del artículo 4, punto 7, del RGPD, no es ese órgano jurisdiccional, sino el órgano competente para la realización de los fines perseguidos.

117

Habida cuenta de las anteriores consideraciones, ha de responderse a la tercera cuestión prejudicial que el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que un órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último órgano de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias no puede calificarse de responsable del tratamiento en el sentido de esta disposición.

Cuarta cuestión prejudicial

118

Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 51 del RGPD debe interpretarse en el sentido de que un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial constituye una autoridad de control en el sentido de este artículo.

119

El artículo 51, apartado 1, del RGPD obliga a los Estados miembros a establecer una o varias autoridades públicas independientes que se encarguen de supervisar la aplicación de este Reglamento. El establecimiento de tales autoridades, que también se prevé en el Derecho primario de la Unión, a saber, en el artículo 8, apartado 3, de la Carta y en el artículo 16 TFUE, apartado 2, constituye un elemento esencial del respeto de la protección de las personas físicas en lo que respecta al tratamiento de datos personales [véanse, en este sentido, la sentencia de 8 de abril de 2014, Comisión/Hungría, C‑288/12, EU:C:2014:237, apartado 48, y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 229].

120

La función principal de dichas autoridades es, en virtud de los artículos 51, apartados 1 y 2, y 57, apartado 1, letras a) y g), del RGPD, controlar la aplicación de dicho Reglamento y hacerlo aplicar, a la vez que contribuir a su aplicación coherente en la Unión, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y de facilitar la libre circulación de tales datos dentro de la Unión. Para ello, disponen de los diferentes poderes que les confiere el artículo 58 del RGPD [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 45].

121

Los Estados miembros están obligados, de conformidad con el artículo 51, apartado 4, del RGPD, a notificar a la Comisión las disposiciones legales y las modificaciones posteriores que adopten en virtud del capítulo VI de dicho Reglamento, en particular las relativas a la autoridad o autoridades de control a las que hayan encomendado la supervisión de la aplicación de dicho Reglamento.

122

En el presente asunto, de ningún elemento de los autos que obran en poder del Tribunal de Justicia resulta que el órgano jurisdiccional remitente tenga encomendada en el Derecho búlgaro la supervisión de la aplicación del RGPD ni, en particular, que disponga de los poderes de que debe disponer toda autoridad de control en virtud del artículo 58 de este Reglamento.

123

Consiguientemente, ha de responderse a la cuarta cuestión prejudicial que el artículo 51 del RGPD debe interpretarse en el sentido de que un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no constituye una autoridad de control, en el sentido de dicho artículo, en caso de que el Estado miembro al que pertenece no haya encomendado a dicho órgano jurisdiccional la supervisión de la aplicación de este Reglamento a fin de proteger, en particular, las libertades y los derechos fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales.

Quinta cuestión prejudicial

124

La quinta cuestión prejudicial solo se plantea para el supuesto de que el Tribunal de Justicia responda afirmativamente a las cuestiones prejudiciales tercera o cuarta. Pues bien, como se ha concluido en los apartados 117 y 123 de la presente sentencia, debe darse una respuesta negativa a las cuestiones prejudiciales tercera y cuarta.

125	Por consiguiente, no procede responder a la quinta cuestión prejudicial.

Sexta cuestión prejudicial

126

Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 79, apartado 1, del RGPD, a la luz del artículo 47 de la Carta, debe interpretarse en el sentido de que un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial está obligado, pese a no haberse interpuesto ante él recurso al amparo de esa disposición, a garantizar de oficio la protección de las personas de cuyos datos se trate en lo referente a la observancia de las disposiciones de ese Reglamento relativas a la seguridad de los datos personales, cuando sea notorio que el referido órgano judicial ha infringido estas últimas disposiciones en el pasado.

127

A este respecto, el órgano jurisdiccional remitente señala que esta cuestión prejudicial se plantea en la medida en que el procedimiento entablado ante él se tramita sin la participación de las personas de cuyos datos personales se trata y en que la autorización judicial para comunicar esos datos a la Inspección tiene el valor de consentimiento de esas personas, sin que quepa recurso. Dicho órgano jurisdiccional considera que, si se limitara a realizar un examen meramente formal de la solicitud de autorización presentada por la Inspección, sin cerciorarse de que esta última garantiza la seguridad de los datos de esas personas, se privaría de efecto útil a la tutela judicial de dichas personas que se contempla en el artículo 79 del RGPD. En estas circunstancias, se pregunta si está obligado a garantizar de oficio la observancia, por parte de la Inspección, de las normas en materia de seguridad de los datos, requiriéndole para que le facilite información sobre las medidas de seguridad adoptadas en virtud del artículo 33, apartado 3, letra d), de dicho Reglamento.

128

A este respecto, ha de recordarse que el RGPD establece un conjunto de normas materiales y procedimentales sobre la seguridad de los datos que debe cumplir el responsable del tratamiento, al tiempo que prevé, en su capítulo VIII, los recursos dirigidos a proteger los derechos de las personas cuyos datos personales hayan sido objeto de un tratamiento pretendidamente contrario a las disposiciones de dicho Reglamento y que pueden ejercerse de manera concurrente e independiente por esas personas (véase, en este sentido, la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 35).

129

Dado que el nivel de protección a que se refiere el RGPD depende de las medidas de seguridad adoptadas por los responsables del tratamiento de datos personales, debe incitarse a estos, haciendo que recaiga en ellos la carga de demostrar el carácter apropiado de esas medidas, a hacer todo lo posible para evitar que se lleven a cabo operaciones de tratamiento no conformes con el citado Reglamento (sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 55).

130	El control del cumplimiento de las exigencias de seguridad que impone el RGPD incumbe, por una parte, a las autoridades de control y, por otra parte, a los órganos jurisdiccionales nacionales que conozcan de un recurso con arreglo al artículo 78, apartado 1, o al artículo 79, apartado 1, del RGPD.

131

Por lo que respecta a las autoridades de control, tienen como misión principal, como se ha recordado en el apartado 120 de la presente sentencia, controlar la aplicación del RGPD y hacerlo aplicar. En concreto, deben ser informadas, en virtud del artículo 33 de dicho Reglamento, de las violaciones de datos personales por parte de los responsables del tratamiento.

132

Asimismo, el artículo 58, apartados 1 y 2, del RGPD confiere a dichas autoridades importantes poderes de investigación, así como poderes correctivos. Debe precisarse, a este respecto, que están obligadas a intervenir cuando la adopción de una o varias de las medidas correctivas previstas en el artículo 58, apartado 2, del RGPD sea, habida cuenta de todas las circunstancias del caso concreto, adecuada, necesaria y proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento [sentencia de 26 de septiembre de 2024, Land Hessen (Obligación de actuar de la autoridad de protección de datos), C‑768/21, EU:C:2024:785, apartado 42].

133

Además, resulta especialmente importante que las autoridades de control dispongan de poderes efectivos para actuar eficazmente contra las infracciones del RGPD y, en particular, para ponerles fin, incluso en aquellos casos en que los interesados no hayan sido informados del tratamiento de sus datos personales, no tengan conocimiento de tal tratamiento o, en cualquier caso, no hayan presentado reclamación al amparo del artículo 77, apartado 1, de este Reglamento (véase, en este sentido, la sentencia de 14 de marzo de 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, apartado 41).

134

Esas autoridades deben, al igual que los órganos jurisdiccionales nacionales ante los que se interponga recurso al amparo del artículo 78, apartado 1, o del artículo 79, apartado 1, del RGPD, cerciorarse de que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo, como exige el artículo 32, apartado 1, de este Reglamento, examinando al mismo tiempo esas medidas de manera concreta en cuanto al fondo, considerando todos los criterios mencionados en este artículo y las circunstancias particulares del caso y las pruebas de que esas autoridades o esos órganos jurisdiccionales dispongan al respecto (véanse, en este sentido, las sentencias de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 43 y 45, y de 28 de noviembre de 2024, Másdi, C‑169/23, EU:C:2024:988, apartado 71).

135

En cambio, los órganos jurisdiccionales nacionales que no conozcan de un recurso interpuesto al amparo del artículo 78, apartado 1, o del artículo 79, apartado 1, del RGPD no están, a falta de normas que les confieran expresamente potestades de control, obligados a velar por la observancia de las disposiciones materiales de este Reglamento para garantizar el efecto útil de estas.

136

Como el órgano jurisdiccional remitente alberga dudas, en particular, sobre la efectividad del recurso judicial contemplado en el artículo 79, apartado 1, del RGPD, procede subrayar asimismo, para darle una respuesta útil, que los Estados miembros deben asegurarse de que la regulación concreta del ejercicio de los recursos previstos en el artículo 77, apartado 1, en el artículo 78, apartado 1, y en el artículo 79, apartado 1, de dicho Reglamento se ajusten efectivamente a las exigencias derivadas del derecho a la tutela judicial efectiva consagrado en el artículo 47 de la Carta (véase, en este sentido, la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 51).

137

A tal efecto, es preciso que el responsable del tratamiento —es decir, el órgano judicial competente al que se ha concedido el acceso a los datos personales— facilite a las personas de cuyos datos se trate la información que se relaciona en el artículo 14, apartados 1 y 2, del RGPD, conforme al régimen contemplado en los artículos 12, apartado 1, y 14, apartado 3, de este Reglamento, información que es necesaria para que dichas personas puedan ejercer, en su caso, los derechos que el referido Reglamento les confiere, en particular el derecho de oposición al tratamiento de sus datos personales, recogido en el artículo 21 del RGPD, y el derecho de recurso en caso de que hayan sufrido daños y perjuicios, consagrado en los artículos 79 y 82 del citado Reglamento (véase, por analogía, la sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 58 y jurisprudencia citada).

138

Habida cuenta de las consideraciones que anteceden, procede responder a la sexta cuestión prejudicial que el artículo 79, apartado 1, del RGPD, a la luz del artículo 47 de la Carta, debe interpretarse en el sentido de que un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no está obligado, en el caso de que no se haya interpuesto ante él recurso al amparo de esa disposición, a garantizar de oficio la protección de las personas de cuyos datos se trate en lo referente a la observancia de las disposiciones de ese Reglamento relativas a la seguridad de los datos personales, aun cuando sea notorio que tal órgano judicial ha infringido estas últimas disposiciones en el pasado.

Costas

139

Dado que el procedimiento tiene, para las partes de los litigios principales, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes de los litigios principales, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

El artículo 19 TUE, apartado 1, párrafo segundo, a la luz del artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea,

debe interpretarse en el sentido de que

el principio de independencia judicial se opone a la práctica de un Estado miembro conforme a la cual los miembros de un órgano judicial de ese Estado miembro, que son elegidos por el Parlamento para mandatos de duración determinada y que son competentes para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador, siguen ejerciendo sus funciones tras concluir la duración legal de sus mandatos, fijada por la Constitución de dicho Estado miembro, hasta que el Parlamento elija nuevos miembros, sin que la prórroga de los mandatos caducados tenga, en el Derecho nacional, una base legal expresa con normas claras y precisas que regulen el ejercicio de esas funciones y sin que se garantice que tal prórroga esté, en la práctica, limitada en el tiempo.

El artículo 2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias, para la comprobación de las declaraciones de bienes de esos jueces y fiscales y de los miembros de sus familias, las cuales se publican, constituye un tratamiento de datos personales comprendido en el ámbito de aplicación material de dicho Reglamento.

El artículo 4, punto 7, del Reglamento 2016/679

debe interpretarse en el sentido de que

un órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último órgano de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias no puede calificarse de responsable del tratamiento en el sentido de esta disposición.

El artículo 51 del Reglamento 2016/679

debe interpretarse en el sentido de que

un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no constituye una autoridad de control, en el sentido de dicho artículo, en caso de que el Estado miembro al que pertenece no haya encomendado a dicho órgano jurisdiccional la supervisión de la aplicación de este Reglamento a fin de proteger, en particular, las libertades y los derechos fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales.

El artículo 79, apartado 1, del Reglamento 2016/679, a la luz del artículo 47 de la Carta de los Derechos Fundamentales,

debe interpretarse en el sentido de que

un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no está obligado, en el caso de que no se haya interpuesto ante él recurso al amparo de esa disposición, a garantizar de oficio la protección de las personas de cuyos datos se trate en lo referente a la observancia de las disposiciones de ese Reglamento relativas a la seguridad de los datos personales, aun cuando sea notorio que tal órgano judicial ha infringido estas últimas disposiciones en el pasado.

Firmas

( *1 ) Lengua de procedimiento: búlgaro.

Arriba

Elija las funciones experimentales que desea probar