Asuntos acumulados C‑313/23, C‑316/23 y C‑332/23

Inspektorat kam Visshia sadeben savet

(Petición de decisión prejudicial planteada por el Sofiyski rayonen sad)

Sentencia del Tribunal de Justicia (Sala Primera) de 30 de abril de 2025

«Procedimiento prejudicial — Estado de Derecho — Independencia judicial — Artículo 19 TUE, apartado 1, párrafo segundo — Tutela judicial efectiva en los ámbitos cubiertos por el Derecho de la Unión — Órgano judicial competente para proponer la apertura de procedimientos disciplinarios sancionadores contra los jueces y fiscales — Mantenimiento de los miembros del órgano judicial en el cargo tras la finalización de sus mandatos — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Seguridad de los datos — Acceso de un órgano judicial a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias — Autorización judicial para la comunicación de datos protegidos por el secreto bancario — Órgano jurisdiccional que autoriza la comunicación de los datos protegidos por el secreto bancario — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Artículo 51 — Concepto de “autoridad de control”»

1. Cuestiones prejudiciales — Sometimiento al Tribunal de Justicia — Órgano jurisdiccional nacional a efectos del artículo 267 TFUE — Concepto — Determinación en virtud de criterios estructurales y funcionales — Órgano jurisdiccional ante el que un órgano judicial presenta una solicitud de acceso a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias — Autorización judicial para la comunicación de los datos bancarios — Órgano jurisdiccional en el ejercicio de funciones de naturaleza jurisdiccional — Inclusión

   (Art. 19 TUE, ap. 1, párr. 2; art. 267 TFUE; Carta de los Derechos Fundamentales de la Unión Europea, arts. 7 y 8)

   (véanse los apartados 59 a 63)

2. Cuestiones prejudiciales — Competencia del Tribunal de Justicia — Límites — Obligación de los Estados miembros de establecer las vías de recurso necesarias para garantizar una tutela judicial efectiva — Cuestiones sobre normas nacionales relativas a la organización y el funcionamiento de un órgano judicial — Inclusión

   (Art. 19 TUE, ap. 1, párr. 2; art. 267 TFUE)

   (véanse los apartados 71 a 73)

3. Estados miembros — Obligaciones — Establecimiento de las vías de recurso necesarias para garantizar la tutela judicial efectiva — Respeto del principio de independencia judicial — Mantenimiento en el cargo, tras la finalización del mandato, de los miembros de un órgano judicial competente para proponer la apertura de procedimientos disciplinarios contra los jueces y fiscales — Falta de base legal expresa o de limitación temporal de tal prolongación — Improcedencia

   (Arts. 2 TUE y 19 TUE, ap. 1, párr. 2; Carta de los Derechos Fundamentales de la Unión Europea, art. 47)

   (véanse los apartados 81 a 97 y el punto 1 del fallo)

4. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Ámbito de aplicación — Excepciones — Tratamiento de datos en el ejercicio de una actividad no comprendida en el ámbito del Derecho de la Unión — Concepto — Comunicación a un órgano judicial de datos personales protegidos por el secreto bancario y referidos a jueces y fiscales y a miembros de sus familias — Comunicación en el contexto de la comprobación de las declaraciones de bienes — Exclusión

   [Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, art. 2, aps. 1, 2, letra a), y 3]

   (véanse los apartados 99 a 106 y el punto 2 del fallo)

5. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Concepto de responsable del tratamiento — Órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias — Exclusión

   [Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, art. 4, punto 7]

   (véanse los apartados 108 a 117 y el punto 3 del fallo)

6. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Autoridades de control nacionales — Concepto — Órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias — Exclusión

   [Art. 16 TFUE; Carta de los Derechos Fundamentales de la Unión Europea, art. 8, ap. 3; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 51, aps. 1, 2 y 4, 57, ap. 1, letras a) y g), y 58]

   (véanse los apartados 119 a 123 y el punto 4 del fallo)

7. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Vías de recurso — Órgano jurisdiccional competente para autorizar la divulgación de datos personales a un órgano judicial — Órgano jurisdiccional que conoce de una solicitud de acceso a datos presentada por el referido órgano judicial, y no de un recurso interpuesto contra un responsable del tratamiento — Obligación de garantizar de oficio el cumplimiento de las normas de seguridad de los datos — Inexistencia — Incumplimiento en el pasado de esas normas por parte de dicho órgano judicial — Irrelevancia

   [Carta de los Derechos Fundamentales de la Unión Europea, art. 47; Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 79, ap. 1]

   (véanse los apartados 128 a 138 y el punto 5 del fallo)

Resumen

El Tribunal de Justicia, en respuesta a una petición de decisión prejudicial planteada por el Sofiyski rayonen sad (Tribunal de Primera Instancia de Sofía, Bulgaria), declara que el principio de independencia judicial se opone a la práctica de un Estado miembro que permite que los miembros de un órgano judicial competente para proponer la apertura de procedimientos disciplinarios contra los jueces y fiscales se mantengan en el cargo tras concluir la duración legal de sus mandatos sin base legal expresa o limitación temporal de tal prolongación. Además, el Tribunal de Justicia precisa el alcance de los conceptos de «responsable del tratamiento» y de «autoridad de control», contemplados en el Reglamento general de protección de datos, ( 1 ) en el contexto de la comunicación de datos personales protegidos por el secreto bancario referentes a jueces y fiscales y a los miembros de sus familias que autoriza un órgano jurisdiccional nacional en respuesta a una solicitud del referido órgano judicial.

En mayo de 2023, tras expirar el plazo para la presentación de las declaraciones de bienes anuales de los jueces y fiscales y de sus familias correspondientes al año 2022, la Inspektorat kam Visshia sadeben savet (Inspección del Consejo Superior del Poder Judicial, Bulgaria; en lo sucesivo, «Inspección») presentó ante el órgano jurisdiccional remitente una solicitud al objeto de que se le comunicaran los datos de las cuentas bancarias de diversos jueces y fiscales y de los miembros de sus familias. ( 2 )

El órgano jurisdiccional remitente indica que la Inspección se creó en 2007, mediante enmienda a la Constitución búlgara, y, en cuanto órgano judicial, tiene el cometido de investigar acerca de las influencias indebidas que se ejerzan sobre los jueces y fiscales, de comprobar las declaraciones de bienes de estos y de detectar posibles conflictos de intereses y ataques a la independencia del poder judicial. Por otra parte, precisa que los mandatos de los miembros de la Inspección, elegidos por el Parlamento nacional para períodos de cuatro a cinco años, caducaron en el año 2020, sin que se eligiera a nuevos miembros. No obstante, en virtud de la jurisprudencia del Konstitutsionen sad (Tribunal Constitucional, Bulgaria), los miembros de la Inspección siguen ejerciendo sus funciones hasta que se elija a los nuevos miembros, pues se ha considerado que la preservación de la función atribuida a este órgano prima sobre los riesgos de abuso de sus miembros.

En estas circunstancias, el órgano jurisdiccional remitente se pregunta si la prórroga de los mandatos de los miembros de la Inspección pudiera quebrantar las garantías de independencia de esa autoridad y, en caso afirmativo, qué criterios permiten apreciar si tal prórroga es admisible y por cuánto tiempo.

Además, el órgano jurisdiccional remitente se pregunta por la función y las obligaciones de los órganos jurisdiccionales nacionales cuando tienen que autorizar el acceso de la Inspección a los datos personales de los jueces y fiscales. Más concretamente, se pregunta si su actividad consistente en autorizar a la Inspección el acceso a datos personales protegidos por el secreto bancario está comprendida en el ámbito de aplicación del RGPD y, en caso afirmativo, qué consecuencias se derivarían de ahí para el control que él debe ejercer. A este respecto, el órgano jurisdiccional remitente se pregunta si el control que tiene que realizar antes de autorizar el acceso de la Inspección a los datos en cuestión debe ser puramente formal y limitarse a comprobar si las personas respecto de las que se solicita el levantamiento del secreto bancario tienen la condición de personas sujetas a la obligación de declaración, es decir, si son jueces o fiscales o personas con una relación familiar u otra relación con estos últimos o si, por el contrario, debe garantizar la seguridad de los datos en cuestión en virtud del RGPD.

Apreciación del Tribunal de Justicia

El Tribunal de Justicia considera, en primer lugar, que el artículo 19 TUE, apartado 1, párrafo segundo, a la luz del derecho a la tutela judicial efectiva, ( 3 ) y más concretamente el principio de independencia judicial, se opone a la práctica de un Estado miembro conforme a la cual los miembros de un órgano judicial, que son elegidos por el Parlamento para unos mandatos de duración determinada y que son competentes para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para proponer a otro órgano judicial que les incoe un procedimiento disciplinario sancionador, siguen ejerciendo sus funciones tras concluir la duración legal de sus mandatos, fijada por la Constitución de dicho Estado miembro, hasta que el Parlamento elija nuevos miembros. La anterior conclusión se aplica cuando la prórroga de los mandatos caducados no tiene, en el Derecho nacional, una base legal expresa con normas claras y precisas que regulen el ejercicio de esas funciones y no se garantiza que tal prórroga esté, en la práctica, limitada en el tiempo.

A este respecto, el Tribunal de Justicia recuerda su reiterada jurisprudencia según la cual la exigencia de independencia de los órganos jurisdiccionales ( 4 ) obliga a que el régimen disciplinario de los jueces presente las garantías necesarias para evitar que se utilice como sistema de control político del contenido de las resoluciones judiciales. A este respecto, el establecimiento de normas que definan tanto los comportamientos constitutivos de infracciones disciplinarias como las sanciones concretas aplicables, prevean la intervención de un órgano independiente con arreglo a un procedimiento que garantice plenamente el derecho a la tutela judicial efectiva y el derecho de defensa ( 5 ) y reconozcan la posibilidad de impugnar judicialmente las decisiones de los órganos disciplinarios constituyen tales garantías.

En efecto, es básico que tales órganos actúen de forma objetiva e imparcial en el ejercicio de sus funciones y que estén para ello protegidos de toda influencia exterior. Tal es el caso, en particular, de un órgano judicial que, como la Inspección, dispone de amplias facultades para controlar la actividad de los jueces y fiscales en el ejercicio de sus funciones, su integridad y la inexistencia de conflictos de intereses por parte de estos, así como para, a raíz de tales controles, proponer a otro órgano judicial (en el presente caso, el Consejo Superior del Poder Judicial, Bulgaria) que les incoe un procedimiento disciplinario sancionador. Por ende, el conjunto de normas que regulan la organización y el funcionamiento de tal órgano, entre ellas las relativas al procedimiento de nombramiento de sus miembros, deben concebirse de tal manera que no puedan suscitar dudas legítimas en el ánimo de los justiciables acerca de la utilización de las prerrogativas y funciones del citado órgano como instrumento de presión sobre la actividad judicial o de control político de dicha actividad.

Por lo que toca a los mandatos de los miembros de la Inspección, que caducaron, sin que el parlamento nacional procediera a elegir a los nuevos miembros, el Tribunal de Justicia subraya que la normativa nacional no parece incluir ninguna norma relativa a la posible continuación de los referidos miembros en el cargo tras concluir la duración de sus mandatos. Aunque es cierto que, conforme a la jurisprudencia del Tribunal Constitucional, los miembros de la Inspección siguen ejerciendo sus funciones hasta la elección de los nuevos miembros, no es menos cierto que esa normativa nacional no incluye normas que regulen el ejercicio de esas funciones prorrogadas ni un mecanismo legal que permita poner fin a un eventual bloqueo en el proceso de nombramiento de los nuevos miembros de la Inspección. Así pues, la prórroga de los mandatos de los antiguos miembros de la Inspección parece, en la práctica, poder prolongarse sin limitación temporal alguna.

En este contexto, corresponde exclusivamente a los Estados miembros decidir si autorizan o no el ejercicio de las funciones de los miembros de un órgano judicial, que es competente para controlar la actividad de los jueces y fiscales y para proponer la incoación de procedimientos disciplinarios contra ellos, tras cumplirse la duración legal de los mandatos de esos miembros con la finalidad de garantizar que dicho órgano siga funcionando. No obstante, los Estados miembros están obligados, cuando optan por tal prórroga de los mandatos, a velar por que el ejercicio de las funciones tras caducar el mandato tenga una base legal expresa en el Derecho interno con normas claras y precisas que regulen tal ejercicio. Asimismo, deben velar por que las condiciones y el régimen a que se encuentre sujeto tal ejercicio se conciban de manera que los miembros en cuestión de tal órgano judicial puedan actuar, en el desempeño de sus funciones, con objetividad e imparcialidad. Por lo tanto, aunque, en determinadas circunstancias, la prórroga de los mandatos puede ser necesaria considerando la importancia de las funciones desempeñadas por el órgano judicial en cuestión, dicha prórroga solo puede contemplarse excepcionalmente y con la condición de que se regule con normas claras y precisas que excluyan, en la práctica, la posibilidad de que no tenga limitación temporal alguna.

En segundo lugar, el Tribunal de Justicia declara que la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias, para la comprobación de las declaraciones de bienes de esos jueces y fiscales y de los miembros de sus familias, las cuales se publican, constituye un tratamiento de datos personales comprendido en el ámbito de aplicación material del RGPD.

Para llegar a esta conclusión, el Tribunal de Justicia señala que, aunque la promulgación de normas aplicables al estatuto de los fiscales y de los jueces y al ejercicio de sus funciones es competencia de los Estados miembros, no es menos cierto que un tratamiento de datos que tiene como objetivo controlar la integridad de los jueces y fiscales y comprobar la existencia de eventuales conflictos de intereses no se encuadra en las excepciones al ámbito de aplicación material del RGPD, ( 6 ) en la medida en que no se trata de una actividad dirigida a preservar la seguridad nacional ni de una actividad que pueda incluirse en la misma categoría. En efecto, la comunicación a un órgano judicial de datos personales que están protegidos por el secreto bancario y que se refieren a jueces y fiscales y a los miembros de sus familias constituye una puesta a disposición de esos datos personales a favor de dicho órgano.

En tercer lugar, el Tribunal de Justicia se pronuncia sobre la interpretación de los conceptos de «responsable del tratamiento» y de «autoridad de control», a efectos del RGPD. ( 7 )

Por lo que respecta al concepto de «responsable del tratamiento», el Tribunal de Justicia considera que no está comprendido en este concepto un órgano jurisdiccional competente para autorizar, a petición de otro órgano judicial, la comunicación, por un banco, a este último de datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias.

En virtud de la normativa nacional, la Inspección es competente para efectuar, en particular, controles sobre la integridad y la inexistencia de conflictos de intereses de los jueces y fiscales, así como sobre sus declaraciones de bienes. A tal efecto, esa normativa brinda a la Inspección, por una parte, la posibilidad de solicitar el acceso a los datos relativos a las cuentas bancarias de los jueces y fiscales y de los miembros de sus familias y, por otra parte, la facultad para solicitar la autorización judicial previa a fin de acceder a dichos datos, cuando las personas de que se trate no presten su consentimiento a tal acceso. Por tanto, el órgano jurisdiccional ante el que se presenta la solicitud al objeto de que se autorice la comunicación de los datos no interviene sino a instancias de la Inspección y se limita a comprobar si concurren los requisitos de legalidad que el Derecho nacional establece. Del mismo modo, es la Inspección, y no el referido órgano jurisdiccional, quien determina, en función de las normas nacionales aplicables, las personas a cuyos datos pretende acceder a los efectos del ejercicio de sus facultades y respecto de las cuales presenta una solicitud de autorización ante dicho órgano jurisdiccional. Así pues, aunque el mencionado órgano jurisdiccional examina si y en qué medida se reúnen, en un caso concreto, los requisitos de legalidad del tratamiento, él no determina por sí mismo el fin del tratamiento ni las personas y los datos objeto del mismo. En estas circunstancias, el responsable del tratamiento no es ese órgano jurisdiccional, sino el órgano competente para la realización de los fines perseguidos.

Por lo que respecta al concepto de «autoridad de control», un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no se encuadra, según el Tribunal de Justicia, en este concepto cuando el Estado miembro al que pertenece no ha encomendado a dicho órgano jurisdiccional la supervisión de la aplicación del RGPD a fin de proteger, en particular, las libertades y los derechos fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales.

Por último, el Tribunal de Justicia considera que un órgano jurisdiccional competente para autorizar la comunicación de datos personales a otro órgano judicial no está obligado, en el caso de que no se haya interpuesto ante él recurso contra un responsable del tratamiento, ( 8 ) a garantizar de oficio la protección de las personas de cuyos datos se trate en lo referente a la observancia de las disposiciones de ese Reglamento relativas a la seguridad de los datos personales. Lo mismo cabe decir en el caso de que dicho órgano judicial haya infringido estas disposiciones en el pasado.

En efecto, el Tribunal de Justicia precisa que un órgano jurisdiccional nacional que no conozca de un recurso interpuesto contra una autoridad de control o contra un responsable del tratamiento ( 9 ) no está, a falta de normas que le confieran expresamente potestades de control, obligado a velar por la observancia de las disposiciones materiales del RGPD. A fin de garantizar la efectividad de tal recurso, los Estados miembros deben asegurarse de que la regulación concreta del ejercicio de los recursos previstos en el RGPD se ajuste efectivamente a las exigencias derivadas del derecho a la tutela judicial efectiva. ( 10 ) A tal efecto, el responsable del tratamiento —es decir, el órgano judicial competente al que se ha concedido el acceso a los datos personales— debe facilitar a las personas de cuyos datos se trate la información que se relaciona en el artículo 14 del RGPD, ( 11 ) información que es necesaria para que dichas personas puedan ejercer, en su caso, el derecho de oposición al tratamiento de sus datos personales ( 12 ) y el derecho de recurso en caso de que hayan sufrido daños y perjuicios. ( 13 )

( 1 ) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

( 2 ) De conformidad con el artículo 62, apartado 6, punto 12, de la Zakon za kreditnite institutsii (Ley de Entidades de Crédito) (DV n.o 59, de 21 de julio de 2006).

( 3 ) Artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

( 4 ) Tal como resulta del artículo 19 TUE, apartado 1, párrafo segundo.

( 5 ) Artículos 47 y 48 de la Carta.

( 6 ) En particular, de la excepción contemplada en el artículo 2, apartado 2, letra a), del RGPD, que señala que este Reglamento no se aplica al tratamiento de datos personales «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión». La citada excepción tiene como objeto excluir del ámbito de aplicación del RGPD el tratamiento de datos personales efectuado por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o de una actividad que pueda incluirse en la misma categoría.

( 7 ) En el sentido de los artículos 4, punto 7, y 51, apartado 1, del RGPD.

( 8 ) De conformidad con el artículo 79, apartado 1, del RGPD.

( 9 ) Artículo 78, apartado 1, y artículo 79, apartado 1, del RGPD.

( 10 ) Artículo 47 de la Carta

( 11 ) Más concretamente, en los apartados 1 y 2 de esta disposición.

( 12 ) Artículo 21 de RGPD.

( 13 ) Artículos 79 y 82 del RGPD.