–

per VS, da V. Harizanova;

–

per l’Inspektor v Inspektorata kam Visshia sadeben savet, da S. Mulyachka;

–

per il governo bulgaro, da M. Georgieva e T. Mitova, in qualità di agenti;

–

per il governo ceco, da O. Serdula, M. Smolek e J. Vláčil, in qualità di agenti;

–

per il governo dei Paesi Bassi, da M.K. Bulterman e J.M. Hoogveld, in qualità di agenti;

–

per la Commissione europea, da H. Kranenborg e I. Zaloguin, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 1, paragrafo 1, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89), nonché del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: l’«RGPD»), in particolare del suo articolo 6, paragrafo 1.

2

Tale domanda è stata presentata nell’ambito di una controversia tra VS e l’Inspektor v Inspektorata kam Visshia sadeben savet (Ispettore dell’Ispettorato del Consiglio superiore della magistratura, Bulgaria) (in prosieguo: l’«IVSS») in merito alla legittimità del trattamento di dati personali che lo riguardano, effettuato dalla procura distrettuale di Petrich (Bulgaria).

3

I considerando 19, 45 e 47 dell’RGPD così recitano:

(...)

(...)

4

L’articolo 2 dell’RGPD, intitolato «Ambito di applicazione materiale», ai paragrafi 1 e 2, così dispone:

«1.   Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.   Il presente regolamento non si applica ai trattamenti di dati personali:

(...)

5

L’articolo 4 dell’RGPD, intitolato «Definizioni», così dispone:

«Ai fini del presente regolamento s’intende per:

(...)

(...)».

6

L’articolo 5 dell’RGPD, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1, così dispone:

«I dati personali sono:

(...)

(...)».

7

Ai sensi dell’articolo 6 dell’RGPD, intitolato «Liceità del trattamento»:

«1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(…)

(...)

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

(...)

3.   La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. (...)».

8

L’articolo 21 dell’RGPD, intitolato «Diritto di opposizione», al paragrafo 1, prevede quanto segue:

«L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f) (...). Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».

9

L’articolo 23 dell’RGPD, intitolato «Limitazioni», enuncia, al paragrafo 1, che il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare, in particolare, taluni importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro.

10

I considerando da 8 a 12, 27 e 29 della direttiva 2016/680 così recitano:

(...)

(...)

11

L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», al suo paragrafo 1, così dispone:

«La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».

12

Le definizioni dei termini «dati personali» e «trattamento», contenute, rispettivamente, nei paragrafi 1 e 2 dell’articolo 3 di detta direttiva, intitolato «Definizioni», riprendono quelle enunciate ai punti 1 e 2 dell’articolo 4 dell’RGPD.

13

Ai sensi dell’articolo 3, paragrafo 7, lettera a), e paragrafo 8, della direttiva 2016/680:

«Ai fini della presente direttiva si intende per:

(…)

7.   “autorità competente”:

(...)

8.   “titolare del trattamento”: l’autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o dello Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell’Unione o dello Stato membro».

14

L’articolo 4 della direttiva 2016/680, intitolato «Principi applicabili al trattamento di dati personali», al suo paragrafo 1, enuncia quanto segue:

«Gli Stati membri dispongono che i dati personali siano:

(…)

(…)».

15

L’articolo 4, paragrafo 2, della direttiva 2016/680 così dispone:

«Il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali, è consentito nella misura in cui:

16

Ai sensi dell’articolo 6 della direttiva 2016/680, intitolato «Distinzione tra diverse categorie di interessati»:

«Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:

(...)».

17

L’articolo 9 della direttiva 2016/680, intitolato «Condizioni di trattamento specifiche», ai suoi paragrafi 1 e 2, così dispone:

«1.   I dati personali raccolti dalle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1, non possono essere trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1, a meno che tale trattamento non sia autorizzato dal diritto dell’Unione o dello Stato membro. Qualora i dati personali siano trattati per tali finalità diverse, si applica l’[RGPD], a meno che il trattamento non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.

2.   Qualora il diritto dello Stato membro affidi alle autorità competenti l’esecuzione di compiti diversi da quelli eseguiti per le finalità di cui all’articolo 1, paragrafo 1, l’[RGPD] si applica al trattamento per tali finalità (...), a meno che il trattamento non sia effettuato nel contesto di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione».

18

L’articolo 127 della Costituzione della Repubblica di Bulgaria così dispone:

«La procura vigila sull’osservanza delle leggi nel modo seguente:

1.   Dirige l’indagine e controlla la legittimità dello svolgimento della stessa;

2.   Può condurre un’indagine;

3.   Imputa la responsabilità dei reati alle persone che li hanno commessi e sostiene l’accusa nei processi che rientrano nell’ambito dell’azione penale;

(...)».

19

Conformemente al suo articolo 1, lo Zakon za zashtita na lichnite danni (legge sulla protezione dei dati personali) (DV n. 1, del 4 gennaio 2002; in prosieguo: lo «ZZLD») mira a garantire la protezione delle persone fisiche con riguardo al trattamento dei dati personali disciplinato dall’RGPD nonché con riguardo al trattamento di tali dati effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica e all’ordine pubblico.

20

Conformemente all’articolo 17, paragrafo 1, dello ZZLD, l’IVSS assicura il controllo e il rispetto dell’RGPD, dello ZZLD e degli atti in materia di protezione dei dati personali con riguardo al trattamento di tali dati da parte, segnatamente, della procura e delle autorità inquirenti nell’esercizio delle loro funzioni giudiziarie, a fini di prevenzione e indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. L’articolo 38 ter dello ZZLD riconosce all’interessato, in caso di violazione dei suoi diritti, in particolare da parte di tali autorità, il diritto di proporre ricorso dinanzi all’IVSS.

21

L’articolo 42, paragrafi 2 e 3, l’articolo 45, paragrafo 2, e l’articolo 47 dello ZZLD attuano le disposizioni, rispettivamente, dell’articolo 9, paragrafi 1 e 2, dell’articolo 4, paragrafo 2, e dell’articolo 6 della direttiva 2016/680.

22

L’articolo 191 del Nakazatelno-protsesualen kodeks (codice di procedura penale) (DV n. 86, del 28 ottobre 2005), nella versione applicabile alla controversia di cui al procedimento principale, così dispone:

«Il procedimento d’indagine è svolto in cause che rientrano nell’ambito dell’azione penale».

23

L’articolo 192 del codice di procedura penale, nella versione applicabile alla controversia di cui al procedimento principale, così dispone:

«Il procedimento d’indagine comprende un’indagine e atti della procura dopo la chiusura dell’indagine».

24

Gli articoli 8 e 9 del Grazhdanski protsesualen kodeks (codice di procedura civile) (DV n. 59, del 20 luglio 2007), nella versione applicabile alla controversia di cui al procedimento principale, attuano rispettivamente i principi del contraddittorio e della parità delle armi.

25

L’articolo 154 del codice di procedura civile, nella versione applicabile alla controversia di cui al procedimento principale, intitolato «Onere della prova», al paragrafo 1, prevede quanto segue:

«Ciascuna parte è tenuta a dimostrare i fatti sui quali fonda le proprie conclusioni o obiezioni».

26

L’articolo 2 ter dello Zakon za otgovornostta na darzhavata i obshtinite za vredi (legge sulla responsabilità per i danni causati dallo Stato e dai Comuni; DV n. 60, del 5 agosto 1988) così dispone:

«(1)   Lo Stato risponde dei danni causati ai cittadini e alle persone giuridiche da una violazione del diritto a che la causa sia esaminata e giudicata entro un termine ragionevole ai sensi dell’articolo 6, paragrafo 1, della [c]onvenzione [europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950].

(2)   I ricorsi di cui al paragrafo 1 sono esaminati conformemente al codice di procedura civile e il giudice tiene conto della durata complessiva e dell’oggetto della procedura, della sua complessità in fatto e in diritto, del comportamento delle parti e dei loro rappresentanti processuali o legali, del comportamento delle altre parti nel procedimento e delle autorità competenti, nonché di altri fatti pertinenti per la corretta risoluzione della controversia.

(...)».

27

Nel 2013 la procura distrettuale di Petrich avviava il procedimento d’indagine n. 252/2013 contro ignoti, per la commissione di un reato di cui all’articolo 325, paragrafo 1, del Nakazatelen Kodeks (codice penale), in combinato disposto con l’articolo 20, paragrafo 2, di quest’ultimo, nell’ambito di un incidente verificatosi in un bar. Il ricorrente nel procedimento principale, VS, prendeva parte a tale procedimento in qualità di vittima di tale reato.

28

Nel 2016, a seguito di diverse denunce riguardanti, in particolare, VS, la procura distrettuale di Petrich costituiva vari fascicoli contenenti informazioni relative a tale persona, senza tuttavia avviare un procedimento d’indagine in assenza di indizi della commissione di un reato.

29

Nel 2018, nell’ambito del procedimento d’indagine n. 252/2013, il procuratore incriminava tutte le persone che avevano partecipato all’incidente oggetto di tale procedimento, incluso VS.

30

Nell’ambito di un procedimento civile, VS proponeva, dinanzi all’Okrazhen sad Blagoevgrad (Tribunale regionale di Blagoevgrad, Bulgaria), un ricorso contro la procura della Repubblica di Bulgaria diretto al risarcimento dell’asserito danno risultante dalla durata eccessiva del procedimento d’indagine n. 252/2013. All’udienza del 15 ottobre 2018, al fine di garantire la difesa di detta procura, un procuratore della procura distrettuale di Petrich, rappresentante del pubblico ministero, chiedeva che i fascicoli aperti da tale procura nel 2016, menzionati al punto 28 della presente sentenza, fossero prodotti nell’ambito di detto ricorso. Dalla decisione di rinvio emerge che tale procuratore intendeva così dimostrare che i problemi di salute asseriti dal ricorrente nel procedimento principale non erano, come affermava quest’ultimo, imputabili a detto procedimento d’indagine, ma erano stati causati dai controlli effettuati dalla polizia e dalla procura distrettuale di Petrich nell’ambito di detti fascicoli. In questa stessa udienza, l’Okrazhen sad Blagoevgrad (Tribunale regionale di Blagoevgrad) ordinava a detta procura distrettuale di produrre copie conformi dei documenti dei fascicoli di cui trattasi, richiesta a cui il procuratore dava seguito.

31

Il 12 marzo 2020 VS proponeva ricorso dinanzi all’IVSS, sostenendo che la procura distrettuale di Petrich aveva violato disposizioni relative alla protezione dei dati personali. Da un lato, con il suo primo motivo, egli sosteneva che tale procura aveva illegittimamente utilizzato i dati personali che lo riguardavano, che erano stati raccolti quando era considerato vittima di un reato, al fine di perseguirlo nell’ambito del medesimo procedimento e per i medesimi fatti. Dall’altro lato, con il suo secondo motivo, egli deduceva l’illegittimità del trattamento dei dati personali raccolti nell’ambito dei fascicoli menzionati al punto 28 della presente sentenza, effettuato dalla stessa procura nell’ambito del ricorso per responsabilità che aveva proposto contro la procura della Repubblica di Bulgaria. Con decisione del 22 giugno 2020 l’IVSS respingeva tale ricorso.

32

Il 31 luglio 2020 VS proponeva, dinanzi al giudice del rinvio, un ricorso avverso tale decisione, con il quale sosteneva, da un lato, che il trattamento dei dati personali che lo riguardano nell’ambito del procedimento d’indagine n. 252/2013 è contrario, segnatamente, ai principi della direttiva 2016/680 e, dall’altro, che il trattamento dei dati raccolti nell’ambito dei fascicoli di cui al punto 28, dopo che la procura aveva rifiutato di avviare un procedimento d’indagine, violava i principi dell’RGPD.

33

Considerando, alla luce della giurisprudenza della Corte, che la controversia di cui al procedimento principale riguarda il trattamento dei dati personali nell’ambito di attività che rientrano nel campo di applicazione dell’RGPD e della direttiva 2016/680, il giudice del rinvio si interroga sui limiti fissati dal diritto dell’Unione per quanto riguarda il trattamento successivo di dati personali raccolti dal titolare del trattamento a fini, inizialmente, di accertamento e d’indagine su un reato.

34

In particolare, da un lato, il giudice del rinvio si chiede se – nel caso in cui la procura della Repubblica di Bulgaria, in qualità di «autorità competente», ai sensi dell’articolo 3, paragrafo 7, lettera a), della direttiva 2016/680, e in qualità di «titolare del trattamento», ai sensi dell’articolo 3, paragrafo 8, di tale direttiva, abbia raccolto, a fini di accertamento e d’indagine su un reato, dati personali relativi a una persona considerata vittima di detto reato al momento di tale raccolta – il successivo trattamento di tali dati da parte della medesima autorità ai fini del perseguimento di tale persona risponda a una finalità che rientra nell’ambito di detta direttiva, ma diversa da quella per cui i dati in questione sono stati raccolti, ai sensi dell’articolo 4, paragrafo 2, di quest’ultima.

35

Dall’altro lato, il giudice del rinvio constata che il riferimento, nell’ambito del ricorso per responsabilità proposto da VS, alle informazioni relative a tale persona contenute nei fascicoli aperti dalla procura distrettuale di Petrich nel 2016 persegue una finalità diversa da quella per la quale tali informazioni sono state raccolte e rileva che, nell’ambito di tale ricorso, la procura, in quanto convenuta, non agisce a fini di prevenzione, inchiesta, indagine o perseguimento di reati. Tuttavia, il giudice del rinvio si chiede se il mero fatto di indicare al giudice civile competente che detti fascicoli riguardano VS e di trasmettere a tale giudice in tutto o in parte tali informazioni costituiscano «trattamento[/i]» di «dati personali», ai sensi dell’articolo 4, punti 1 e 2, dell’RGPD, rientrante nell’ambito di applicazione di quest’ultimo, conformemente al suo articolo 2, paragrafo 1.

36

Inoltre, il giudice del rinvio ritiene, in sostanza, che la controversia di cui al procedimento principale sollevi la questione della conciliazione tra la protezione dei dati personali e i diritti di una parte a un procedimento giudiziario, qualora tali dati siano stati raccolti da tale parte, in qualità di titolare del trattamento, ai sensi dell’articolo 3, paragrafo 8, della direttiva 2016/680, in particolare, alla luce dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’RGPD, relativo alla necessità del trattamento ai fini degli interessi legittimi perseguiti da tale titolare.

37

Infatti, il giudice del rinvio considera che gli altri motivi per i quali è lecito un trattamento di dati personali rientranti nell’RGPD, che sono enunciati all’articolo 6, paragrafo 1, primo comma, di tale regolamento, non sono pertinenti nell’ambito della controversia di cui al procedimento principale. In particolare, esso ritiene che la trasmissione, da parte della procura all’organo giurisdizionale competente, di informazioni relative ai fascicoli penali da esso aperti, al fine di garantire la propria difesa nell’ambito di un procedimento civile, non sia necessaria per l’esecuzione di un compito di interesse pubblico né è connessa all’esercizio di pubblici poteri, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera e), di detto regolamento.

38

In tali circostanze, l’Administrativen sad – Blagoevgrad (Tribunale amministrativo di Blagoevgrad, Bulgaria) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

39

In via preliminare, si deve rilevare che il giudice del rinvio ha sì formalmente limitato la sua prima questione all’interpretazione dell’articolo 1, paragrafo 1, della direttiva 2016/680, ma ciò non impedisce alla Corte di fornirgli tutti gli elementi interpretativi che possano essere utili per definire il procedimento principale, traendo dall’insieme degli elementi forniti da tale giudice e, in particolare, dalla motivazione della decisione di rinvio, gli elementi del diritto dell’Unione che richiedono un’interpretazione, tenuto conto dell’oggetto della controversia (v., in tal senso, sentenze del 22 aprile 2021, Profi Credit Slovakia, C‑485/19, EU:C:2021:313, punto 50, e giurisprudenza ivi citata).

40

Ne consegue che, con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 1, paragrafo 1, della direttiva 2016/680, in combinato disposto con l’articolo 4, paragrafo 2, e con l’articolo 6 di quest’ultima, debba essere interpretato nel senso che un trattamento di dati personali soddisfa una finalità diversa da quella per la quale tali dati sono stati raccolti, qualora la raccolta di siffatti dati sia stata effettuata a fini di indagine su un reato e di accertamento di quest’ultimo e, al momento di tale raccolta, la persona interessata fosse considerata una vittima, mentre detto trattamento è effettuato al fine di perseguire tale persona all’esito dell’indagine penale di cui trattasi e, eventualmente, se tale trattamento sia autorizzato.

41

Secondo giurisprudenza costante, ai fini dell’interpretazione di una norma di diritto dell’Unione, si deve tener conto non soltanto della lettera della stessa, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte. Anche la genesi di una disposizione del diritto dell’Unione può fornire elementi pertinenti per la sua interpretazione (v., in tal senso, sentenza del 1o ottobre 2019, Planet49, C‑673/17, EU:C:2019:801, punto 48 e giurisprudenza ivi citata).

42

In primo luogo, occorre rilevare, anzitutto, che la formulazione dell’articolo 1, paragrafo 1, della direttiva 2016/680, relativo all’oggetto di quest’ultima, distingue espressamente diverse categorie di attività le cui finalità possono essere soddisfatte da un trattamento di dati personali in esse rientranti. A tal riguardo, dalle diverse versioni linguistiche di detta disposizione, in particolare quelle in lingua bulgara, spagnola, tedesca, greca, inglese e italiana, emerge che le diverse finalità di cui all’articolo 1, paragrafo 1, corrispondono rispettivamente alla «prevenzione» dei reati, all’«indagine» su di essi, all’«accertamento» di tali reati, al «perseguimento» di tali reati e all’«esecuzione di sanzioni penali», ivi compresa la «salvaguardia» e la «prevenzione» di «minacce alla sicurezza pubblica».

43

Inoltre, la formulazione dell’articolo 4, paragrafo 2, di tale direttiva, il quale enuncia che il trattamento per «una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1, [di quest’ultima] diversa da quella per cui sono raccolti i dati personali», è consentito, fatto salvo il rispetto dei requisiti enunciati da tale disposizione, conferma esplicitamente che i termini elencati in tale articolo 1, paragrafo 1, vale a dire «prevenzione», «indagine», «accertamento», «perseguimento», «esecuzione di sanzioni penali», «salvaguardia» e «prevenzione» di «minacce alla sicurezza pubblica» riguardano una pluralità di finalità distinte del trattamento dei dati personali che rientrano nell’ambito di applicazione della medesima direttiva.

44

Si deduce quindi dai termini stessi dell’articolo 1, paragrafo 1, della direttiva 2016/680, in combinato disposto con l’articolo 4, paragrafo 2, di quest’ultima, che, qualora dati personali a fini di «indagine» su un reato e di «accertamento» di esso, siano stati raccolti e successivamente trattati a fini di «perseguimento», detta raccolta e detto trattamento rispondono a finalità diverse.

45

Infine, occorre osservare che, ai sensi dell’articolo 6 della medesima direttiva, gli Stati membri hanno l’obbligo di disporre che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali, in particolare, quelli menzionati alle lettere a), b), e c), di tale articolo, ossia, rispettivamente, le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato, le persone condannate per un reato e le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato.

46

Di conseguenza, una persona i cui dati personali sono trattati al fine di perseguirla penalmente deve essere considerata rientrante nella categoria delle persone per le quali vi sono fondati motivi di ritenere che abbiano commesso un reato, ai sensi della lettera a) dell’articolo 6 della direttiva 2016/680. Ne consegue che se, come nell’ipotesi di cui alla prima questione, tale persona era stata inizialmente considerata vittima di reato, ai sensi della lettera c) dell’articolo 6 di tale direttiva, detto trattamento riflette una modifica di categoria di tale persona, circostanza di cui il responsabile del trattamento deve tener conto in forza del requisito di una chiara distinzione tra i dati di diverse categorie di persone, enunciata in tale articolo.

47

Ciò premesso, è giocoforza constatare che né l’articolo 1, paragrafo 1, della direttiva 2016/680, né l’articolo 4, paragrafo 2, di quest’ultima fanno riferimento all’articolo 6 di tale direttiva o al contenuto di quest’ultimo per determinare la finalità di un trattamento di dati personali rientrante nell’ambito di applicazione di detta direttiva.

48

Del resto, come sottolineato dall’avvocato generale al paragrafo 62 delle sue conclusioni, l’espressione «se del caso e nella misura del possibile», di cui all’articolo 6 della direttiva 2016/680, indica chiaramente che non è necessariamente possibile effettuare una distinzione chiara tra dati siffatti, in particolare quando, come nel caso di specie, essi sono raccolti ai fini di un «accertamento» o di un’«indagine» su un reato, dal momento che una stessa persona può rientrare in diverse categorie di persone di cui all’articolo 6 di tale direttiva e la determinazione delle categorie interessate può evolvere nel corso dell’indagine, in funzione della progressiva delucidazione dei fatti in questione.

49

Se ne deve dedurre che tale articolo 6 stabilisce un obbligo distinto da quello previsto in detto articolo 4, paragrafo 2, e, come afferma l’avvocato generale ai paragrafi da 61 a 64 delle sue conclusioni, che detto obbligo non è rilevante per stabilire se un trattamento di dati personali soddisfi una finalità diversa da quella per cui sono stati raccolti, ai sensi di tale ultima disposizione.

50

In secondo luogo, per quanto riguarda il contesto della normativa di cui trattasi, si deve rilevare che l’articolo 4, paragrafo 1, lettere b) e c), della direttiva 2016/680 dispone, da un lato, che i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità e, dall’altro, che tali dati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati. Tali due requisiti sono enunciati, in sostanza, negli stessi termini all’articolo 5, paragrafo 1, lettere b) e c), dell’RGPD, il quale precisa che essi corrispondono, rispettivamente, ai principi di limitazione della finalità e di minimizzazione dei dati.

51

Ciò premesso, occorre osservare, alla luce del considerando 29 di tale direttiva, che l’articolo 4, paragrafo 2, di quest’ultima autorizza un successivo trattamento di dati personali per una finalità diversa da quella per cui tali dati sono stati raccolti, qualora tale finalità figuri tra quelle enunciate all’articolo 1, paragrafo 1, della medesima direttiva e tale trattamento soddisfi le due condizioni previste a tale articolo 4, paragrafo 2, lettere a) e b). Da un lato, il titolare del trattamento deve essere autorizzato a trattare detti dati personali per una finalità siffatta conformemente al diritto dell’Unione o dello Stato membro. Dall’altro, il trattamento deve essere necessario e proporzionato a tale altra finalità.

52

In particolare, dati personali raccolti a fini di «prevenzione» e di «indagine» su reati o «accertamento» riguardante siffatti reati possono essere trattati successivamente, se del caso, da autorità competenti diverse, ai fini del «perseguimento» o dell’«esecuzione di sanzioni penali», qualora un reato sia stato individuato e richieda, di conseguenza, un’azione repressiva.

53

Tuttavia, nell’ambito della raccolta di dati personali a fini di «indagine» sui reati e di «accertamento» di questi ultimi, le autorità competenti sono chiamate a raccogliere qualsiasi dato potenzialmente rilevante per la determinazione dei fatti che integrano il reato di cui trattasi in una fase in cui questi ultimi non sono ancora stati accertati. Per contro, nell’ambito del trattamento dei dati personali ai fini del «perseguimento», tali dati mirano a dimostrare la sufficiente forza probatoria dei fatti ascritti agli imputati e l’esattezza della qualifica penale di tali fatti, al fine di consentire al giudice competente di statuire.

54

Di conseguenza, da un lato, i dati personali necessari a fini di «indagine» su un reato e di «accertamento» relativo a quest’ultimo non lo saranno sistematicamente a fini di «perseguimento». Dall’altro lato, le conseguenze del trattamento di dati personali per le persone interessate possono essere sostanzialmente diverse, per quanto riguarda, in particolare, il grado di ingerenza nel loro diritto alla protezione di tali dati e gli effetti di tale trattamento sulla loro situazione giuridica nell’ambito del procedimento penale di cui trattasi.

55

Inoltre, si deve rilevare che l’ambito di applicazione di detto articolo 4, paragrafo 2, non si limita ai trattamenti di dati personali effettuati in relazione allo stesso reato che ha giustificato la raccolta di tali stessi dati. Infatti, come esposto al considerando 27 della direttiva 2016/680, quest’ultima tiene conto della necessità, per le autorità competenti in materia di lotta contro i reati, di trattare dati personali per una finalità diversa da quella che ha portato alla raccolta di tali dati, in particolare con l’obiettivo di sviluppare conoscenze delle attività criminali e mettere in collegamento i diversi reati accertati.

56

Da quanto precede risulta che, al fine di soddisfare i requisiti di cui all’articolo 4, paragrafo 2, lettere a) e b), della direttiva 2016/680, la valutazione dell’osservanza di questi ultimi nell’ambito di un trattamento, da parte dello stesso o di un altro titolare del trattamento, di dati personali per una delle finalità enunciate all’articolo 1, paragrafo 1, diversa da quelle per le quali tali dati sono stati raccolti, deve essere condotta considerando specifica e distinta ciascuna delle finalità di cui a tale articolo 1, paragrafo 1.

57

In terzo luogo, per quanto riguarda gli obiettivi della normativa di cui trattasi, si deve rilevare che, come emerge dai considerando 10 e 11 della direttiva 2016/680, il legislatore dell’Unione ha inteso adottare norme che tengano conto della specificità del settore contemplato da tale direttiva.

58

Al riguardo, il considerando 12 enuncia che le attività svolte dalla polizia o da altre autorità preposte all’applicazione della legge vertono principalmente sulla prevenzione, l’indagine, l’accertamento o il perseguimento di reati, comprese le attività di polizia condotte senza previa conoscenza della rilevanza penale di un fatto.

59

Ne discende che il legislatore dell’Unione ha inteso adottare norme corrispondenti alle specificità che caratterizzano le attività svolte dalle autorità competenti nel settore disciplinato da tale direttiva, tenendo conto al contempo del fatto che esse costituiscono attività distinte che perseguono finalità che sono loro proprie.

60

Tale interpretazione, alla luce del contesto della disposizione in questione e degli obiettivi perseguiti dalla normativa di cui fa parte, è corroborata dalla sua genesi, in particolare dalla motivazione del Consiglio relativa alla posizione (UE) n. 5/2016 del Consiglio in prima lettura in vista dell’adozione della direttiva del Parlamento europeo e del Consiglio relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, C 158, pag. 46). Infatti, in tale motivazione, il Consiglio giustifica l’introduzione di detta disposizione nella direttiva 2016/680 indicando che essa «consente ad esempio che un procuratore tratti ai fini del perseguimento di un reato gli stessi dati personali trattati dalla polizia ai fini dell’accertamento di un reato poiché entrambe le finalità citate nell’esempio sono contemplate dall’articolo 1, paragrafo 1[, di tale direttiva]».

61

Spetta quindi al giudice del rinvio stabilire, per risolvere la controversia di cui al procedimento principale, se il trattamento dei dati personali riguardante VS, effettuato dalla procura distrettuale di Petrich al fine di perseguire tale persona, potesse essere autorizzato alla luce delle condizioni di cui all’articolo 4, paragrafo 2, della direttiva 2016/680, verificando se, da un lato, il diritto penale bulgaro consentisse a tale autorità di procedere a tale trattamento e se, dall’altro, quest’ultimo fosse necessario e proporzionato alla finalità cui esso sottostava.

62

Al riguardo, si deve rilevare che, al fine di valutare il carattere necessario e proporzionato di un siffatto trattamento, il giudice del rinvio potrà, se del caso, tener conto del fatto che l’autorità incaricata di tali azioni penali deve poter essere in grado di fondarsi sui dati raccolti nel corso di detta indagine in quanto prove dei fatti integranti il reato, in particolare, quelli relativi alle persone coinvolte in quest’ultimo, purché tali dati siano necessari alla loro identificazione e alla determinazione del loro coinvolgimento.

63

Alla luce di tutte le suesposte considerazioni, si deve rispondere alla prima questione dichiarando che l’articolo 1, paragrafo 1, della direttiva 2016/680, in combinato disposto con l’articolo 4, paragrafo 2, e con l’articolo 6 di quest’ultima, deve essere interpretato nel senso che un trattamento di dati personali soddisfa una finalità diversa da quella per la quale tali dati sono stati raccolti, qualora la raccolta di siffatti dati sia stata effettuata a fini di indagine su un reato e di accertamento di quest’ultimo, mentre detto trattamento è effettuato al fine di perseguire una persona in esito all’indagine penale in questione, e ciò indipendentemente dal fatto che tale persona fosse considerata una vittima al momento di detta raccolta, e che un siffatto trattamento è autorizzato in forza dell’articolo 4, paragrafo 2, di tale direttiva, purché rispetti le condizioni previste da tale disposizione.

64

Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, da un lato, se l’articolo 3, paragrafo 8, e l’articolo 9, paragrafi 1 e 2, della direttiva 2016/680, nonché l’articolo 2, paragrafi 1 e 2, dell’RGPD, debbano essere interpretati nel senso che tale regolamento è applicabile al trattamento di dati personali effettuato dalla procura di uno Stato membro, al fine di esercitare i suoi diritti di difesa nell’ambito di un ricorso per responsabilità dello Stato, nel caso in cui informi il giudice competente dell’esistenza di fascicoli riguardanti una persona fisica parte a tale ricorso, aperti ai fini enunciati dall’articolo 1, paragrafo 1, di tale direttiva, e trasmetta tali fascicoli a detto giudice, e, dall’altro, se, in caso di risposta affermativa, l’articolo 6, paragrafo 1, primo comma, lettera f), di detto regolamento debba essere interpretato nel senso che un tale trattamento di dati personali può essere considerato lecito ai fini dei legittimi interessi perseguiti dal titolare del trattamento, ai sensi di tale disposizione.

65

Nell’ambito delle sue osservazioni scritte l’IVSS mette in discussione la ricevibilità della seconda questione, sostenendo che quest’ultima è sollevata dal giudice del rinvio nell’ambito dell’esame di un motivo invocato da VS che era stato respinto in quanto irricevibile nella decisione oggetto del ricorso di cui al procedimento principale, a causa della decorrenza del termine legale per dedurlo.

66

Secondo costante giurisprudenza della Corte, le questioni relative all’interpretazione del diritto dell’Unione sollevate dal giudice nazionale nel contesto di fatto e di diritto che egli individua sotto la propria responsabilità, e del quale non spetta alla Corte verificare l’esattezza, godono di una presunzione di rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile soltanto qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, qualora la questione abbia natura ipotetica o anche quando la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte (v., in tal senso, sentenza del 27 settembre 2017, Puškár, C‑73/16, EU:C:2017:725, punto 50 e giurisprudenza ivi citata).

67

Nel caso di specie, si deve rilevare, come ha osservato l’avvocato generale ai paragrafi 76 e 77 delle sue conclusioni, che la questione della ricevibilità dei motivi dedotti da VS nell’ambito del suo ricorso dinanzi all’IVSS rientra interamente nella competenza del giudice del rinvio. Del resto, nella decisione di rinvio, tale giudice ha indicato che esso considerava rilevante la seconda questione, nonostante il rigetto, da parte dell’IVSS, del motivo menzionato al punto 65 della presente sentenza in quanto irricevibile. Non spetta, in ogni caso, alla Corte riesaminare tale valutazione.

68

Ne consegue che la seconda questione è ricevibile.

69

In primo luogo, occorre determinare se l’uso, da parte della procura di uno Stato membro, delle informazioni riguardanti una persona fisica da essa raccolte e trattate a fini rientranti nell’articolo 1, paragrafo 1, della direttiva 2016/680, per esercitare i suoi diritti di difesa nell’ambito di un procedimento civile, costituisca un «trattamento» di «dati personali», ai sensi dell’articolo 4, punti 1 e 2, dell’RGPD.

70

Anzitutto, occorre ricordare che costituisce un «dato personale», ai sensi dell’articolo 4, punto 1, dell’RGPD, «qualsiasi informazione riguardante una persona fisica identificata o identificabile», fermo restando che, secondo la giurisprudenza, tale definizione è applicabile quando, in ragione del loro contenuto, della loro finalità e del loro effetto, le informazioni di cui trattasi sono collegate a una persona determinata (v., in tal senso, sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 35). Inoltre, ai sensi dell’articolo 4, punto 2, dell’RGPD, la nozione di «trattamento» è definita come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali» quali, in particolare, «la consultazione», «l’uso», «la comunicazione mediante trasmissione», «la diffusione» o «qualsiasi altra forma di messa a disposizione». Tali definizioni riflettono l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tali due nozioni [v., in tal senso, sentenze del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 34, e del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 35].

71

A tal riguardo, da un lato, il fatto che la parte convenuta in un procedimento civile informi il giudice competente, anche in maniera succinta, nelle sue memorie o in udienza, dell’apertura di fascicoli riguardanti la persona fisica che ha intentato tale procedimento, in particolare a fini di «indagine» su un reato o di «accertamento» in materia penale, implica che tale parte convenuta ha «consultato», «usato» e «trasmesso» o «comunicato»«dati personali», ai sensi dell’articolo 4, punti 1 e 2, dell’RGPD. Pertanto, sia per il loro contenuto sia per la loro finalità e per il loro effetto, tali informazioni sono collegate a una persona determinata, identificabile sia dalla parte che le ha divulgate sia dal giudice al quale sono trasmesse.

72

Dall’altro lato, il fatto, per tale parte convenuta, di produrre, su richiesta del giudice competente, i fascicoli relativi ai procedimenti riguardanti detta persona fisica, implica, quanto meno, «l’uso» e la «comunicazione mediante trasmissione» di «dati personali», ai sensi dell’articolo 4, punti 1 e 2, dell’RGPD.

73

In secondo luogo, occorre ricordare che l’articolo 2, paragrafo 1, dell’RGPD definisce in modo ampio l’ambito di applicazione materiale di tale regolamento [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 61], il quale include qualsiasi «trattamento interamente o parzialmente automatizzato di dati personali e [i]l trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi». Il corollario di tale ampia definizione è che le eccezioni all’applicazione dell’RGPD, elencate al paragrafo 2 dell’articolo 2 di quest’ultimo, devono essere interpretate restrittivamente. È il caso, in particolare, dell’eccezione di cui al paragrafo 2, lettera d), di tale articolo, che riguarda il trattamento di dati personali effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punti 40 e 41 nonché giurisprudenza ivi citata].

74

A tal riguardo, la Corte ha dichiarato che, come risulta dal considerando 19 di tale regolamento, tale eccezione è motivata dalla circostanza che i trattamenti di dati personali da parte delle autorità competenti ai fini enunciati all’articolo 2, paragrafo 2, lettera d), dell’RGPD sono disciplinati da un atto specifico dell’Unione, ossia la direttiva 2016/680, la quale è stata adottata lo stesso giorno dell’RGPD [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 42 e giurisprudenza ivi citata].

75

Come si evince dal considerando 12 della direttiva 2016/680, il legislatore dell’Unione ha previsto, all’articolo 9 di tale direttiva, norme relative al trattamento di dati personali per fini diversi da quelli enunciati all’articolo 1, paragrafo 1, di detta direttiva, per i quali tali dati sono stati raccolti.

76

Al riguardo, l’articolo 9, paragrafo 1, della direttiva 2016/680 prevede, da un lato, che un siffatto trattamento di dati personali non può, in linea di principio, essere effettuato, a meno che non sia autorizzato dal diritto dell’Unione o dello Stato membro e, dall’altro, che l’RGPD si applica a tale trattamento, a meno che non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione. Inoltre, in forza dell’articolo 9, paragrafo 2, di tale direttiva, a meno che il trattamento non sia effettuato nel contesto di una siffatta attività, l’RGPD è applicabile al trattamento effettuato dalle autorità competenti nell’ambito dei loro compiti diversi da quelli eseguiti per i fini di cui all’articolo 1, paragrafo 1, di detta direttiva.

77

Orbene, nelle ipotesi di cui ai punti 71 e 72 della presente sentenza, la raccolta e il trattamento di dati personali, da parte della procura di uno Stato membro, a fini di «prevenzione», «indagine» sui reati, «accertamento» o «perseguimento» in materia costituiscono certamente trattamenti di dati personali ai fini enunciati all’articolo 1, paragrafo 1, della direttiva 2016/680, ai sensi dell’articolo 9, paragrafi 1 e 2, di tale direttiva.

78

Tuttavia, anche se la proposizione di un ricorso per responsabilità dello Stato trae origine da presunte irregolarità commesse dalla procura nell’ambito di un procedimento penale, quali, come nel caso di specie, asserite violazioni del diritto a essere giudicati entro un termine ragionevole, la difesa dello Stato nell’ambito di un siffatto ricorso non ha lo scopo di garantire, in quanto tali, i compiti incombenti a tale procura ai fini enunciati all’articolo 1, paragrafo 1, della direttiva 2016/680.

79

Inoltre, alla luce del principio di interpretazione restrittiva delle eccezioni all’applicazione dell’RGPD, gli stessi trattamenti di dati personali non possono essere considerati effettuati «per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione», ai sensi dell’articolo 2, paragrafo 2, lettera a), dell’RGPD e dell’articolo 9, paragrafi 1 e 2, della direttiva 2016/680. A tal riguardo, dalla giurisprudenza risulta che tale espressione ha il solo scopo di escludere dall’ambito di applicazione dell’RGPD i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività che mira a preservare la sicurezza nazionale o un’attività che può essere ascritta nella medesima categoria. Orbene, la partecipazione di un’autorità pubblica a un procedimento civile quale convenuto nell’ambito di un ricorso per responsabilità dello Stato non mira a preservare la sicurezza nazionale né può essere ascritta nella medesima categoria di attività [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punti da 66 a 68 e giurisprudenza ivi citata].

80

In terzo luogo, occorre rilevare che, ai fini dell’applicazione dell’RGPD ai trattamenti di dati di cui ai punti 71 e 72 della presente sentenza, la procura deve essere considerata come un «titolare del trattamento», ai sensi non solo dell’articolo 4, punto 7, dell’RGPD, ma anche dell’articolo 3, paragrafo 8, della direttiva 2016/680, in quanto «singolarmente o insieme ad altri», esso «determina le finalità e i mezzi» di tali trattamenti, ai sensi di quest’ultima disposizione. Infatti, è tale autorità, in quanto parte nel procedimento, che informa il giudice competente dell’esistenza di fascicoli aperti in materia penale riguardanti l’altra parte e che gli trasmette tali fascicoli. La sua qualità di «titolare del trattamento», alla luce dell’ampia definizione di tale nozione, che mira a garantire una protezione efficace e completa delle persone interessate, è indipendente dal suo grado di coinvolgimento e dal suo livello di responsabilità, i quali possono essere diversi da quelli del giudice competente, al quale spetta autorizzare, o addirittura ordinare, siffatti trattamenti (v., per analogia, sentenza del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punti da 66 a 70).

81

Orbene, indipendentemente dalla questione se i trattamenti di dati di cui al punto 80 della presente sentenza rientrino nel paragrafo 1 o nel paragrafo 2 dell’articolo 9 della direttiva 2016/680, dalla formulazione di tali paragrafi e della loro articolazione emerge che l’RGPD si applica a qualsiasi trattamento di dati personali raccolti a dei fini enunciati all’articolo 1, paragrafo 1, di tale direttiva, per fini diversi da essi, a meno che il trattamento di cui trattasi non rientri nel diritto dell’Unione, anche quando il «titolare del trattamento», ai sensi dell’articolo 3, paragrafo 8, di detta direttiva, è una «autorità competente», ai sensi dell’articolo 3, paragrafo 7, lettera a), di quest’ultima ed effettua il trattamento di dati personali nell’ambito di compiti diversi da quelli eseguiti ai fini enunciati all’articolo 1, paragrafo 1, della medesima direttiva.

82

Alla luce di tutte le suesposte considerazioni, si deve considerare che l’RGPD è applicabile ai trattamenti di dati personali effettuati dalla procura di uno Stato membro, al fine di esercitare i suoi diritti di difesa nell’ambito di un ricorso per responsabilità dello Stato, qualora, da un lato, essa informi il giudice competente dell’esistenza di fascicoli riguardanti una persona fisica che sia parte a tale ricorso, aperti ai fini enunciati all’articolo 1, paragrafo 1, della direttiva 2016/680 e, dall’altro, trasmetta tali fascicoli a detto giudice.

83

Occorre rammentare che l’articolo 6 dell’RGPD elenca, tassativamente, i casi in cui un trattamento dei dati personali può essere considerato lecito [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 99].

84

Tra tali casi, l’articolo 6, paragrafo 1, primo comma, lettera e), dell’RGPD prevede il trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento e l’articolo 6, paragrafo 1, primo comma, lettera f), di tale regolamento riguarda il trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. Ai sensi dell’articolo 6, paragrafo 1, secondo comma, di detto regolamento, l’articolo 6, paragrafo 1, primo comma, lettera f), di quest’ultimo non si applica al trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

85

Occorre rilevare che, come correttamente sottolineato dalla Commissione, nelle sue osservazioni scritte, dalla formulazione dell’articolo 6, paragrafo 1, secondo comma, dell’RGPD emerge chiaramente che un trattamento di dati personali effettuato da un’autorità pubblica nell’ambito dell’esecuzione dei suoi compiti non può rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’RGPD, relativo ai trattamenti di dati personali necessari per il perseguimento del legittimo interesse del titolare del trattamento. Come risulta dal considerando 47 dell’RGPD e come sostenuto dalla Commissione, quest’ultima disposizione non può applicarsi a siffatti trattamenti di dati, dal momento che la loro base giuridica dev’essere prevista dal legislatore. Ne consegue che, qualora il trattamento effettuato da un’autorità pubblica sia necessario per l’esecuzione di un compito di interesse pubblico, e rientri, di conseguenza, nei compiti menzionati all’articolo 6, paragrafo 1, secondo comma, di tale regolamento, l’applicazione dell’articolo 6, paragrafo 1, primo comma, lettera e), dell’RGPD e quella dell’articolo 6, paragrafo 1, primo comma, lettera f), di quest’ultimo si escludono a vicenda.

86

Prima di esaminare la questione dell’applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’RGPD, occorre quindi stabilire se il trattamento, da parte della procura di uno Stato membro, di dati personali, inizialmente raccolti per una o più finalità di cui all’articolo 1, paragrafo 1, della direttiva 2016/680, per garantire la difesa dello Stato o di un organo pubblico, nell’ambito di un ricorso per responsabilità diretto al risarcimento dei danni causati colposamente dallo Stato o da un organo pubblico nell’esercizio dei suoi compiti, sia necessario per l’esecuzione di un compito di interesse pubblico o è connesso all’esercizio di pubblici poteri di cui è investito, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera e), di tale regolamento.

87

Orbene, come rilevato, in sostanza, dall’avvocato generale ai paragrafi 94 e 100 delle sue conclusioni, quando spetta alla procura difendere gli interessi giuridici e patrimoniali dello Stato nell’ambito di un ricorso per responsabilità che mette in discussione le azioni o il comportamento di tale autorità pubblica nell’ambito dei compiti di interesse pubblico ad essa attribuiti in materia penale, la tutela di tali interessi può costituire, in forza del diritto nazionale, un compito di interesse pubblico, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera e), di tale regolamento.

88

Infatti, da un lato, mediante l’esercizio dei diritti procedurali che le sono riconosciuti in qualità di convenuta, detta autorità pubblica preserva la certezza del diritto per gli atti compiuti e le decisioni adottate nell’interesse pubblico, messi in discussione dal ricorrente. Le sue prese di posizione sui motivi e sugli argomenti di quest’ultimo possono evitare, se del caso, il rischio che essi compromettano l’applicazione effettiva delle norme ad essa incombente nell’ambito dei compiti in relazione ai quali le viene imputato un esercizio colpevole.

89

Dall’altro lato, con i suoi motivi e argomenti difensivi, questa stessa autorità pubblica può mettere in evidenza, se ciò si verifica, il carattere eventualmente infondato o eccessivo delle domande risarcitorie del ricorrente, al fine, in particolare, di evitare che l’esecuzione dei compiti di interesse pubblico contestata nell’ambito del ricorso per responsabilità sia ostacolata dalla prospettiva di azioni di risarcimento danni, qualora tali compiti possano pregiudicare gli interessi dei singoli.

90

A tal riguardo, è irrilevante il fatto che, nell’ambito di un ricorso per responsabilità dello Stato, la procura agisca, in quanto convenuta, su un piano di parità con le altre parti, e non eserciti prerogative di pubblici poteri, come avviene nell’ambito dell’esercizio dei suoi compiti in materia penale.

91

Nel caso di specie, dalla decisione di rinvio e dalle precisazioni fornite dal governo bulgaro in risposta ai quesiti della Corte emerge che il ricorso per responsabilità che, in parte, ha dato origine alla controversia di cui al procedimento principale, si basa sulla legge sulla responsabilità per i danni causati dallo Stato e dai Comuni, menzionata al punto 26 della presente sentenza, che stabilisce un regime di responsabilità dello Stato per i danni causati da una violazione del diritto a che una causa sia esaminata e decisa entro un termine ragionevole e che, conformemente all’articolo 7 di tale legge, è l’autorità i cui atti, fatti o omissioni illecite hanno causato il danno a essere parte alla controversia e che, a tale titolo, si sostituisce allo Stato sul piano procedurale.

92

Pertanto, il ruolo dell’autorità all’origine dell’asserito danno nell’ambito di un siffatto ricorso per responsabilità si distingue da quello del convenuto nell’ambito di un’azione di regresso dello Stato diretta nei confronti dell’agente pubblico la cui responsabilità personale sorge a motivo delle violazioni commesse nell’esercizio delle sue funzioni, dal momento che, in quest’ultima ipotesi, tale ruolo mira alla difesa di interessi privati (v., in tal senso, sentenza del 18 maggio 2021, AsociaţiaForumul Judecătorilor din România e a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 e C‑397/19, EU:C:2021:393, punto 225).

93

Pertanto, alla luce delle considerazioni che precedono, si deve considerare che il trattamento, da parte della procura di uno Stato membro, di dati personali, inizialmente raccolti e trattati per una o più finalità di cui all’articolo 1, paragrafo 1, della direttiva 2016/680, per garantire la difesa dello Stato, nell’ambito di un ricorso per responsabilità diretto al risarcimento dei danni causati colposamente da tale procura nell’esercizio dei suoi compiti è, in linea di principio, tale da non rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), dell’RGPD, bensì nell’ambito dell’articolo 6, paragrafo 1, primo comma, lettera e), dell’RGPD.

94

Inoltre, non si può escludere che, qualora, al fine di garantire la difesa dello Stato nell’ambito di un ricorso per responsabilità, la procura di uno Stato membro trasmetta dati personali al giudice competente, su domanda di quest’ultimo, tale trasmissione possa rientrare anche nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera c), dell’RGPD, qualora, in forza del diritto nazionale applicabile, detta procura sia tenuta a dar seguito a una siffatta domanda.

95

In tali circostanze, al fine di dimostrare che trattamenti di dati personali come quelli di cui trattasi nel procedimento principale rientrano nell’ambito di applicazione delle disposizioni dell’articolo 6, paragrafo 1, primo comma, dell’RGPD, spetta al giudice del rinvio verificare se, conformemente all’articolo 6, paragrafo 3, di tale regolamento, il diritto nazionale definisca, da un lato, la base su cui si fondano siffatti trattamenti e, dall’altro, le finalità di questi ultimi o, per quanto riguarda tale articolo 6, paragrafo 1, primo comma, lettera e), se detti trattamenti siano necessari per l’esecuzione, da parte della procura, del suo compito di interesse pubblico.

96

Peraltro, spetta al giudice del rinvio determinare se la divulgazione, da parte della procura, di informazioni riguardanti l’autore del ricorso per responsabilità, contenute in fascicoli aperti in cause diverse da quella all’origine di tale ricorso, soddisfi gli altri requisiti previsti dall’RGPD, e in particolare il principio della «minimizzazione dei dati» di cui all’articolo 5, paragrafo 1, lettera c), dell’RGPD, secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto è necessario rispetto alle finalità per le quali sono trattati e che dà espressione al principio di proporzionalità [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 98]. Inoltre, ad esso spetta verificare che tale trattamento di dati personali sia stato effettuato nel rispetto delle garanzie adeguate, in particolare della possibilità di commentare efficacemente le informazioni e gli elementi di prova forniti in tale ambito dalla procura, ma anche, conformemente all’articolo 21, paragrafo 1, dell’RGPD, di opporsi alla comunicazione di tali informazioni e di tali elementi di prova al giudice competente, fatte salve le limitazioni a tale diritto di opposizione previste dalla legislazione nazionale, conformemente all’articolo 23, paragrafo 1, di tale regolamento.

97

Alla luce di quanto precede, si deve rispondere alla seconda questione dichiarando che:

98

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quinta Sezione) dichiara: