1.

Un principio fondamentale del regolamento (UE) 2016/679 ( 2 ), che costituisce la normativa generale in materia di protezione dei dati personali, e della direttiva (UE) 2016/680 ( 3 ) (lex specialis relativa alla stessa materia nei procedimenti penali) è quello della limitazione della raccolta di tali dati e del loro trattamento alle specifiche finalità previste dalla legge.

2.

Nel presente procedimento, la Corte deve rispondere ai dubbi di un giudice bulgaro riguardanti l’interpretazione dell’RGPD e della direttiva 2016/680, per chiarire se sussista un trattamento illecito dei dati personali detenuti dalla Procura della Repubblica di uno Stato membro quando:

3.

A tenore dell’articolo 2 («Ambito di applicazione materiale»):

«1.   Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.   Il presente regolamento non si applica ai trattamenti di dati personali:

(…)

(…)».

4.

L’articolo 4 («Definizioni») stabilisce quanto segue:

«Ai fini del presente regolamento s’intende per:

(…)

(…)

(…)».

5.

L’articolo 5 («Principi applicabili al trattamento di dati personali») così dispone:

«1.   I dati personali sono:

(…)».

6.

L’articolo 6 («Liceità del trattamento») così recita:

«1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(…)

(…)

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

(…)

3.   La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento (…). Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

4.   Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

7.

Ai sensi dell’articolo 1 («Oggetto e obiettivi»):

«1.   La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

2.   Ai sensi della presente direttiva gli Stati membri:

(…)».

8.

L’articolo 2 («Ambito di applicazione») prevede quanto segue:

«1.   La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1.

(…)

3.   La presente direttiva non si applica ai trattamenti di dati personali:

(…)».

9.

L’articolo 3, punti 1, 2 e 8, riprende le definizioni di cui all’articolo 4, punti 1, 2 e 7, dell’RGPD.

10.

L’articolo 4 («Principi applicabili al trattamento di dati personali») così dispone:

«(…)

2.   Il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali, è consentito nella misura in cui:

(…)».

11.

L’articolo 6 («Distinzione tra diverse categorie di interessati») stabilisce quanto segue:

«Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:

12.

L’articolo 8 («Liceità del trattamento») enuncia quanto segue:

«1.   Gli Stati membri dispongono che il trattamento sia lecito solo se e nella misura in cui è necessario per l’esecuzione di un compito di un’autorità competente, per le finalità di cui all’articolo 1, paragrafo 1, e si basa sul diritto dell’Unione o dello Stato membro.

2.   Il diritto dello Stato membro che disciplina il trattamento nell’ambito di applicazione della presente direttiva specifica quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento».

13.

Ai sensi dell’articolo 9 («Condizioni di trattamento specifiche»):

«1.   I dati personali raccolti dalle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1, non possono essere trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1, a meno che tale trattamento non sia autorizzato dal diritto dell’Unione o dello Stato membro. Qualora i dati personali siano trattati per tali finalità diverse, si applica [l’RGPD], a meno che il trattamento non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.

2.   Qualora il diritto dello Stato membro affidi alle autorità competenti l’esecuzione di compiti diversi da quelli eseguiti per le finalità di cui all’articolo 1, paragrafo 1, [l’RGPD] si applica al trattamento per tali finalità, comprese quelle di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalità statistiche, a meno che il trattamento non sia effettuato nel contesto di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.

(…)».

14.

L’articolo 127 prevede la competenza esclusiva della Procura della Repubblica per la conduzione di indagini, l’imputazione di responsabilità penali e la proposizione dell’azione penale dinanzi all’autorità giudiziaria in caso di reati perseguibili d’ufficio.

15.

L’articolo 1 così dispone:

«(1)   La presente legge disciplina le relazioni pubbliche relative alla protezione dei diritti delle persone fisiche con riguardo al trattamento dei dati personali nella misura in cui non sono disciplinate [dall’RGPD].

(2)   La presente legge stabilisce inoltre le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce all’ordine pubblico e alla sicurezza pubblica e la prevenzione di tali minacce.

(…)».

16.

L’articolo 17 stabilisce quanto segue:

«(1)   L’Ispettorato del Consiglio Superiore della Magistratura assicura il controllo e il rispetto [dell’RGPD], della presente legge e degli atti in materia di protezione dei dati personali per quanto riguarda il trattamento dei dati personali da parte:

1. dei giudici nell’esercizio delle loro funzioni di autorità giudiziaria, e

2. della Procura della Repubblica e delle autorità inquirenti nell’esercizio delle loro funzioni di autorità giudiziaria a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

(…)».

17.

L’articolo 42 così recita:

«(1)   Le norme del presente capo si applicano in caso di trattamento di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce all’ordine pubblico e alla sicurezza pubblica e la prevenzione di tali minacce.

(2)   I dati personali raccolti per le finalità di cui al paragrafo 1 non sono trattati per finalità diverse, salvo altrimenti disposto dal diritto dell’Unione o dalle leggi della Repubblica di Bulgaria.

(3)   Qualora le autorità competenti ai sensi del paragrafo 1 trattino i dati personali per finalità diverse da quelle di cui al paragrafo 1, nonché nei casi previsti al paragrafo 2, si applicano [l’RGPD] e le pertinenti disposizioni della presente legge che introducono misure di attuazione del medesimo.

(4)   Si intende per “autorità competente” ai sensi del paragrafo 1 qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e all’ordine pubblico e la prevenzione di tali minacce.

(5)   Salvo diversa disposizione di legge, il titolare del trattamento, ai sensi del presente capo, di dati personali per le finalità di cui al paragrafo 1 è un’autorità competente ai sensi del paragrafo 4 o l’entità amministrativa di cui tale autorità fa parte e che, da sola o insieme ad altre autorità, determina le finalità e i mezzi del trattamento dei dati personali».

18.

L’articolo 45 dispone quanto segue:

«(…)

(2)   Il trattamento di dati personali da parte del titolare del trattamento che li ha inizialmente raccolti, o da parte di un altro titolare del trattamento, per una finalità di cui all’articolo 42, paragrafo 1, diversa da quella per la quale i dati personali sono stati raccolti, è consentito se:

1. il titolare del trattamento è autorizzato a trattare dati personali per tale finalità, conformemente al diritto dell’Unione o alla legislazione della Repubblica di Bulgaria, e

2. il trattamento sia necessario e proporzionato per conseguire tale finalità, conformemente al diritto dell’Unione o alla legislazione della Repubblica di Bulgaria.

(…)».

19.

L’articolo 47 riproduce l’articolo 6 della direttiva 2016/680.

20.

L’articolo 49 enuncia quanto segue:

«Il trattamento dei dati personali è lecito se risulta necessario per l’esercizio dei poteri riconosciuti all’autorità competente per le finalità di cui all’articolo 42, paragrafo 1, ed è previsto dal diritto dell’Unione o da una legge indicante le finalità del trattamento e le categorie di dati personali da trattare».

21.

Sotto la direzione della Rayonna prokuratura – Petrich (Procura della Repubblica del distretto di Petrich, Bulgaria) veniva avviato un procedimento di indagine (n. 252/2013 della polizia di Petrich) ( 6 ) per accertare fatti costitutivi di un reato ( 7 ) avvenuti il 18 aprile 2013.

22.

Durante tali indagini venivano raccolti i dati personali di VS, inizialmente in quanto persona offesa.

23.

Con decisioni della Procura della Repubblica del 4 e 5 aprile 2018, quattro persone (tra cui VS) venivano imputate per tali fatti.

24.

Il 10 novembre 2020, il Rayonen sad Petrich (Tribunale distrettuale di Petrich, Bulgaria) disponeva l’archiviazione del procedimento penale per prescrizione.

25.

Nel 2016 e 2017, a seguito di denunce nei confronti di VS, la Procura della Repubblica del distretto di Petrich avviava varie indagini ( 8 ) che, in mancanza di elementi indicanti la sussistenza di una fattispecie di reato, non davano luogo ad alcun procedimento penale.

26.

Nel 2018, VS proponeva un’azione civile ( 9 ) nei confronti della Procura della Repubblica di Bulgaria dinanzi all’Okrazhen sad – Blagoevgrad (Tribunale distrettuale di Blagoevgrad, Bulgaria), chiedendo il risarcimento dei danni causati dalla durata eccessiva del procedimento penale n. 252/2013.

27.

Per difendersi da tale azione civile, la Procura della Repubblica chiedeva al giudice di acquisire i fascicoli n. 517/2016 e n. 1872/2016 della stessa Procura del distretto di Petrich.

28.

Con ordinanza del 15 ottobre 2018, l’Okrazhen sad – Blagoevgrad (Tribunale regionale di Blagoevgrad) ordinava alla Procura del distretto di Petrich di produrre copie dei documenti contenuti nei fascicoli n. 517/2016 e n. 1872/2016.

29.

Il 12 marzo 2020, VS proponeva un reclamo dinanzi alla Inspektorata kam Visshia sadeben savet (autorità di controllo del Consiglio superiore della magistratura; in prosieguo: l’«IVSS») contro ciò che considerava un duplice trattamento illecito dei suoi dati personali da parte della Procura della Repubblica, la quale avrebbe utilizzato indebitamente:

30.

Il 22 giugno 2020, l’IVSS respingeva la duplice domanda di VS.

31.

VS ha impugnato tale decisione dell’IVSS dinanzi all’Administrativen sad Blagoevgrad (Tribunale amministrativo di Blagoevgrad, Bulgaria), il quale sottopone alla Corte le seguenti questioni pregiudiziali:

32.

La domanda di pronuncia pregiudiziale è pervenuta presso la cancelleria della Corte il 23 marzo 2021.

33.

Sono comparsi e hanno presentato osservazioni scritte VS, l’IVSS, i governi bulgaro, ceco e dei Paesi Bassi, nonché la Commissione europea.

34.

La Corte non ha ritenuto indispensabile lo svolgimento di un’udienza pubblica, che non è stata richiesta da nessuna delle parti.

35.

L’RGPD e la direttiva 2016/680 configurano un sistema coerente in cui:

36.

La tutela fornita dal regime costituito dalle due normative si basa sui principi di liceità, correttezza, trasparenza e, per quanto qui rileva, sul principio della stretta limitazione della raccolta dei dati e del loro trattamento alle finalità previste dalla legge ( 10 ).

37.

In particolare, l’articolo 5, paragrafo 1, lettera b), dell’RGPD prevede che i dati siano «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità» ( 11 ). In questi termini si esprime anche, in quanto lex specialis, l’articolo 4, paragrafo 1, lettera b), della direttiva 2016/680.

38.

Pertanto, i dati personali non possono essere raccolti né trattati in generale, bensì solo per finalità determinate ( 12 ) e alle condizioni di liceità stabilite dal legislatore dell’Unione.

39.

Il principio dello stretto collegamento tra la raccolta e il trattamento dei dati, da un lato, e le finalità che le due operazioni devono perseguire, dall’altro, non ha carattere assoluto, in quanto sia l’RGPD che la direttiva 2016/680 consentono una certa flessibilità, come esporrò più avanti.

40.

Nella controversia a qua, il giudice amministrativo deve decidere se l’autorità di controllo (l’IVSS) ( 13 ) abbia agito legittimamente respingendo il reclamo con cui VS addebitava alla Procura della Repubblica bulgara il trattamento illecito dei suoi dati personali.

41.

Tali dati erano stati raccolti, come ho già esposto, in due contesti diversi:

42.

Le questioni del giudice del rinvio riguardano pertanto:

43.

Concordo con il giudice del rinvio, e con tutte le parti intervenute nel presente procedimento pregiudiziale, sul fatto che il trattamento dei dati personali oggetto della prima questione pregiudiziale è disciplinato dalla direttiva 2016/680.

44.

Ai sensi dell’articolo 1, paragrafo 1, e dell’articolo 2, paragrafo 1, della direttiva 2016/680, quest’ultima si applica al trattamento di dati personali effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati. Nel presente procedimento, i dati di VS sono stati raccolti e trattati, per l’appunto, nell’ambito di un’indagine penale.

45.

Tuttavia, per quanto riguarda la trasmissione di dati personali ai fini del procedimento civile promosso nei confronti della Procura della Repubblica (seconda questione pregiudiziale), si applica l’RGPD se tale trasmissione costituisce un trattamento di dati per finalità estranee a quelle di cui all’articolo 1, paragrafo 1, della direttiva 2016/680, ma rientranti in un’attività ricompresa nell’ambito del diritto dell’Unione.

46.

Ai sensi dell’articolo 4, paragrafo 2, della direttiva 2016/680, il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1 ( 15 ), diversa da quella per cui sono raccolti i dati personali, è consentito nella misura in cui:

47.

La direttiva 2016/680 consente, pertanto, una riassegnazione ad intra dei dati personali raccolti in forza della stessa. I dati personali che sono stati raccolti per una delle finalità elencate all’articolo 1, paragrafo 1, di detta direttiva possono essere utilizzati, a determinate condizioni, anche per un’altra o altre finalità incluse in tale elenco.

48.

Il problema sollevato dalla prima questione pregiudiziale è se i dati personali di VS raccolti quando egli appariva come presunta persona offesa dal reato oggetto di indagine possano essere successivamente trattati contro il medesimo in quanto soggetto indagato, o imputato, nell’ambito dello stesso procedimento penale.

49.

In altri termini, occorre accertare se i dati personali di VS siano stati trattati per la medesima finalità che ne ha giustificato la raccolta iniziale o, piuttosto, per due finalità diverse, ma rientranti nel campo di applicazione della direttiva 2016/680. In questa seconda circostanza, il trattamento dovrebbe essere soggetto alle condizioni specifiche di cui all’articolo 4, paragrafo 2, di tale direttiva.

50.

Il giudice del rinvio ha formulato la sua prima questione in maniera un po’ ambigua per quanto riguarda l’oggetto della controversia. Esso chiede, letteralmente, se l’articolo 1, paragrafo 1, della direttiva 2016/680 debba essere interpretato «nel senso che, nell’indicare le finalità, le nozioni di “prevenzione, indagine, accertamento e perseguimento di reati” sono elencate quali aspetti di una finalità generale».

51.

Alla luce dell’esposizione del giudice del rinvio, sarebbe forse opportuno riformulare la sua prima questione, come hanno proposto le parti e gli intervenienti nel presente procedimento pregiudiziale. Più che soffermarsi sul rapporto astratto finalità generale/finalità particolare, ciò che interessa realmente (e su cui verteva, in realtà, il reclamo di VS) è se, nel contesto di un procedimento penale disciplinato dalla direttiva 2016/680, la finalità che ha indotto a raccogliere i dati di una persona in quanto presunta vittima di un reato sussista ancora quando tali dati conducano alla sua successiva incriminazione nel medesimo procedimento.

52.

L’interpretazione testuale dell’articolo 1, paragrafo 1, della direttiva 2016/680 indica che, nell’ambito di tale diposizione, possono distinguersi tre tipi di finalità, che corrispondono a fasi e ad attività diverse:

53.

Sotto il profilo sistematico o contestuale, l’articolo 4, paragrafo 2, della direttiva 2016/680 depone nel senso di considerare separabili ciascuna di tali finalità. Se così non fosse, come ha rilevato il governo dei Paesi Bassi, detta disposizione sarebbe priva di contenuto, dato che essa contempla, per l’appunto, una «finalità di cui all’articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali (...)».

54.

Sulla base di tale premessa, tenterò di spiegare perché, nel presente procedimento, i dati controversi siano stati raccolti e trattati per una delle finalità (quella di «indagine») menzionata dall’articolo 1, paragrafo 1, della direttiva 2016/680, il che determina l’applicazione di quest’ultima e la conseguente liceità del trattamento.

55.

In subordine, qualora la raccolta e il trattamento avessero perseguito due finalità tra quelle elencate all’articolo 4, paragrafo 2, della direttiva 2016/680, nemmeno la loro liceità sarebbe contestabile.

56.

Nelle indagini penali non è sempre possibile determinare fin dall’inizio lo status procedurale delle persone coinvolte. Con tali indagini si tenta, in molti casi, di identificare e, pertanto, «categorizzare» i soggetti che appaiono prima facie come autori, vittime o testimoni dei fatti.

57.

È logico che in tale fase preparatoria esista una certa fluidità nella categorizzazione. L’indagine deve condurre, sulla base dei risultati che man mano fornisce, all’identificazione esatta della qualità in cui tali persone interverranno al momento del giudizio dei fatti.

58.

Ciò vale, segnatamente, in casi come quello di specie. Secondo il giudice del rinvio, vi sono state aggressioni incrociate tra una pluralità di persone. Una di esse, che inizialmente appariva come vittima, in definitiva è stata imputata in quanto autrice di tali aggressioni.

59.

In siffatto contesto, l’insieme dell’attività svolta rientra nella nozione di «indagine» di cui all’articolo 1, paragrafo 1, della direttiva 2016/680. Lo scopo di tale attività era quindi unico e corrisponde a una delle «finalità» che possono essere perseguite con il trattamento dei dati personali.

60.

Il giudice del rinvio dubita, tuttavia, che tale interpretazione dell’articolo 1, paragrafo 1, della direttiva 2016/680 sia compatibile con il considerando 31 della stessa ( 16 ).

61.

Concordo con il parere della maggioranza delle parti che detto considerando, al pari dell’articolo 6 della direttiva 2016/680, che lo presuppone, non sono rilevanti per stabilire se si sia verificato il cambiamento di finalità cui fa riferimento l’articolo 4, paragrafo 2, di tale direttiva.

62.

Ai sensi dell’articolo 6 della direttiva 2016/680, una chiara distinzione tra i dati personali delle diverse categorie di interessati è necessaria solo «se del caso e nella misura del possibile». Per i suesposti motivi, difficilmente in una prima indagine su fatti come quelli accaduti nel caso di specie vengono identificati chiaramente e fin dal principio le «diverse categorie di interessati». Inoltre, un medesimo partecipante a tali fatti può riunire in sé la qualità di vittima e quella di autore delle aggressioni.

63.

Quand’anche il titolare del trattamento dei dati raccolti nelle indagini penali riuscisse a distinguere chiaramente, fin dall’inizio e durante tutta l’istruttoria, tra vittime, indiziati e testimoni, non cambierebbe la finalità (l’indagine) sottesa alla raccolta e al trattamento di tali dati.

64.

In altri termini, il fatto di attribuire in modo successivo l’uno o l’altro status (vittima, testimone, soggetto implicato) alle persone coinvolte in un’indagine penale non comporta necessariamente un cambiamento delle finalità ai sensi dell’articolo 4, paragrafo 2, della direttiva 2016/680.

65.

In subordine, nell’ipotesi in cui ricorresse la circostanza prevista all’articolo 4, paragrafo 2, della direttiva 2016/680, il trattamento dei dati personali controversi sarebbe stato conforme alle condizioni di liceità stabilite da tale direttiva. Ciò è quanto hanno osservato i governi bulgaro e ceco, con i quali concordo.

66.

Sebbene spetti al giudice del rinvio verificarlo, non sembrano esservi dubbi sul fatto che la Procura della Repubblica bulgara sia, secondo il diritto nazionale, l’autorità titolare del trattamento dei dati personali di VS «per una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali». Risulta quindi soddisfatto il primo requisito di cui all’articolo 4, paragrafo 2, lettera a), della direttiva 2016/680.

67.

Per quanto riguarda il secondo requisito imposto dalla lettera b) del medesimo articolo 4, paragrafo 2 (che «il trattamento [sia] necessario e proporzionato a tale altra finalità»), ritengo che:

68.

Applicati al caso di specie, i requisiti di cui all’articolo 4, paragrafo 2, della direttiva 2016/680 sono scarsamente significativi e si conferma l’unicità del fine inerente alla raccolta dei dati personali in questione: vi è una continuità logica tra il loro trattamento iniziale e quello che ha successivamente dato luogo all’incriminazione del soggetto implicato.

69.

Non sarebbe quindi necessario confermare la competenza di un nuovo titolare del trattamento dei dati (che sarebbe sempre lo stesso), né vi sarebbe alcuna difficoltà a dimostrare la necessità del secondo trattamento (effettuato nell’ambito del medesimo procedimento), in quanto il criterio della proporzionalità è comune a tutti i trattamenti, come risulta dai principi elencati all’articolo 4, paragrafo 1, della direttiva 2016/680.

70.

L’articolo 9, paragrafo 1, della direttiva 2016/680 prevede la possibilità di una riassegnazione ad extra dei dati personali raccolti in forza della stessa.

71.

Partendo, come regola, dal fatto che tali dati «non possono essere trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1», l’articolo 9, paragrafo 1, della direttiva 2016/680 stabilisce un’eccezione per il caso in cui il diritto dell’Unione o dello Stato membro ne autorizzi il trattamento per finalità estranee a quelle di cui all’articolo 1, paragrafo 1. In tale ipotesi si applicherà l’RGPD (sempre che l’attività rientri nell’ambito del diritto dell’Unione).

72.

Con la seconda questione pregiudiziale, il giudice del rinvio chiede:

73.

L’IVSS sostiene che, dal momento che il reclamo di VS era stato respinto a suo tempo in quanto tardivo, la seconda questione pregiudiziale sarebbe irricevibile.

74.

Non condivido tale obiezione.

75.

Il rifiuto della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile soltanto qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, qualora la questione abbia natura ipotetica o quando la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte ( 17 ).

76.

L’obiezione dell’IVSS riguarda un elemento che rientra nella competenza esclusiva del giudice del rinvio. Solo ad esso spetta individuare, sotto la propria responsabilità, il contesto fattuale e normativo nel quale si colloca la questione sottoposta alla Corte ( 18 ).

77.

Sia il giudizio sulla tardività ravvisata dall’IVSS che la valutazione della sua rilevanza ai fini della controversia sono elementi di giudizio il cui apprezzamento spetta unicamente al giudice del rinvio. Nel presente procedimento, detto giudice ha insistito sul fatto che la questione è pertinente per la risoluzione della causa principale, nonostante la tardività invocata dall’IVSS ( 19 ).

78.

Tale valutazione non può essere riesaminata dalla Corte, la quale deve attenersi, in linea di principio, all’interpretazione e all’applicazione del diritto nazionale, processuale e sostanziale, assunte dai giudici nella definizione del contesto in cui si colloca il rinvio pregiudiziale.

79.

Tenuto conto dei motivi esposti dal giudice del rinvio per giustificare la presentazione della seconda questione pregiudiziale, ciò che gli interessa realmente è che la Corte determini se la trasmissione dei dati controversi costituisca un «trattamento di dati» ai sensi dell’articolo 4, punti 1 e 2, dell’RGPD ( 20 ) e se tale trattamento fosse lecito ai sensi dell’articolo 6 dello stesso.

80.

L’articolo 4, punti 1 e 2, dell’RGPD, nonché l’articolo 3, punti 1 e 2, della direttiva 2016/680, definiscono negli stessi termini le nozioni di «dato personale» e «trattamento».

81.

Sulla base di tali definizioni, deduco che la Procura della Repubblica intendeva utilizzare nella sua difesa dinanzi al giudice civile un’«informazione riguardante una persona fisica identificata», che comprendeva «dati personali» di VS.

82.

Nella trasmissione di tali dati personali al procedimento civile hanno concorso varie «operazioni» che costituiscono un «trattamento di dati» senza il consenso dell’interessato. Quanto meno, sarà stato necessario che la stessa Procura della Repubblica li abbia consultati per valutarne l’eventuale utilità al fine di difendere la propria posizione nel procedimento civile. Si deve inoltre presumere che, a questo stesso scopo, i dati siano stati organizzati, strutturati, adattati o modificati e, ovviamente, comunicati e diffusi, almeno in minima parte, allorché ne è stata chiesta l’acquisizione al procedimento civile ( 21 ).

83.

In definitiva, la Procura della Repubblica, registrandoli, inserendoli nei suoi archivi, conservandoli, consultandoli e chiedendo al giudice civile di ammettere come prova le informazioni risultanti dalle indagini penali, ha effettuato un trattamento dei dati personali di VS.

84.

L’IVSS e la Commissione sostengono che la Procura della Repubblica può essere «titolare del trattamento» solo in quanto autorità competente per le finalità, di natura penale, che rientrano nell’ambito di applicazione della direttiva 2016/680.

85.

Ciò non implica, a mio avviso, che la seconda questione pregiudiziale sia priva di oggetto, come sostenuto dall’IVSS. Comporta, piuttosto, che la liceità del trattamento, in virtù dell’articolo 9, paragrafo 1, della direttiva 2016/680, debba essere verificata alla luce dell’RGPD.

86.

Il giudice competente a dirimere la controversia civile è titolare del trattamento dei dati in tale procedimento allorché i medesimi vengono acquisiti ad esso. Le sue decisioni sono escluse dal sindacato dell’autorità di controllo, in forza dell’articolo 55, paragrafo 3, dell’RGPD, nella misura in cui siano adottate nell’esercizio di funzioni giurisdizionali ( 22 ).

87.

Orbene, il giudice del rinvio limita la sua questione all’applicabilità dell’RGPD nel momento in cui la Procura della Repubblica tenta di utilizzare le informazioni che ha raccolto in veste di «titolare del trattamento» ai sensi della direttiva 2016/680 ai fini della propria difesa nel procedimento civile.

88.

Sulla base di quanto ho appena esposto, ritengo che l’RGPD sia applicabile, dato che, tra le finalità menzionate dall’articolo 1, paragrafo 1, della direttiva 2016/680 non rientra la difesa della Procura della Repubblica nei procedimenti civili.

89.

Le condizioni di liceità di un trattamento di dati personali sono elencate dall’articolo 6, paragrafo 1, dell’RGPD: «[i]l trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni», da esso descritte di seguito. La loro elencazione è tassativa ( 23 ).

90.

Fra tali condizioni non ricorrono, a mio avviso, quelle basate sul consenso dell’interessato [lettera a)], sull’esecuzione di un contratto [lettera b)], sull’adempimento di un obbligo legale [lettera c)] ( 24 ) o sulla salvaguardia degli interessi vitali dell’interessato o di un terzo [lettera d)].

91.

Secondo il giudice del rinvio, sarebbe soddisfatta la condizione di cui alla lettera f) dell’articolo 6, paragrafo 1, dell’RGPD. Tuttavia, come ha sostenuto la Commissione, l’ultimo comma di tale paragrafo la esclude nel presente procedimento, in quanto detta condizione «non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti» ( 25 ).

92.

In risposta ad un quesito della Corte, il governo bulgaro, sostenuto su questo punto dai governi ceco e dei Paesi Bassi, ha insistito sull’applicabilità della condizione prevista alla lettera f) dell’articolo 6, paragrafo 1, dell’RGPD. Esso adduce la necessità di tenere conto della «natura dell’attività svolta dalla Procura della Repubblica», la quale, pur essendo un soggetto pubblico, può partecipare ai procedimenti civili come «parte paritaria» ( 26 ).

93.

Tuttavia, il «legittimo interesse» che la Procura della Repubblica difenderebbe, in quanto pubblico potere, in un procedimento nel quale ne viene fatta valere la responsabilità per il suo comportamento processuale è escluso dall’ipotesi di cui alla lettera f) dell’articolo 6, paragrafo 1, dell’RGPD, poiché così dispone, espressamente, l’ultimo comma del medesimo paragrafo.

94.

Per le autorità che agiscono nell’esecuzione dei compiti loro affidati dalla legge (nel caso di specie, esercitare l’azione penale e rappresentare lo Stato di fronte a domande di responsabilità patrimoniale), l’interesse rilevante, ai fini dell’articolo 6, paragrafo 1, dell’RGPD, è l’interesse pubblico da esse perseguito, secondo la lettera e) di tale disposizione.

95.

La condizione prevista alla lettera f) attiene al soddisfacimento di un legittimo interesse perseguito dal titolare del trattamento o da un terzo, purché su detto interesse non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedano la tutela di dati personali.

96.

Tale disposizione riguarda quindi non tanto le possibilità di difesa del pubblico potere – che possono articolarsi con le modalità di cui alla lettera e) –, quanto l’eventuale prevalenza degli interessi, dei diritti e delle libertà dell’interessato nei confronti del titolare del trattamento o di un terzo. Essa si applica piuttosto ai conflitti tra parti (private) i cui interessi non sono di natura pubblica.

97.

Poiché la Procura della Repubblica agisce, per definizione, nella sua qualità di istituzione statale, occorre esaminare se il trattamento controverso riceva copertura dalla lettera e) dell’articolo 6, paragrafo 1, dell’RGPD.

98.

Ciò accadrebbe se tale trattamento risultasse «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito» il titolare.

99.

Mi soffermerò sulla prima di queste due finalità, senza che occorra esaminare la seconda ( 27 ), per stabilire se l’intervento della Procura della Repubblica nel procedimento civile in cui viene chiesto un risarcimento per il suo comportamento corrisponda all’esecuzione di un compito di interesse pubblico.

100.

Secondo il diritto nazionale ( 28 ), spetta alla Procura della Repubblica rappresentare lo Stato nei procedimenti relativi alla responsabilità extracontrattuale per i danni da esso provocati con il suo ritardo. Nella stessa misura, la Procura della Repubblica interviene in difesa degli interessi generali (finanziari) dello Stato e, pertanto, nell’esecuzione di un compito di interesse pubblico ( 29 ).

101.

L’articolo 9, paragrafo 1, della direttiva 2016/680 subordina la riassegnazione ad extra dei dati raccolti nei fascicoli alla circostanza che il loro trattamento sia autorizzato dal diritto dell’Unione o dello Stato membro. Per quanto qui rileva, spetta al giudice del rinvio accertare se tale autorizzazione sussista, di fronte all’esecuzione del compito di interesse pubblico assegnato alla Procura della Repubblica ai fini della difesa patrimoniale dello Stato.

102.

Ai sensi dell’articolo 6, paragrafo 3, dell’RGPD, la base giuridica del trattamento indicato al paragrafo 1, lettera e), «potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme» dell’RGPD stesso ( 30 ). Se tale base giuridica è stabilita dal diritto dello Stato membro applicato al titolare del trattamento, spetta al giudice nazionale individuarla ( 31 ).

103.

Infine, anche nel caso in cui il giudice del rinvio non identificasse la base giuridica pertinente, la compatibilità del trattamento controverso con la finalità per la quale sono stati raccolti i dati controversi andrebbe accertata sulla base dell’articolo 6, paragrafo 4, dell’RGPD. A tal fine occorre tenere conto, inter alia, di qualsiasi rapporto tra le finalità originarie e la finalità sopravvenuta, del contesto in cui sono stati raccolti i dati personali e della natura degli stessi, delle possibili conseguenze del nuovo trattamento per l’interessato e dell’esistenza di garanzie adeguate.

104.

Alla luce delle considerazioni che precedono, suggerisco alla Corte di rispondere all’Administrativen sad – Blagoevgrad (Tribunale amministrativo di Blagoevgrad, Bulgaria) nei seguenti termini: