Cause riunite C‑313/23, C‑316/23 e C‑332/23
Inspektorat kam Visshia sadeben savet
(domanda di pronuncia pregiudiziale proposta dal Sofiyski rayonen sad)
Sentenza della Corte (Prima Sezione) del 30 aprile 2025
«Rinvio pregiudiziale – Stato di diritto – Indipendenza dei giudici – Articolo 19, paragrafo 1, secondo comma, TUE – Tutela giurisdizionale effettiva nei settori disciplinati dal diritto dell’Unione – Organo giudiziario competente a proporre l’avvio di procedimenti disciplinari nei confronti dei magistrati ai fini dell’irrogazione di sanzioni disciplinari – Mantenimento delle funzioni dei membri dell’organo giudiziario dopo la fine del loro mandato – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Sicurezza dei dati – Accesso di un organo giudiziario ai dati relativi ai conti bancari dei magistrati e dei loro familiari – Autorizzazione giudiziaria per la revoca del segreto bancario – Giudice che autorizza la revoca del segreto bancario – Articolo 4, punto 7 – Nozione di titolare del trattamento – Articolo 51 – Nozione di “autorità di controllo”»
Questioni pregiudiziali – Rinvio alla Corte – Giurisdizione nazionale ai sensi dell’articolo 267 TFUE – Nozione – Determinazione sulla scorta di criteri strutturali e funzionali – Giudice investito, da un organo giudiziario, di una domanda di accesso ai dati relativi ai conti bancari dei magistrati e dei loro familiari – Autorizzazione giudiziaria per la revoca del segreto bancario – Giurisdizione che esercita funzioni di natura giurisdizionale – Inclusione
(Art. 19, § 1, comma 2, TUE; art. 267 TFUE; Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)
(v. punti 59‑63)
Questioni pregiudiziali – Competenza della Corte – Limiti – Obbligo degli Stati membri di predisporre i mezzi di ricorso necessari per garantire una tutela giurisdizionale effettiva – Questioni concernenti norme nazionali relative all’organizzazione e al funzionamento di un organo giudiziario – Inclusione
(Art. 19, § 1, comma 2, TUE; art. 267 TFUE)
(v. punti 71‑73)
Stati membri – Obblighi – Predisposizione dei mezzi di ricorso necessari per assicurare una tutela giurisdizionale effettiva – Rispetto del principio dell’indipendenza dei giudici – Mantenimento in carica, dopo la fine del loro mandato, dei membri di un organo giudiziario competente a proporre l’avvio di procedimenti disciplinari nei confronti dei magistrati – Assenza di una base giuridica esplicita o di una limitazione temporale di tale proroga – Inammissibilità
(Artt. 2 e 19, § 1, comma 2, TUE; Carta dei diritti fondamentali dell’Unione europea, art. 47)
(v. punti 81‑97, dispositivo 1)
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Ambito di applicazione – Deroghe – Trattamento di dati nel contesto di un’attività che non rientra nel diritto dell’Unione – Nozione – Divulgazione a un organo giudiziario di dati personali protetti dal segreto bancario e che riguardano magistrati e loro familiari – Divulgazione nell’ambito della verifica delle dichiarazioni relative ai patrimoni – Esclusione
[Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 2, § 1, 2, a), e art. 3]
(v. punti 99‑106, dispositivo 2)
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di titolare del trattamento – Giudice competente ad autorizzare, su richiesta di un organo giudiziario, la divulgazione da parte di una banca a tale organo di dati relativi ai conti bancari dei magistrati e dei loro familiari – Esclusione
(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 4, punto 7)
(v. punti 108‑117, dispositivo 3)
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Autorità nazionali di controllo – Nozione – Giudice competente ad autorizzare, su richiesta di un organo giudiziario, la divulgazione da parte di una banca a tale organo di dati relativi ai conti bancari dei magistrati e dei loro familiari – Esclusione
[Art. 16 TFUE; Carta dei diritti fondamentali dell’Unione europea, art. 8, § 3; regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 51, § 1, 2 e 4, 57, § 1, a) e g), e 58]
(v. punti 119‑123, dispositivo 4)
Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Mezzi di ricorso – Giudice competente ad autorizzare la divulgazione di dati personali a un organo giudiziario – Giudice investito di una domanda di accesso a tali dati presentata da detto organo e non di un ricorso proposto contro un titolare del trattamento – Obbligo di garantire d’ufficio il rispetto delle norme relative alla sicurezza dei dati – Insussistenza – Violazione di tali norme da parte di detto organo in passato – Irrilevanza
(Carta dei diritti fondamentali dell’Unione europea, art. 47; regolamento del Parlamento europeo e del Consiglio 2016/679, art. 79, § 1)
(v. punti 128‑138, dispositivo 5)
Sintesi
Adita in via pregiudiziale dal Sofiyski rayonen sad (Tribunale distrettuale di Sofia, Bulgaria), la Corte dichiara che il principio di indipendenza dei giudici osta alla prassi di uno Stato membro che consente ai membri di un organo giudiziario competente a proporre l’avvio di procedimenti disciplinari nei confronti dei magistrati di rimanere in carica oltre la durata legale del loro mandato in assenza di una base giuridica esplicita o di una limitazione nel tempo di tale proroga. Inoltre, la Corte precisa la portata delle nozioni di «titolare del trattamento» e di «autorità di controllo», previste dal regolamento generale sulla protezione dei dati ( 1 ), nel contesto della divulgazione di dati personali protetti dal segreto bancario riguardanti magistrati e i loro familiari, che è autorizzata da un giudice nazionale a seguito di una richiesta di tale organo giudiziario.
Nel maggio 2023, dopo la scadenza del termine previsto per il deposito delle dichiarazioni patrimoniali annuali dei magistrati e dei loro familiari per l’anno 2022, l’Inspektorat kam Visshia sadeben savet (Ispettorato presso il Consiglio superiore della magistratura, Bulgaria; in prosieguo: l’«Ispettorato») ha presentato al giudice del rinvio una domanda di revoca del segreto bancario riguardante i conti bancari di vari magistrati e dei loro familiari ( 2 ).
Il giudice del rinvio indica che l’Ispettorato è stato istituito nel 2007, a seguito di una modifica della Costituzione bulgara, e che, in quanto organo giudiziario, è incaricato di indagare sull’esercizio di influenze indebite sui magistrati, di verificare le dichiarazioni patrimoniali di questi ultimi e di individuare eventuali conflitti di interessi nonché violazioni dell’indipendenza del potere giudiziario. Inoltre, esso precisa che i mandati dei membri dell’Ispettorato, eletti dal parlamento nazionale per un periodo da quattro a cinque anni, sarebbero giunti a termine nel corso del 2020, senza che fossero eletti nuovi membri. Tuttavia, in forza di una giurisprudenza del Konstitutsionen sad (Corte costituzionale, Bulgaria), i membri dell’Ispettorato continuano ad esercitare le loro funzioni fino all’elezione di nuovi membri, e la salvaguardia del compito assegnato a tale organo è stata considerata più importante dei rischi di abuso dei suoi membri.
In tali circostanze, il giudice del rinvio si chiede se una proroga dei mandati dei membri dell’Ispettorato possa pregiudicare le garanzie di indipendenza di tale autorità e, in caso affermativo, quali siano i criteri che consentono di valutare se una siffatta proroga sia ammissibile e per quale durata.
Inoltre, detto giudice si interroga sul ruolo e sugli obblighi dei giudici nazionali nel momento in cui essi devono autorizzare l’accesso dell’Ispettorato ai dati personali dei magistrati. Più in particolare, esso si chiede se la sua attività consistente nell’autorizzare l’Ispettorato ad accedere a dati personali soggetti al segreto bancario rientri nell’ambito di applicazione del RGPD e, in caso affermativo, quali siano le conseguenze sul controllo che esso deve esercitare. A tale riguardo, il giudice del rinvio si chiede se il controllo che esso è chiamato ad operare prima di autorizzare l’accesso dell’Ispettorato ai dati di cui trattasi debba essere puramente formale e limitarsi a verificare se le persone per le quali è richiesta la revoca del segreto bancario abbiano la qualità di persone soggette all’obbligo di dichiarazione, ossia se esse siano magistrati o persone aventi un rapporto familiare o un altro rapporto con questi ultimi o se debba piuttosto garantire la sicurezza dei dati di cui trattasi in forza del RGPD.
Giudizio della Corte
La Corte considera, in primo luogo, che l’articolo 19, paragrafo 1, secondo comma, TUE, letto alla luce del diritto a una tutela giurisdizionale effettiva ( 3 ), e più in particolare il principio di indipendenza dei giudici, osta alla prassi di uno Stato membro secondo la quale i membri di un organo giudiziario, eletti dal parlamento di detto Stato per mandati di durata determinata e che sono competenti a controllare l’attività dei magistrati nell’esercizio delle loro funzioni, la loro integrità e l’assenza di conflitti di interessi in capo a questi ultimi nonché a proporre a un altro organo giudiziario l’avvio di un procedimento disciplinare ai fini dell’imposizione di sanzioni disciplinari nei loro confronti, continuano ad esercitare le loro funzioni oltre la durata legale del loro mandato, fissata dalla Costituzione di detto Stato membro, fino a quando tale parlamento non elegga nuovi membri. Quanto precede si applica quando la proroga dei mandati scaduti non si fonda su una base giuridica esplicita nel diritto nazionale contenente norme chiare e precise tali da disciplinare l’esercizio delle suddette funzioni e non venga garantito che tale proroga sia, in pratica, limitata nel tempo.
Al riguardo, la Corte ricorda la sua giurisprudenza costante, secondo la quale il requisito dell’indipendenza degli organi giurisdizionali ( 4 ) impone che il regime disciplinare dei giudici presenti le garanzie necessarie per evitare che esso sia utilizzato come sistema di controllo politico del contenuto delle decisioni giudiziarie. A questo proposito, tali garanzie sono costituite dall’emanazione di norme che definiscano tanto i comportamenti che integrano illeciti disciplinari quanto le sanzioni concretamente applicabili, che prevedano l’intervento di un organo indipendente conformemente a una procedura che garantisca appieno il diritto a un ricorso effettivo e il diritto alla difesa ( 5 ) e che sanciscano la possibilità di contestare in sede giurisdizionale le decisioni degli organi disciplinari.
Infatti, è essenziale che detti organi, nell’adempimento dei loro compiti, agiscano in modo obiettivo e imparziale e siano, a tal fine, al riparo da qualsiasi influenza esterna, Ciò vale in particolare per un organo giudiziario che, al pari dell’Ispettorato, dispone di un ampio potere di controllare l’attività dei magistrati nell’esercizio delle loro funzioni, la loro integrità e l’assenza di conflitti di interessi che li riguardano, nonché di proporre, a seguito di tali controlli, a un altro organo giudiziario (nel caso di specie il Consiglio superiore della magistratura bulgaro) l’avvio di un procedimento disciplinare ai fini dell’imposizione di sanzioni disciplinari nei loro confronti. È per tale ragione che l’insieme delle norme che regolano l’organizzazione e il funzionamento di un siffatto organo, comprese quelle che disciplinano la procedura di nomina dei suoi membri dovrebbero essere concepite in modo tale da non poter far sorgere alcun legittimo dubbio, nei singoli, quanto all’utilizzo delle prerogative e delle funzioni di un tale organo come strumento di pressione sull’attività giudiziaria o di controllo politico di tale attività.
Per quanto riguarda i mandati dei membri dell’Ispettorato, che sono scaduti senza che il parlamento nazionale abbia proceduto all’elezione dei nuovi membri, la Corte sottolinea che la normativa nazionale non sembra contenere alcuna regola relativa a una possibile continuazione dell’esercizio delle loro funzioni oltre la durata del loro mandato. Se è vero che, in applicazione della giurisprudenza della Corte costituzionale, i membri dell’Ispettorato continuano ad esercitare le loro funzioni fino all’elezione dei nuovi membri, è altrettanto vero che tale normativa nazionale non comprende norme che disciplinino l’esercizio delle suddette funzioni così prorogato né alcun meccanismo legale che consenta di porre fine a un eventuale blocco nel processo di nomina dei nuovi membri dell’Ispettorato. Pertanto, la proroga dei mandati degli ex membri dell’Ispettorato appare, in pratica, idonea a protrarsi senza limiti di tempo.
In tale contesto, spetta ai soli Stati membri decidere se autorizzare o meno l’esercizio delle funzioni dei membri di un organo giudiziario, competente a controllare l’attività dei magistrati e a proporre l’avvio di procedimenti disciplinari nei loro confronti, al di là della durata legale dei loro mandati al fine di garantire la continuità del funzionamento di tale organo. Tuttavia, quando optano per una siffatta proroga dei mandati, tali Stati membri sono tenuti a garantire che l’esercizio delle funzioni dopo la scadenza del mandato si fondi su una base giuridica esplicita nel diritto interno, contenente norme chiare e precise tali da inquadrare detto esercizio. Essi devono altresì provvedere affinché le condizioni e le modalità cui è soggetto un siffatto esercizio siano concepite in modo da consentire ai membri interessati di un siffatto organo giudiziario di agire, nell’adempimento dei loro compiti, in modo obiettivo e imparziale. Pertanto, sebbene, in talune circostanze, la proroga dei mandati possa risultare necessaria, tenuto conto dell’importanza delle funzioni esercitate dall’organo giudiziario interessato, è solo in via eccezionale e a condizione che tale proroga sia inquadrata da norme chiare e precise che escludano, in pratica, la possibilità che essa sia illimitata nel tempo, che detta proroga può essere ipotizzabile.
In secondo luogo, la Corte afferma che la divulgazione a un organo giudiziario di dati personali protetti dal segreto bancario e che riguardano magistrati nonché i loro familiari, ai fini della verifica delle dichiarazioni di tali magistrati – oggetto di pubblicazione – relative al loro patrimonio nonché a quello dei loro familiari, costituisce un trattamento di dati personali rientrante nell’ambito di applicazione materiale del RGPD.
Per giungere a tale conclusione, la Corte osserva che, sebbene l’emanazione di norme applicabili allo statuto dei magistrati e all’esercizio delle loro funzioni rientri nella competenza degli Stati membri, resta nondimeno il fatto che un trattamento di dati che ha come obiettivo il controllo dell’integrità dei magistrati nonché la verifica dell’esistenza di eventuali conflitti di interessi non rientra nelle eccezioni all’ambito di applicazione materiale del RGPD ( 6 ), in quanto non si tratta di un’attività che mira a preservare la sicurezza nazionale né di un’attività che può essere ascritta alla stessa categoria. Infatti, la divulgazione a un organo giudiziario di dati personali protetti dal segreto bancario e relativi a magistrati nonché ai loro familiari costituisce una messa a disposizione di tali dati personali a favore di tale organo.
In terzo luogo, la Corte si pronuncia sull’interpretazione delle nozioni di «titolare del trattamento» e di «autorità di controllo», ai sensi del RGPD ( 7 ).
Per quanto riguarda la nozione di «titolare del trattamento», la Corte considera che non rientra in tale nozione un giudice competente ad autorizzare, su richiesta di un altro organo giudiziario, la divulgazione da parte di una banca a tale organo di dati relativi ai conti bancari dei magistrati nonché a quelli dei loro familiari.
In forza della normativa nazionale, l’Ispettorato è competente ad effettuare, in particolare, controlli sull’integrità e sull’assenza di conflitti di interessi dei magistrati, nonché le loro dichiarazioni patrimoniali. A tal fine, detta normativa offre all’Ispettorato, da un lato, la possibilità di chiedere l’accesso ai dati relativi ai conti bancari dei magistrati nonché a quelli dei loro familiari e, dall’altro, il potere di chiedere una previa autorizzazione giudiziaria ai fini dell’accesso ai dati in parola, qualora le persone interessate non abbiano dato il loro consenso a tale accesso. Il giudice investito di una domanda di autorizzazione alla divulgazione interviene quindi solo su richiesta dell’Ispettorato e si limita a verificare se le condizioni di legittimità fissate dal diritto nazionale siano soddisfatte. Parimenti, è l’Ispettorato, e non tale giudice, che determina, in base alle norme nazionali applicabili, le persone ai cui dati intende avere accesso ai fini dell’esercizio dei suoi poteri e in relazione alle quali presenta una domanda di autorizzazione dinanzi a detto giudice. Pertanto, sebbene il giudice esamini se e in quale misura le condizioni di legittimità del trattamento siano soddisfatte in un determinato caso di specie, esso non determina di propria iniziativa né la finalità del trattamento né le persone e i dati interessati. In tali circostanze, non è detto giudice ad essere titolare del trattamento, bensì l’organo competente per la realizzazione delle finalità perseguite.
Per quanto concerne la nozione di «autorità di controllo», un giudice competente ad autorizzare la divulgazione di dati personali a un altro organo giudiziario non rientra, secondo la Corte, in tale nozione quando tale giudice non sia incaricato dallo Stato membro cui appartiene di controllare l’applicazione del RGPD al fine di tutelare, in particolare, le libertà e i diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali.
Infine, la Corte ritiene che un giudice competente ad autorizzare la divulgazione di dati personali a un altro organo giudiziario non sia tenuto, qualora non sia investito di un ricorso proposto contro un titolare del trattamento ( 8 ), a garantire d’ufficio la protezione delle persone i cui dati sono oggetto di attenzione per quanto riguarda il rispetto delle disposizioni di tale regolamento relative alla sicurezza dei dati personali. Ciò anche nel caso in cui tale organo abbia commesso, in passato, una violazione delle suddette disposizioni.
Infatti, la Corte precisa che un giudice nazionale che non è investito di un ricorso proposto contro un’autorità di controllo o contro un titolare del trattamento ( 9 ) non è tenuto, in assenza di norme che gli conferiscano esplicitamente poteri di controllo, a garantire il rispetto delle disposizioni sostanziali del RGPD. Al fine di garantire l’effettività di un siffatto ricorso, gli Stati membri devono assicurarsi che le modalità concrete di esperimento dei mezzi di ricorso di cui al RGPD soddisfino effettivamente i requisiti derivanti dal diritto a un ricorso effettivo ( 10 ). Per far questo, il titolare del trattamento, ossia l’organo giudiziario competente al quale è stato concesso l’accesso ai dati personali, deve fornire alle persone i cui dati sono oggetto di attenzione, le informazioni elencate all’articolo 14 del RGPD ( 11 ), necessarie affinché detti soggetti possano esercitare, se del caso, il loro diritto di opposizione al trattamento dei loro dati personali ( 12 ) nonché il loro diritto di agire in giudizio nel caso in cui subiscano un danno ( 13 ).
( 1 ) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
( 2 ) In applicazione dell’articolo 62, paragrafo 6, punto 12, dello Zakon za kreditnite institutsii (legge sugli enti creditizi) (DV n. 59, del 21 luglio 2006).
( 3 ) Articolo 47 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
( 4 ) Come risulta dall’articolo 19, paragrafo 1, secondo comma, TUE.
( 5 ) Articoli 47 e 48 della Carta.
( 6 ) E segnatamente l’eccezione prevista all’articolo 2, paragrafo 2, lettera a), del RGPD, la quale prevede che tale regolamento non si applichi ai trattamenti di dati personali «effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione». Questa eccezione mira unicamente ad escludere dall’ambito di applicazione del RGPD i trattamenti di dati personali effettuati dalle autorità statali nel contesto di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che possa essere ascritta alla stessa categoria.
( 7 ) Ai sensi dell’articolo 4, punto 7, e dell’articolo 51, paragrafo 1, del RGPD.
( 8 ) Ai sensi dell’articolo 79, paragrafo 1, del RGPD.
( 9 ) Articolo 78, paragrafo 1, e articolo 79, paragrafo 1, del RGPD.
( 10 ) Articolo 47 della Carta.
( 11 ) Più precisamente, ai paragrafi 1 e 2 di tale disposizione.
( 12 ) Articolo 21 del RGPD.
( 13 ) Articoli 79 e 82 del RGPD.