Domanda di pronuncia pregiudiziale proposta dal Sofiyski rayonen sad (Bulgaria) il 12 settembre 2023 – Teritorialna direktsia na Natsionalnata agentsia za prihodite – Sofia
(Causa C-563/23, Natsionalna agentsia za prihodite)
Lingua processuale: il bulgaro
Giudice del rinvio
Sofiyski rayonen sad
Parte nel procedimento principale
Teritorialna direktsia na Natsionalnata agentsia za prihodite – Sofia
Questioni pregiudiziali
Se l'articolo 4, punto 7, del regolamento (UE) 2016/679 1 (in prosieguo: il «regolamento generale sulla protezione dei dati» o il «RGPD») debba essere interpretato nel senso che un’autorità giudiziaria che autorizza un’altra autorità statale ad accedere ai dati relativi ai conti bancari di soggetti passivi d’imposta determina le finalità o i mezzi del trattamento di dati personali ed è quindi «titolare del trattamento» di dati personali.
In caso di risposta negativa alla prima questione, se l'articolo 51 del regolamento generale sulla protezione dei dati debba essere interpretato nel senso che un'autorità giudiziaria che autorizza un’altra autorità statale ad accedere ai dati relativi ai conti bancari di soggetti passivi d’imposta è responsabile del controllo [dell’applicazione] di tale regolamento e deve quindi essere qualificata come «autorità di controllo» riguardo a tali dati.
In caso di risposta affermativa a una delle precedenti questioni, se l'articolo 32, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati, e rispettivamente l’articolo 57, paragrafo 1, lettera a), di tale regolamento, debbano essere interpretati nel senso che un’autorità giudiziaria che autorizza un’altra autorità statale ad accedere ai dati relativi ai conti bancari di soggetti passivi d’imposta è tenuta, in presenza di dati relativi a una violazione della sicurezza di dati personali commessa in passato dall’autorità pubblica alla quale tale accesso dovrebbe essere concesso, a raccogliere informazioni sulle misure adottate per la protezione dei dati e a giudicare l’adeguatezza di tali misure in sede di decisione sull’autorizzazione all’accesso.
4) Indipendentemente dalle risposte fornite alla [seconda] e alla [terza] questione, se l'articolo 79, paragrafo 1, del regolamento generale sulla protezione dei dati in combinato disposto con l'articolo 47 della Carta dei diritti fondamentali dell'Unione europea, debba essere interpretato nel senso che, quando il diritto nazionale di uno Stato membro prevede che dati rientranti in determinate categorie possano essere divulgati solo previa autorizzazione di un giudice, il giudice competente a tal fine deve garantire d’ufficio una tutela giuridica alle persone i cui dati vengono divulgati, imponendo all’autorità che ha chiesto l’accesso ai dati, alla quale, come noto, a seguito di una violazione della protezione dei dati personali sono state impartite istruzioni vincolanti dall'autorità indicata all'articolo 51, paragrafo 1, del RGPD, di fornire informazioni sull’applicazione delle misure ingiuntele con decisione amministrativa ai sensi dell'articolo 58, paragrafo 2, lettera d), del RGPD.
____________
1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).