SENTENZA DELLA CORTE (Prima Sezione)
24 marzo 2022 (*)
«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Competenza dell’autorità di controllo – Articolo 55, paragrafo 3 – Operazioni di trattamento effettuate dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali – Nozione – Documenti di un procedimento giurisdizionale, messi a disposizione di un giornalista, contenenti dati personali»
Nella causa C‑245/20,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Rechtbank Midden-Nederland (Tribunale dei Paesi Bassi centrali), con decisione del 29 maggio 2020, pervenuta in cancelleria in pari data, nel procedimento
X,
Z
contro
Autoriteit persoonsgegevens,
LA CORTE (Prima Sezione),
composta da K. Lenaerts, presidente della Corte, facente funzione di presidente della Prima Sezione, L. Bay Larsen, vicepresidente della Corte, N. Jääskinen, J.‑C. Bonichot (relatore) e M. Safjan, giudici,
avvocato generale: M. Bobek
cancelliere: L. Carrasco Marco, amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 14 luglio 2021,
considerate le osservazioni presentate:
– per X e Z, da S.A.J.T. Hoogendoorn, advocaat;
– per l’Autoriteit Persoonsgegevens, da G. Dictus e N.N. Bontje, advocaten;
– per il governo dei Paesi Bassi, da M.K. Bulterman e C.S. Schillemans, in qualità di agenti;
– per il governo spagnolo, da L. Aguilera Ruiz, in qualità di agente;
– per il governo polacco, da B. Majczyna, in qualità di agente;
– per il governo portoghese, da L. Inez Fernandes, P. Barros da Costa, L. Medeiros e I. Oliveira, in qualità di agenti;
– per il governo finlandese, da H. Leppo, in qualità di agente;
– per la Commissione europea, da F. Erlbacher, H. Kranenborg e D. Nardi, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 6 ottobre 2021,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 55, paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).
2 Tale domanda è stata presentata nell’ambito di una controversia che oppone X e Z all’Autoriteit persoonsgegevens (Autorità per la protezione dei dati personali, Paesi Bassi) (in prosieguo: l’«AP»), in merito all’accesso di giornalisti a dati personali che li riguardano, contenuti in un fascicolo giudiziario, in occasione di un’udienza tenutasi dinanzi alla sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato, Paesi Bassi) in un procedimento in cui Z era parte e rappresentato da X.
Contesto normativo
Diritto dell’Unione
3 Il considerando 20 del regolamento 2016/679 così recita:
«Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati».
4 Ai sensi dell’articolo 2 di tale regolamento:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001 [del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1)]. Il regolamento [n. 45/2001] e gli altri atti giuridici dell’Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.
(...)».
5 L’articolo 4, punto 2, di detto regolamento definisce la nozione di «trattamento» come segue:
«qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o [a] insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
6 Ai sensi dell’articolo 51, paragrafo 1, del medesimo regolamento:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»)».
7 Infine, l’articolo 55 del regolamento 2016/679 così dispone:
«1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
2. Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e), è competente l’autorità di controllo dello Stato membro interessato. In tal caso, non si applica l’articolo 56.
3. Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
Il diritto dei Paesi Bassi
8 Ai fini dell’attuazione del regolamento 2016/679, il Regno dei Paesi Bassi ha adottato il wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming) [Legge che stabilisce norme per l’attuazione del regolamento 2016/679 (legge di attuazione del regolamento generale sulla protezione dei dati)], del 16 maggio 2018 (Stb. 2018, n. 144). L’articolo 6 di tale legge affida all’AP il compito di controllare il rispetto del regolamento 2016/679 nei Paesi Bassi. Nessuna delle sue disposizioni riprende l’eccezione prevista all’articolo 55, paragrafo 3, del regolamento 2016/679.
9 Il 31 maggio 2018 il presidente della sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato), le amministrazioni giudiziarie del Centrale Raad van Beroep (Corte d’appello in materia di previdenza sociale e di funzione pubblica, Paesi Bassi) e il College van Beroep voor het bedrijfsleven (Corte d’appello del contenzioso amministrativo in materia economica, Paesi Bassi) hanno adottato il regeling verwerking persoonsgegevens bestuursrechtelijke colleges (regolamento relativo al trattamento dei dati personali dinanzi ai giudici amministrativi). Quest’ultimo ha creato l’AVG-commissie bestuursrechtelijke colleges (commissione per la protezione dei dati personali per i giudici amministrativi, Paesi Bassi). Quest’ultima è incaricata di consigliare il presidente della sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato), le amministrazioni giudiziarie del Centrale Raad van Beroep (Corte d’appello in materia di previdenza sociale e di funzione pubblica) e il College van Beroep voor het bedrijfsleven (Corte d’appello per il contenzioso amministrativo in materia economica) per quanto riguarda la trattazione dei reclami relativi al rispetto dei diritti garantiti dal regolamento 2016/679.
Procedimento principale e questione pregiudiziale
10 In occasione dell’udienza tenutasi il 30 ottobre 2018 dinanzi alla sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato) nell’ambito del procedimento giurisdizionale di cui era parte Z, rappresentato da X, questi ultimi sono stati affrontati da un giornalista. Nel corso della loro conversazione, X ha constatato che tale giornalista disponeva di documenti del fascicolo della causa di cui trattasi, compresi i documenti da lui stesso redatti, che in particolare facevano apparire il suo nome, il suo indirizzo e il numero nazionale di identificazione di Z. Il giornalista gli ha fatto presente che tali elementi erano stati messi a sua disposizione nell’ambito del diritto di accesso al fascicolo istruttorio che la sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato) accorda ai giornalisti.
11 Con lettera del 21 novembre 2018, il presidente della sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato) ha confermato a X che tale sezione forniva ai media un certo numero di elementi sulle cause in corso. Gli ha detto che, il giorno dell’udienza, il servizio di comunicazione del Raad van State (Consiglio di Stato) metteva a disposizione dei giornalisti presenti documenti destinati a consentire loro di seguire le udienze, vale a dire una copia dell’atto introduttivo del giudizio, una copia del controricorso e, se del caso, una copia della decisione giudiziaria impugnata, documenti che sarebbero stati distrutti alla fine della giornata.
12 X e Z hanno quindi chiesto all’AP di adottare nei confronti del Raad van State (Consiglio di Stato) «misure di applicazione» delle norme in materia di protezione dei dati personali. Con le loro domande, che erano simili a reclami, essi sostenevano che, consentendo a giornalisti di avere accesso a dati personali che li riguardavano, provenienti dai documenti di un fascicolo giudiziario, il Raad van State (Consiglio di Stato) aveva violato il regolamento 2016/679.
13 In risposta a tali domande, l’AP ha fatto presente che, in forza dell’articolo 55, paragrafo 3, del regolamento 2016/679, non era competente a controllare le operazioni di trattamento di dati personali interessate, effettuate dal Raad van State (Consiglio di Stato). Essa avrebbe successivamente trasmesso le domande di X e di Z alla commissione per la protezione dei dati personali per i giudici amministrativi, che le avrebbe a sua volta trasmesse al presidente della sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato).
14 Il presidente della sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato) ha analizzato le domande di X e di Z come reclami relativi alla sua lettera del 21 novembre 2018 e, dopo aver ricevuto il parere della commissione per la protezione dei dati personali per i giudici amministrativi, ha definito una nuova politica di accesso ai documenti dei fascicoli giurisdizionali, che è stata pubblicata sul sito Internet del Raad van State (Consiglio di Stato).
15 X e Z hanno contestato, dinanzi al giudice del rinvio, il Rechtbank Midden-Nederland (tribunale dei Paesi Bassi centrali), la decisione con la quale l’AP aveva declinato la propria competenza a conoscere delle loro domande.
16 Secondo tale giudice, il fatto di dare accesso a un giornalista ai documenti di un fascicolo giudiziario contenente dati personali e di metterli temporaneamente a sua disposizione costituisce un «trattamento» di dati personali, ai sensi dell’articolo 4, punto 2, del regolamento 2016/679, al quale, nel caso di specie, X e Z non avrebbero acconsentito. Al fine di stabilire se l’AP fosse effettivamente incompetente a statuire sulle domande di X e di Z, il giudice del rinvio si interroga tuttavia sull’interpretazione da dare all’articolo 55, paragrafo 3, di tale regolamento, il quale dispone che l’autorità di controllo non sia competente a controllare le operazioni di trattamento effettuate dalle autorità giurisdizionali che agiscono «nell’esercizio delle loro funzioni giurisdizionali».
17 In tale contesto, il Rechtbank Midden-Nederland (tribunale dei Paesi Bassi centrali) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se l’articolo 55, paragrafo 3, del regolamento 2016/679 debba essere interpretato nel senso che si può considerare rientrante tra i trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro “funzioni giurisdizionali” la possibilità, offerta da un organo giurisdizionale, di prendere visione di atti processuali in cui figurano dati personali, possibilità che viene concessa mettendo a disposizione di un giornalista copie degli atti processuali in parola, come descritto nella ordinanza di rinvio.
– Se sia rilevante per la risposta a tale questione se l’esercizio del controllo, da parte dell’autorità nazionale di controllo, su tale forma di trattamento dei dati incida sull’indipendenza del processo decisionale del giudice in fattispecie concrete.
– Se sia rilevante per la risposta a tale questione la circostanza che, secondo l’organo giurisdizionale, la natura e la finalità del trattamento dei dati sia informare un giornalista al fine di metterlo in condizione di dare un migliore resoconto dell’udienza pubblica in un procedimento giurisdizionale, contribuendo così a tutelare l’interesse alla pubblicità e alla trasparenza della giustizia.
– Se sia rilevante per la risposta a tale questione se il trattamento dei dati sia fondato su una esplicita base di diritto nazionale».
Sulla questione pregiudiziale
18 Con la questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 55, paragrafo 3, del regolamento 2016/679 debba essere interpretato nel senso che il fatto che un giudice metta a disposizione temporanea dei giornalisti documenti di un procedimento giurisdizionale, contenente dati personali, rientri nell’esercizio, da parte di tale giudice, delle sue «funzioni giurisdizionali», ai sensi di tale disposizione. In tale contesto, esso si chiede se, per rispondere a tale questione, occorra tener conto del pregiudizio che l’esercizio da parte dell’autorità di controllo dei suoi poteri potrebbe arrecare all’indipendenza dei magistrati nell’ambito della valutazione di cause concrete. Esso si chiede altresì se occorra prendere in considerazione la natura e la finalità di tale messa a disposizione di atti processuali, vale a dire consentire ai giornalisti di meglio riferire sullo svolgimento di un procedimento giurisdizionale, o ancora se tale messa a disposizione si fondi su una base legale esplicita nel diritto interno.
19 In via preliminare, Z sostiene, da un lato, che la questione sollevata presenta carattere ipotetico e che, a tale titolo, è irricevibile. Infatti, a suo avviso, contrariamente a quanto indicato nella domanda di pronuncia pregiudiziale, il trattamento dei dati di cui trattasi non spetta alla sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato), bensì al servizio di comunicazione di quest’ultimo, che non è un organo giurisdizionale. Tale domanda sarebbe altresì viziata da numerosi altri errori o inesattezze, in particolare per quanto riguarda lo status della persona che avrebbe affrontato X e Z al termine dell’udienza e il tenore esatto delle domande comunicate dall’AP al presidente della sezione del contenzioso amministrativo del Raad van State (Consiglio di Stato).
20 A tal riguardo, occorre ricordare che, secondo giurisprudenza costante, le questioni relative al diritto dell’Unione godono di una presunzione di rilevanza. Il diniego della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con la reale esistenza o con l’oggetto della causa principale, che la Corte non dispone degli elementi di fatto o di diritto necessari a fornire una risposta utile alle questioni che le vengono sottoposte o che il problema è di natura ipotetica [v. sentenza del 24 novembre 2020, Openbaar Ministerie (Falsificazione), C‑510/19, EU:C:2020:953, punto 26 e giurisprudenza citata].
21 Per di più, nell’ambito del procedimento di cui all’articolo 267 TFUE, basato sulla netta separazione di funzioni tra i giudici nazionali e la Corte, il giudice nazionale è l’unico competente ad esaminare e valutare i fatti del procedimento principale (v. sentenza del 26 aprile 2017, Farkas, C‑564/15, EU:C:2017:302, punto 37 e giurisprudenza citata).
22 Dalla domanda di pronuncia pregiudiziale risulta che il giudice del rinvio è tenuto a prendere posizione sull’applicazione dell’articolo 55, paragrafo 3, del regolamento 2016/679 alla messa a disposizione degli atti processuali contenenti dati personali di cui trattasi nel procedimento principale per determinare se il controllo di legittimità di quest’ultima rientri o meno nella competenza dell’AP. Risulta inoltre dalla giurisprudenza ricordata al punto precedente della presente sentenza che Z non può rovesciare la presunzione di rilevanza di cui beneficia la questione sollevata dal giudice del rinvio limitandosi a contestare gli elementi di fatto menzionati da quest’ultimo nella sua domanda, sui quali non spetta alla Corte prendere posizione. Ne consegue che l’eccezione di irricevibilità sollevata da Z deve essere respinta.
23 Dall’altro lato, Z sostiene che l’articolo 55, paragrafo 3, del regolamento 2016/679 dovrebbe essere dichiarato invalido dalla Corte sulla base del rilievo che l’incompetenza dell’autorità di controllo interessata per quanto riguarda le operazioni di trattamento effettuate dalle autorità giurisdizionali «nell’esercizio delle loro funzioni giurisdizionali», prevista da tale disposizione, non sarebbe accompagnata dall’obbligo per gli Stati membri di prevedere modalità di controllo specifiche relative a tali operazioni di trattamento, il che sarebbe contrario ai requisiti derivanti dal diritto a un ricorso effettivo.
24 Tuttavia, un tale argomento non può essere accolto in quanto, come risulta dal considerando 20 del regolamento 2016/679, il legislatore dell’Unione, adottando l’articolo 55, paragrafo 3, di tale regolamento, non ha inteso sottrarre a qualsiasi controllo le operazioni di trattamento effettuate dalle autorità giurisdizionali «nell’esercizio delle loro funzioni giurisdizionali», ma ha soltanto escluso che il controllo di tali operazioni sia affidato ad un’autorità esterna.
25 Per rispondere alla questione sollevata dal giudice del rinvio, riassunta al punto 18 della presente sentenza, occorre anzitutto rilevare che l’articolo 2, paragrafo 1, del regolamento 2016/679 prevede che tale regolamento si applichi a qualsiasi «trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi», senza operare alcuna distinzione in base all’identità del responsabile del trattamento interessato. Ne consegue che, fatti salvi i casi menzionati all’articolo 2, paragrafi 2 e 3, il regolamento 2016/679 si applica alle operazioni di trattamento effettuate sia da soggetti privati sia dalle autorità pubbliche, comprese, come indicato dal considerando 20 del medesimo, le autorità giudiziarie, quali i giudici.
26 Tale lettura è corroborata dal fatto che molte delle disposizioni del regolamento 2016/679 sono accompagnate da adeguamenti per tener conto delle specificità proprie dei trattamenti effettuati dai giudici. Ciò vale in particolare per l’articolo 55, paragrafo 3, di tale regolamento che esclude qualsiasi competenza dell’autorità di controllo per quanto riguarda le operazioni di trattamento effettuate dalle autorità giurisdizionali «nell’esercizio delle loro funzioni giurisdizionali».
27 Il regolamento 2016/679 si distingue, al riguardo, dalla direttiva 2003/4/CE del Parlamento e del Consiglio, del 28 gennaio 2003, sull’accesso del pubblico all’informazione ambientale e che abroga la direttiva 90/313/CEE del Consiglio (GU 2003, L 41, pag. 26), che non si applica alle autorità giurisdizionali. (v. sentenza del 15 aprile 2021, Friends of the Irish Environment, C‑470/19, EU:C:2021:271, punti da 34 a 40).
28 Per determinare la portata della nozione di operazioni di trattamento effettuate dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali, ai sensi dell’articolo 55, paragrafo 3, del regolamento 2016/679, occorre ricordare che l’interpretazione di una disposizione del diritto dell’Unione deve tener conto non soltanto della lettera della stessa, ma anche del contesto in cui essa si inserisce e degli scopi perseguiti dalla normativa di cui essa fa parte (v., in tal senso, in particolare, sentenza del 6 ottobre 2020, Jobcenter Krefeld, C‑181/19, EU:C:2020:794, punto 61 e giurisprudenza citata).
29 A tal riguardo, dall’articolo 55 del regolamento 2016/679 si evince che tale articolo ha lo scopo di definire la competenza in materia di controllo dei trattamenti di dati personali e, in particolare, di delimitare la competenza devoluta all’autorità di controllo nazionale.
30 L’articolo 55, paragrafo 3, del regolamento 2016/679 prevede quindi che non rientrino nella competenza di tale autorità di controllo le operazioni di trattamento effettuate dalle autorità giurisdizionali «nell’esercizio delle loro funzioni giurisdizionali».
31 Il considerando 20 del regolamento 2016/679, alla luce del quale tale articolo 55, paragrafo 3, deve essere letto, precisa che si dovrebbe poter affidare il controllo delle operazioni di trattamento effettuate dalle autorità giurisdizionali «nell’esercizio delle loro funzioni giurisdizionali» ad organismi specifici all’interno del sistema giudiziario dello Stato membro interessato piuttosto che alla sua autorità di controllo, al fine di «salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale».
32 Come rilevato dall’avvocato generale ai paragrafi 80 e 81 delle sue conclusioni, dalla formulazione stessa del considerando 20 del regolamento 2016/679, e segnatamente dall’uso della locuzione «compreso», risulta che la portata dell’obiettivo perseguito dall’articolo 55, paragrafo 3, di tale regolamento, consistente nel salvaguardare l’indipendenza della magistratura nell’esercizio delle sue funzioni giurisdizionali, non può essere circoscritta alla sola garanzia dell’indipendenza dei giudici nell’ambito dell’adozione di una determinata decisione giurisdizionale.
33 Infatti, la salvaguardia dell’indipendenza della magistratura presuppone, in generale, che le funzioni giurisdizionali siano esercitate in piena autonomia, senza che i giudici siano soggetti ad alcun vincolo gerarchico o di subordinazione o ricevano ordini o istruzioni da alcuna fonte, con la conseguenza di essere quindi tutelati dagli interventi o dalle pressioni esterni idonei a compromettere l’indipendenza del giudizio dei suoi membri e a influenzare le loro decisioni. Il rispetto delle garanzie di indipendenza e di imparzialità richieste ai sensi del diritto dell’Unione presuppone l’esistenza di regole che consentano di fugare qualsiasi legittimo dubbio che i singoli possano nutrire in merito all’impermeabilità di detto organo da fattori esterni e alla sua neutralità rispetto agli interessi in gioco [v., in tal senso, in particolare, sentenze del 27 febbraio 2018, Associação Sindical dos Juízes Portugueses, C‑64/16, EU:C:2018:117, punto 44; del 25 luglio 2018, Minister for Justice and Equality (Carenze del sistema giudiziario), C‑216/18 PPU, EU:C:2018:586, punto 63; del 24 giugno 2019, Commissione/Polonia (Indipendenza della Corte suprema), C‑619/18, EU:C:2019:531, punto 72, e del 21 dicembre 2021, Euro Box Promotion e a., C‑357/19, C‑379/19, C‑547/19, C‑811/19, EU:C:2021:1034, punto 225].
34 Pertanto, il riferimento alle operazioni di trattamento effettuate dalle autorità giurisdizionali «nell’esercizio delle loro funzioni giurisdizionali» di cui all’articolo 55, paragrafo 3, del regolamento 2016/679 deve essere inteso, nel contesto di tale regolamento, come non limitato ai trattamenti di dati personali effettuati dalle autorità giurisdizionali nell’ambito di cause concrete, bensì come riguardanti, più in generale, l’insieme delle operazioni di trattamento effettuate dalle autorità giurisdizionali nell’ambito della loro attività giurisdizionale, cosicché sono escluse dalla competenza dell’autorità di controllo le operazioni di trattamento il cui controllo da parte di tale autorità potrebbe, direttamente o indirettamente, influenzare l’indipendenza dei loro membri o pesare sulle loro decisioni.
35 A tale riguardo, la natura e lo scopo del trattamento effettuato da un’autorità giurisdizionale, sebbene si ricolleghino principalmente ad esaminarne la legittimità, possono costituire indizi in grado di rivelare che tale trattamento rientra nell’esercizio, da parte di tale autorità giurisdizionale, delle sue «funzioni giurisdizionali».
36 Per contro, si ricollegano a loro volta esclusivamente all’esame della legittimità del trattamento le questioni se quest’ultimo si fondi su una base giuridica esplicita nel diritto interno e se i dati personali in esso contenuti possano essere legittimamente divulgati a terzi, elementi che sono irrilevanti al fine di stabilire se l’autorità di controllo sia competente a garantire il controllo di tale trattamento sulla base dell’articolo 55 del regolamento 2016/679.
37 Per quanto riguarda un trattamento come quello di cui trattasi nel procedimento principale, si deve rilevare che, fatto salvo il rispetto degli obblighi sostanziali previsti dal regolamento 2016/679, non rientrano, in particolare, nella competenza dell’autorità di controllo, ai sensi dell’articolo 55, paragrafo 3, di tale regolamento, i trattamenti di dati personali effettuati dalle autorità giurisdizionali nell’ambito della loro politica di comunicazione sulle cause di cui sono investite, come quelli consistenti nel mettere temporaneamente a disposizione dei giornalisti atti di un procedimento giudiziario per consentire loro di assicurarne la copertura mediatica.
38 Infatti, la determinazione, tenuto conto dell’oggetto e del contesto di una determinata causa, delle informazioni provenienti da un fascicolo giudiziario che possono essere fornite ai giornalisti al fine di consentire loro di riferire sullo svolgimento del procedimento giurisdizionale o di far luce su questo o quell’altro aspetto di una decisione emessa è chiaramente legata all’esercizio, da parte di tali giudici, delle loro «funzioni giurisdizionali», il cui controllo da parte di un’autorità esterna potrebbe pregiudicare, in maniera generale, l’indipendenza della magistratura.
39 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla questione sollevata dichiarando che l’articolo 55, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che il fatto che un organo giurisdizionale metta temporaneamente a disposizione dei giornalisti documenti di un procedimento giurisdizionale, contenenti dati personali, al fine di consentire loro di riferire in modo più completo sullo svolgimento di tale procedimento rientra nell’esercizio, da parte di tale organo giurisdizionale, delle sue «funzioni giurisdizionali», ai sensi di tale disposizione.
Sulle spese
40 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Prima Sezione) dichiara:
L’articolo 55, paragrafo 3, del regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il fatto che un organo giurisdizionale metta temporaneamente a disposizione dei giornalisti documenti di un procedimento giurisdizionale, contenenti dati personali, al fine di consentire loro di riferire in modo più completo sullo svolgimento di tale procedimento rientra nell’esercizio, da parte di tale organo giurisdizionale, delle sue «funzioni giurisdizionali», ai sensi di tale disposizione.
Firme