CONCLUSIONI DELL’AVVOCATO GENERALE
MICHAL BOBEK
presentate il 6 ottobre 2021(1)
Causa C‑245/20
X,
Z
contro
Autoriteit Persoonsgegevens
[domanda di pronuncia pregiudiziale proposta dal Rechtbank Midden‑Nederland (Tribunale dei Paesi Bassi centrali, Paesi Bassi)]
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Competenza dell’autorità di controllo – Trattamento dei dati effettuato dai giudici nell’esercizio delle loro funzioni giurisdizionali – Comunicazione di atti processuali a un giornalista»
I. Introduzione
1. «La pubblicità è l’anima della giustizia. È il più vivo stimolo ad impegnarsi e la più sicura di tutte le protezioni contro la scorrettezza. (...) È solo attraverso la pubblicità che la giustizia diventa la madre della sicurezza. Con la pubblicità, il tempio della giustizia si trasforma in una scuola di prim’ordine, dove si fanno rispettare i più importanti ambiti della morale (...)» (2).
2. Sebbene scritte all’alba del XIX secolo (3), le parole di Jeremy Bentham non hanno perso nulla della loro attrattiva. Certamente, il contesto allora era molto diverso. La pubblicità della giustizia doveva essere rivendicata non solo nei confronti di certi monarchi illuminati (sovente monarchi assolutisti ben poco illuminati), ma anche, o piuttosto soprattutto, nei confronti di alcune visioni medievali singolari, ma ancora persistenti, circa la natura del diritto e del processo giudiziario (4).
3. Non ci sono informazioni esplicite sui templi della giustizia trasformati in scuole nel procedimento principale. Sembra tuttavia che, nei Paesi Bassi, il principio di pubblicità della giustizia si sia tradotto nella possibilità per la stampa di accedere, il giorno di un’udienza, a taluni atti processuali delle cause previste dinanzi al giudice per quel giorno. Lo scopo di tale accesso è quello di aiutare i giornalisti a dare un migliore resoconto di una causa in corso (5).
4. I ricorrenti nella presente causa sono persone fisiche che contestano tale politica. Essi sostengono di non aver acconsentito alla comunicazione a un giornalista di alcuni atti processuali relativi alla loro causa, trattata dinanzi al Raad van State (Consiglio di Stato, Paesi Bassi). I ricorrenti hanno sostenuto dinanzi all’autorità nazionale di controllo che vi fosse stata una violazione di vari diritti e obblighi ai sensi del regolamento (UE) 2016/679 (in prosieguo: l’«RGDP») (6). Tuttavia, l’autorità di controllo convenuta non si è ritenuta competente a esaminare tale ricorso. A suo avviso, il trattamento in questione è stato effettuato nell’esercizio di «funzioni giurisdizionali» dei giudici nazionali, ai sensi dell’articolo 55, paragrafo 3, dell’RGDP.
5. È in questo contesto che il Rechtbank Midden‑Nederland (Tribunale dei Paesi Bassi centrali, Paesi Bassi) chiede un orientamento principalmente sulla questione se la comunicazione alla stampa di taluni documenti processuali ai fini di una migliore informazione dei media su una causa trattata in pubblica udienza costituisca un’attività dei «giudici che agiscono nell’esercizio delle loro funzioni giurisdizionali», ai sensi dell’articolo 55, paragrafo 3, dell’RGDP.
II. Contesto normativo
A. Diritto dell’Unione europea
6. Il considerando 20 dell’RGDP afferma:
«Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati».
7. Ai sensi dell’articolo 2, paragrafo 1, dello stesso regolamento:
«Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».
8. La nozione di «trattamento» è definita all’articolo 4, punto 2, dell’RGDP come:
«qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
9. L’articolo 6 dello stesso regolamento, intitolato «Liceità del trattamento», recita, nella parte rilevante, quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
(...)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento».
10. In virtù dell’articolo 51, paragrafo 1, dell’RGDP:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’“autorità di controllo”)».
11. Tuttavia, ai sensi dell’articolo 55, paragrafo 3, di tale regolamento, «[l]e autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
B. Normativa nazionale
12. L’Uitvoeringswet AVG del 16 maggio 2016 (in prosieguo: l’«UAVG») recepisce l’RGDP nel diritto dei Paesi Bassi. Il suo articolo 6 affida al convenuto l’obbligo di controllare il rispetto dell’RGDP nei Paesi Bassi. L’UAVG non riproduce l’eccezione prevista dall’articolo 55, paragrafo 3, dell’RGDP.
13. Il 31 maggio 2018, il presidente dell’Afdeling bestuursrechtspraak van de Raad van State (Sezione Contenzioso amministrativo del Consiglio di Stato, Paesi Bassi), le amministrazioni giudiziarie del Centrale Raad von Beroep (Corte d’appello in materia di previdenza sociale e di funzione pubblica, Paesi Bassi) e il College von Beroep voor het bedrijfsleven (Corte d’appello per il contenzioso amministrativo in materia economica, Paesi Bassi) hanno adottato un regolamento sul trattamento dei dati personali nei tribunali amministrativi. Tale regolamento ha istituito l’AVG-commissie bestuursrechtelijke colleges (Commissione RGDP per gli organi giurisdizionali amministrativi) (in prosieguo: la «commissione RGDP»). Tale commissione ha il compito di consigliare il Raad van State (Consiglio di Stato), le amministrazioni giudiziarie del Centrale Raad von Beroep (Corte d’appello in materia di previdenza sociale e di funzione pubblica) e il College von Beroep voor het bedrijfsleven (Corte d’appello per il contenzioso amministrativo in materia economica) sulla risoluzione dei ricorsi vertenti sul rispetto dei diritti garantiti dall’RGDP.
III. Fatti, procedimento nazionale e questioni pregiudiziali
14. Il 30 ottobre 2018 il Raad van State (Consiglio di Stato) ha trattato una controversia di diritto amministrativo tra Z (in prosieguo: il «cittadino Z») e il sindaco di Utrecht, Paesi Bassi (in prosieguo: il «sindaco M»). Ai fini di tale controversia, X (in prosieguo: il «legale X») è intervenuto come procuratore del cittadino Z (in prosieguo, congiuntamente: i «ricorrenti») (7).
15. Dopo tale udienza, e in presenza del legale X, il cittadino Z veniva avvicinato da una persona che si qualificava come giornalista (in prosieguo: il «giornalista J»). Detto giornalista ha avuto a sua disposizione vari atti processuali contenuti nel fascicolo. Interrogato su tali atti, il giornalista J affermava che questi gli erano stati messi a disposizione grazie al diritto di prendere visione del fascicolo processuale concesso ai giornalisti dal Raad van State (Consiglio di Stato).
16. Lo stesso giorno, il legale X scriveva al presidente dell’Afdeling bestuursrechtspraak van de Raad van State (Servizio Contenzioso amministrativo del Consiglio di Stato) (in prosieguo: il «presidente P») chiedendo conferma del fatto che fosse stato consentito di prendere visione del fascicolo processuale – ed eventualmente da chi – e se i dipendenti del Raad van State (Consiglio di Stato) fossero a conoscenza del fatto che ne erano state fatte copie o avessero dato il loro consenso a tal fine.
17. Con lettera del 21 novembre 2018, il presidente P rispondeva che, a volte, il Raad van State (Consiglio di Stato) fornisce ai giornalisti informazioni sulle udienze. Lo fa, tra l’altro, consentendo ai giornalisti presenti in quel momento nei locali di prendere visione delle informazioni affinché possano dare un resoconto di una determinata udienza. Tali informazioni comprendono una copia del ricorso (o dell’impugnazione) e della memoria difensiva e, in caso di impugnazione, della sentenza del rechtbank (Tribunale, Paesi Bassi). Dette copie restano disponibili solo il giorno stesso dell’udienza, il che significa che le informazioni non vengono trasmesse anticipatamente né condivise con i media. Gli atti in parola non possono lasciare l’edificio del giudice interessato né essere portati a casa. Alla fine del giorno dell’udienza, i dipendenti della Sezione Comunicazione del Raad van State (Consiglio di Stato) distruggono le copie.
18. Il cittadino Z e il legale X hanno chiesto all’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati, Paesi Bassi) di adottare misure dirette ad assicurare il rispetto della normativa. L’autorità ha ritenuto di non essere competente e ha trasmesso le suddette domande alla commissione RGDP.
19. Il giudice del rinvio spiega che dal regime di disponibilità per i giornalisti adottato dal Raad van State (Consiglio di Stato) discende che terzi, diversi dalle parti processuali, ottengono accesso a determinati dati personali delle parti processuali nonché dei loro eventuali rappresentanti legali. Tali atti processuali possono contenere dati personali provenienti, ad esempio, dalla carta intestata di un rappresentante legale che possono portare all’identificazione. Detti atti possono anche riportare uno o più dati personali (specifici) del ricorrente e/o di altre persone, ad esempio informazioni su precedenti penali, dati commerciali o informazioni mediche.
20. Nel caso di specie, la comunicazione degli atti processuali in questione ha comportato l’accesso del giornalista J al ricorso in appello, alla comparsa di risposta e alla decisione del giudice di grado inferiore. In tal modo, egli ha avuto accesso ad alcuni dati personali dei ricorrenti nel procedimento principale, in particolare il nome e l’indirizzo del legale X e il «numero di identificazione nazionale» del cittadino Z.
21. Il giudice del rinvio ritiene che consentire in tal modo che sia presa visione di atti processuali e mettere a disposizione (temporaneamente) copie di detti documenti costituisca un trattamento dei dati ai sensi dell’articolo 4, punto 2, dell’RGDP. Detto giudice rileva che tale operazione di trattamento ha avuto luogo senza il consenso dei ricorrenti. Tuttavia, per stabilire se l’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati) abbia potuto effettivamente concludere di non essere competente a riesaminare la decisione del Raad van State (Consiglio di Stato) di consentire l’accesso agli atti processuali in questione, il giudice del rinvio deve interpretare la nozione di «autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali», come prevista dall’articolo 55, paragrafo 3, dell’RGDP.
22. Nutrendo dubbi sulla questione se il Raad van State (Consiglio di Stato) abbia agito nell’esercizio delle sue «funzioni giurisdizionali», ai sensi dell’articolo 55, paragrafo 3, dell’RGDP, nel divulgare documenti del fascicolo della controversia tra il cittadino Z e il sindaco M al giornalista J affinché quest’ultimo potesse dare un migliore resoconto dell’udienza di tale causa, il Rechtbank Midden‑Nederland (Tribunale dei Paesi Bassi centrali) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 55, paragrafo 3, del RGDP debba essere interpretato nel senso che si può considerare rientrante tra i “trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali” la possibilità, offerta da un organo giurisdizionale, di prendere visione di atti processuali in cui figurano dati personali, possibilità che viene concessa mettendo a disposizione di un giornalista copie degli atti processuali in parola, come descritto nella presente ordinanza di rinvio.
1) a) Se sia rilevante per la risposta a tale questione se l’esercizio del controllo, da parte dell’autorità nazionale di controllo, su tale forma di trattamento dei dati incida sull’indipendenza del processo decisionale del giudice in fattispecie concrete.
1) b) Se sia rilevante per la risposta a tale questione la circostanza che, secondo l’organo giurisdizionale, la natura e la finalità del trattamento dei dati sia informare un giornalista al fine di metterlo in condizione di dare un migliore resoconto dell’udienza pubblica in un procedimento giurisdizionale, contribuendo così a tutelare l’interesse alla pubblicità e alla trasparenza della giustizia.
1) c) Se sia rilevante per la risposta a tale questione se il trattamento dei dati sia fondato su una esplicita base di diritto nazionale».
23. Osservazioni scritte sono state presentate dal cittadino Z, dall’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati), dai governi spagnolo, dei Paesi Bassi, polacco e finlandese, nonché dalla Commissione europea. L’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati), i governi spagnolo e dei Paesi Bassi, nonché la Commissione hanno altresì presentato argomentazioni orali all’udienza che ha avuto luogo il 14 luglio 2021.
IV. Analisi
24. Le presenti conclusioni sono articolate come segue. Inizierò con brevi osservazioni sulla ricevibilità (A). Poi passerò all’articolo 55, paragrafo 3, dell’RGDP e discuterò gli elementi sostanziali e istituzionali di tale disposizione (B). In seguito, applicherò le mie considerazioni alla causa di cui trattasi (C). Concludo con alcune osservazioni sulla questione centrale, che in questo caso è, e allo stesso tempo non è, la seguente: l’applicazione dell’RGDP ai giudici nazionali (D).
A. Ricevibilità
25. Il cittadino Z sostiene che le questioni sollevate sono di natura ipotetica e quindi irricevibili. Egli ha chiesto una misura di esecuzione non solo a causa della politica di accesso agli atti asserita incompatibile con l’RGDP, ma anche per l’omissione di informazioni su una fuga di dati (cioè la divulgazione di dati personali a un giornalista senza consenso) in tempo utile. Inoltre, sussisterebbero vizi di fatto nella decisione di rinvio, in quanto la divulgazione degli atti processuali di cui trattasi non sarebbe stata effettuata dal Raad van State (Consiglio di Stato), bensì da dipendenti della sua Sezione Comunicazione. Di conseguenza, poiché l’ordinanza di rinvio non proveniva da un organo giurisdizionale ai sensi dell’articolo 55, paragrafo 3, dell’RGDP, l’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati) sarebbe stata competente a controllare il trattamento di tale servizio.
26. Suggerisco di respingere le suddette argomentazioni.
27. Le questioni vertenti sull’interpretazione del diritto dell’Unione, sollevate da un giudice nazionale, in genere sono assistite da una presunzione di rilevanza (8). Il diniego della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con la realtà effettiva o con l’oggetto della controversia principale, qualora il problema sia di natura ipotetica oppure qualora la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte (9). Di conseguenza, se le questioni sollevate vertono sull’interpretazione del diritto dell’Unione, la Corte, in linea di principio, è tenuta a statuire (10).
28. Ciò è palesemente quanto avviene nel caso di cui al procedimento principale. Il giudice del rinvio è tenuto ad applicare l’RGDP, e in particolare l’articolo 55, paragrafo 3, per stabilire in che misura l’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati) fosse effettivamente competente a controllare il trattamento (eventuale) dei dati personali da parte del Raad van State (Consiglio di Stato). Dal momento che necessita di un orientamento sull’interpretazione di detta disposizione, il giudice del rinvio è legittimato a sottoporre alla Corte una questione pregiudiziale.
29. Inoltre, detto giudice è l’unico responsabile della definizione del contesto di fatto in base al quale chiede indicazioni alla Corte (11). Così, anche se una domanda di pronuncia pregiudiziale dovesse presentare talune lacune di fatto, non spetta alla Corte mettere in discussione la completezza dell’ordinanza del giudice del rinvio né prendere posizione su una determinata lettura del diritto o della prassi nazionali.
30. Ad ogni modo, la questione di chi ha divulgato cosa e secondo le istruzioni di chi è, in realtà, un aspetto di merito che può rilevare nel momento in cui il giudice del rinvio applica l’RGDP e le indicazioni fornite da questa Corte. Detta questione non riguarda tuttavia la ricevibilità del caso.
31. Di conseguenza, la presente causa è manifestamente ricevibile.
B. Sull’articolo 55, paragrafo 3, dell’RGDP
32. È chiaro che l’RGDP è destinato ad applicarsi agli organi giurisdizionali degli Stati membri. Infatti, detto regolamento si applica a qualsiasi operazione o insieme di operazioni effettuate su dati personali. Non è prevista alcuna eccezione istituzionale per i giudici, né per altri organi specifici dello Stato (12). L’RGDP, per sua concezione, non distingue quanto alle istituzioni (13). Viene considerata qualsiasi attività che comporti il trattamento di dati personali, indipendentemente dalla natura della stessa. Infine, il considerando 20 dell’RGDP conferma tale impianto legislativo affermando espressamente che esso «si applic[a], tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie».
33. Distinto dalla questione dell’applicabilità sostanziale delle norme previste dall’RGDP, ma sempre in qualche modo inscindibilmente connesso, è il tema del controllo del rispetto di tali norme. È vero che «chi deve controllare» può essere in qualche misura separato dalla questione di «cosa deve essere controllato». Eppure, è sempre necessario un collegamento. Anzitutto, se talune norme non fossero neanche materialmente applicabili, o se vi fossero ampie eccezioni ad esse, allora non vi sarebbe bisogno di discutere questioni relative al controllo, non essendovi infatti nulla da controllare.
34. La questione della competenza in materia di controllo è affrontata all’articolo 55 dell’RGDP. Tale disposizione apre la sezione 2 («Competenza, compiti e poteri») del capo VI («Autorità di controllo indipendenti») dell’RGDP. In tale contesto, l’articolo 55 attribuisce tre tipi di competenza.
35. In primo luogo, l’articolo 55, paragrafo 1, dell’RGDP impone agli Stati membri di designare autorità di controllo che garantiscano l’ottemperanza all’RGDP e il rispetto degli obblighi dei diversi attori coinvolti (14). Ciascuna delle autorità nazionali di controllo dispone dei poteri conferitile dall’RGDP nel territorio del proprio Stato membro.
36. In secondo luogo, l’articolo 55, paragrafo 2, dello stesso regolamento prevede la competenza dell’autorità di controllo dello Stato membro interessato per i trattamenti effettuati da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e). In quanto tale, detta disposizione prevede un’eccezione all’articolo 56, paragrafo 1, che a sua volta assegna la competenza a un’autorità di controllo capofila nei casi di trattamenti transfrontalieri.
37. In terzo luogo, è in questo contesto che l’articolo 55, paragrafo 3, dell’RGDP individua un altro tipo specifico di trattamento, ossia il trattamento effettuato dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali. Per tali attività non sono competenti le autorità di controllo «ordinarie» ai sensi dell’articolo 55, paragrafo 1, dell’RGDP. Invece, il considerando 20 dell’RGDP spiega che «[s]i dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro».
38. Da tale impianto legislativo deduco due conseguenze.
39. In primo luogo, gli articoli 55 e 56 dell’RGDP riguardano principalmente l’attribuzione delle competenze. In questo contesto, si potrebbe forse sostenere che l’articolo 55, paragrafo 1, dell’RGDP deve essere visto come una «regola», mentre tutte le altre disposizioni, compreso il paragrafo 3 del medesimo articolo dell’RGDP, potrebbero essere viste come «eccezioni». Tuttavia, la Corte ha recentemente rifiutato di sottoscrivere questa logica (15), a mio avviso, per una buona ragione: gli articoli 55 e 56 dell’RGDP riguardano l’attribuzione delle competenze sulla base di criteri attinenti al territorio, alla tipologia e agli attori. Certamente non si renderebbe giustizia a tale disegno se la logica un po’ grezza «tutte le eccezioni devono essere interpretate restrittivamente», mutuata dal contesto dell’articolo 2, paragrafo 2, dell’RGDP, fosse applicata all’intreccio piuttosto delicato quale è l’attribuzione delle competenze.
40. In secondo luogo, l’applicabilità dell’articolo 55, paragrafo 3, dell’RGDP è soggetta a due condizioni. Deve trattarsi di un’«operazione di trattamento» nell’accezione dell’RGDP (1). Inoltre, deve essere effettuata da un’«autorità giurisdizionale nell’esercizio delle sue funzioni giurisdizionali» (2). Solo allora si può stabilire quale istituzione sia responsabile di controllare che tale attività sia svolta in ottemperanza all’RGDP. Mi accingo ora a esaminare queste due condizioni.
1. Elemento sostanziale: «un’operazione di trattamento»?
a) Lo stato attuale della legge
41. Il campo di applicazione dell’RGDP è definito in modo ampio. In virtù dell’articolo 2, paragrafo 1, dell’RGDP, detto regolamento si applica al «trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».
42. L’articolo 4, punto 2, aggiunge che «trattamento» comprende «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali», e menziona, a titolo di esempio, «la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione». Tale nozione è stata interpretata nel senso che si riferisce all’intera catena di operazioni che coinvolgono dati personali (16).
43. L’articolo 4, punto 6, dell’RGDP definisce «archivio» come «qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico». Alla luce di tale ampia formulazione, la Corte ha statuito che non sussistono requisiti quanto ai mezzi o alla struttura di un «archivio», allorché i dati personali sono strutturati in un modo che consente di recuperarli facilmente (17).
44. Tutti questi elementi, considerati nel loro insieme, implicano che il trattamento di dati personali ai sensi dell’RGDP ha luogo quando esistono (i) dati personali che (ii) vengono trattati (iii) in modo automatizzato oppure fanno parte di un archivio. Alla luce di ciò, si pone allora la domanda di quale fosse l’operazione di trattamento in questione nel caso di specie.
45. Dal fascicolo di causa risulta che il cittadino Z contesta l’atto di presentare fisicamente i tre documenti processuali al giornalista J affinché potesse meglio riferire sull’udienza tra il cittadino Z e il sindaco M. In tal modo, i dati personali contenuti in (almeno alcuni di) tali documenti sono stati divulgati dal Raad van State (Consiglio di Stato), in qualità di responsabile del trattamento, senza il consenso dell’interessato, configurando così un’operazione di trattamento (presumibilmente illecita) ai sensi dell’articolo 4, punto 2, dell’RGDP.
46. Non sembra sussistere disaccordo sul fatto che gli atti processuali in questione contengano alcuni dati personali, nell’accezione dell’articolo 4, punto 1, dell’RGDP. Informazioni come il nome e l’indirizzo del legale X e il «numero di identificazione nazionale» del cittadino Z ovviamente «riguardan[o] una persona fisica identificata o identificabile» (18).
47. Le parti non sembrano neppure mettere in discussione l’esistenza di un’«operazione di trattamento», ai sensi dell’articolo 4, punto 2, dell’RGDP. È qui, tuttavia, che potrebbe emergere qualche dubbio. Qual è stata esattamente la specifica operazione di trattamento (19) che ha determinato l’applicazione dell’RGDP?
48. La scelta più ovvia al riguardo è la «comunicazione mediante trasmissione» (20), a terzi, da parte di dipendenti del Raad van State (Consiglio di Stato) dei documenti in questione. La giurisprudenza avvalora questa tesi, atteso che la Corte ha ritenuto che la comunicazione (21) o la divulgazione generalizzata (22) di dati personali costituiscono «trattamento» ai sensi dell’articolo 4, punto 2, dell’RGDP.
49. Tuttavia, ai sensi dell’articolo 2, paragrafo 1, dell’RGDP, tale attività deve, almeno in parte, essere avvenuta in modo automatizzato. Il fascicolo della causa tace sull’eventuale coinvolgimento di tale automatizzazione nella suddetta attività. Certamente, nella società di oggi, prima o poi interviene almeno un certo grado di automatizzazione. Inoltre, dato che si deve considerare l’intera catena delle operazioni di trattamento (23), nella misura in cui qualcuno, a un certo punto prima della divulgazione dei documenti processuali in questione, ha digitalizzato, copiato, stampato, inviato per posta elettronica o estratto in altro modo tali documenti da una banca dati, tale operazione di trattamento è stata almeno parzialmente automatizzata, ai sensi dell’articolo 2, paragrafo 1, dell’RGDP.
50. In subordine, e in ogni caso, i dati personali sono stati apparentemente estratti dal fascicolo della causa per essere comunicati al giornalista J. Ciò implica, logicamente, che il Raad van State (Consiglio di Stato) abbia costituito tale fascicolo attraverso qualche tipo di informazione identificativa (numero di riferimento della causa, data della controversia, o nomi delle parti coinvolte). Un fascicolo del genere costituisce, si potrebbe persino dire per antonomasia, un «archivio», nell’accezione dell’articolo 4, punto 6, dell’RGDP, in quanto consta di un insieme strutturato di dati (personali) accessibili secondo criteri determinati (24).
51. Pertanto, anche se si dovesse tralasciare la dicitura «automatizzato» della definizione dell’articolo 2, paragrafo 1, dell’RGDP, è comunque piuttosto chiaro che tre documenti estratti e copiati da un fascicolo di causa dinanzi a un giudice nazionale fanno parte di un archivio, in altre parole il fascicolo di causa stesso.
52. Infine, nessuna delle eccezioni previste dall’articolo 2, paragrafo 2, dell’RGDP, che devono essere interpretate restrittivamente (25), è applicabile nel caso di specie. La divulgazione dei documenti in questione non ricade «[al di fuori dell’]ambito di applicazione del diritto dell’Unione», almeno non nel modo in cui tale espressione è stata interpretata dalla Corte in questo contesto specifico. Si potrebbe infatti ritenere che la divulgazione di atti processuali nei procedimenti dinanzi ai giudici nazionali non rientri nell’ambito del diritto dell’Unione, certamente non nel senso convenzionale di essere disciplinata da un qualsiasi atto giuridico dell’Unione. Tuttavia, nella recente sentenza della Corte nella causa Latvijas Republikas Saiema (punti di penalità), l’eccezione di cui all’articolo 2, paragrafo 2, lettera a) dell’RGDP è stata interpretata nel senso che si applica esclusivamente alle funzioni essenziali dello Stato membro, nella misura in cui tali funzioni possono essere ascritte alla medesima categoria della sicurezza nazionale (26). Invero, se il fatto di garantire la sicurezza stradale non è stato ritenuto soddisfare il considerando 16 dell’RGDP (27), è improbabile che lo faccia la pubblicità della giustizia.
53. Inoltre, non vi è alcuna indicazione che la divulgazione nel caso di specie abbia riguardato un’indagine su reati o l’esecuzione di sanzioni penali (se mai, per qualsiasi lontana ragione, vi fosse stata la necessità di farlo in quelle circostanze) (28). Pertanto, anche l’applicabilità dell’articolo 2, paragrafo 2, lettera d), dell’RGDP è esclusa.
54. In conclusione, alla luce dell’ampia formulazione e interpretazione degli articoli 2, paragrafo 1, 4, punto 2, e 4, punto 6, dell’RGDP, nonché dell’ambito di applicazione estremamente ristretto delle eccezioni di cui all’articolo 2, paragrafo 2, dell’RGDP, risulta che la divulgazione di atti processuali nel caso di specie rientra nell’ambito di applicazione materiale dell’RGDP, tanto come operazione di trattamento di dati personali interamente o parzialmente automatizzato, quanto come operazione di trattamento di dati del genere contenuti in un archivio.
b) La legge è corretta?
55. Fornire a un giornalista tre atti processuali affinché possa comprendere meglio la fase orale del procedimento su cui è tenuto a fare un resoconto è un trattamento di dati personali ai sensi dell’RGDP. Questa conclusione fornisce al contempo una risposta e pone un problema. Gli esseri umani sono creature sociali. La maggior parte delle nostre interazioni comporta la condivisione di qualche tipo di informazioni, per lo più con altri esseri umani. Qualunque scambio di simili informazioni dovrebbe essere soggetto all’RGDP?
56. Se una sera vado in un locale e condivido con quattro miei amici intorno a un tavolo in un luogo pubblico [che dunque probabilmente non soddisfa l’eccezione per l’esercizio di attività personali o domestiche di cui all’articolo 2, paragrafo 2, lettera c), dell’RGDP (29)] un’osservazione piuttosto poco lusinghiera sul mio vicino contenente i suoi dati personali, che ho appena ricevuto via e-mail (quindi in modo automatizzato e/o facente parte del mio archivio), divento forse io il responsabile del trattamento di questi dati e improvvisamente soggetto a tutti gli obblighi (piuttosto gravosi) dell’RGDP? Poiché il mio vicino non ha mai fornito il consenso a tale trattamento (comunicazione mediante trasmissione), e poiché è alquanto improbabile che il pettegolezzo figuri tra i motivi legittimi elencati nell’articolo 6 dell’RGDP (30), con tale comunicazione incorro nella violazione di una serie di disposizioni dell’RGDP, compresa la maggior parte dei diritti dell’interessato contenuti nel capo III.
57. All’udienza, di fronte a queste domande davvero bizzarre dell’avvocato generale, la Commissione ha insistito sul fatto che ci sono limiti al campo di applicazione dell’RGDP. Tuttavia, essa non è stata in grado di spiegare dove tali limiti siano esattamente collocati. Infatti, essa ha ammesso che anche un’«operazione di trattamento» incidentale di dati personali sembra determinare l’applicazione di tale regolamento, e quindi i diritti e gli obblighi che ne derivano (31).
58. Questa è precisamente la questione che la presente causa, ancora una volta, mette in evidenza: l’ambito di applicazione dell’RGDP non dovrebbe avere dei limiti sostanziali? Ogni forma di interazione umana in cui vengono divulgate informazioni circa altri esseri umani dovrebbe essere soggetta alle sue regole piuttosto gravose, indipendentemente dal modo in cui dette informazioni vengono divulgate?
59. In questa nuova epoca, in cui si riscontra una sollecitazione senza fine verso una maggiore automazione, sembra che quasi ogni aspetto di qualsiasi attività possa, prima o poi, essere collegato a una macchina che, sempre più spesso, dispone di una propria capacità di elaborazione dei dati. Nella maggior parte dei casi, l’uso di tali dati sarà accessorio o «de minimis», di modo che, in molti casi, non si configura alcuna attività di trattamento «reale». Tuttavia, ancora una volta, sembrerebbe che né la natura dell’operazione (mera trasmissione rispetto al lavoro effettivo su e con i dati) né il metodo della potenziale divulgazione (per iscritto, manualmente o elettronicamente, anziché oralmente) né la quantità di dati personali (nessuna regola de minimis, nessuna differenza nella divulgazione di dati individualizzati relativi a una persona specifica rispetto al lavoro con o su insiemi di dati) rilevino ai fini dell’applicabilità dell’RGDP.
60. Non sono certo il primo ad essere perplesso circa l’ampiezza di ciò che apparentemente costituisce un’«operazione di trattamento» ai fini dell’RGDP, o in precedenza della direttiva 95/46/CE (32). Nelle sue conclusioni nella causa Commissione/Bavarian Lager, l’avvocato generale Sharpston ha tentato di suggerire l’introduzione di una sorta di soglia minima come evento determinante la sussistenza di un’operazione di trattamento (33).
61. Un approccio più cauto ai concetti di «dati personali» e «trattamento» era stato suggerito in precedenza anche dal Gruppo di lavoro Articolo 29 per la protezione dei dati personali (34). Esso ha osservato che «il semplice fatto che una data situazione possa essere considerata come implicante “il trattamento di dati personali” nel senso della definizione non è di per sé sufficiente per determinare l’applicazione delle norme della [direttiva 95/46], in particolare ai sensi dell’articolo 3» (35). Detto gruppo di lavoro ha inoltre sottolineato che «il campo di applicazione delle norme di protezione dei dati non va esteso oltre misura». Esso ha altresì previsto piuttosto saggiamente che «un’applicazione meccanicistica di ogni singola disposizione della direttiva» potrebbe comportare «conseguenze eccessivamente gravose o addirittura assurde» (36).
62. Ciò che dovrebbe allora essere richiesto, come minimo, è una modifica, un’alterazione, una manipolazione o qualsiasi altro trattamento nel senso di «valore aggiunto» o di «uso corretto» dei dati personali in questione. In alternativa, o in connessione, occorre inquadrare più precisamente la nozione di automatizzazione in modo da escludere tutte le altre forme di mera comunicazione con mezzi non automatizzati, verbalmente o prendendo semplicemente visione di un documento scritto. L’aggiunta di un siffatto criterio della soglia, o qualsiasi altro criterio analogo, potrebbe quindi aiutare a ricentrare le norme in materia di protezione dei dati sulle attività che si intendeva coprire in primo luogo (37), prescindendo dagli usi accidentali, accessori o minimi di dati personali che altrimenti ricadrebbero sotto la scure dei diritti e dei doveri dell’RGDP.
63. In ogni caso, non ignoro certo che la Corte, riunita in Grande Sezione, non molto tempo fa ha respinto l’adozione di un siffatto criterio nella sentenza Commissione/Bavarian Lager (38). Nello stesso ordine di idee, da allora la Corte ha continuato a perseguire un approccio alquanto espansionista nell’interpretare l’ambito di applicazione della direttiva 95/46 e dell’RGDP (39).
64. Per questo motivo, devo quindi concludere che, anche nel caso di specie, è stata effettuata un’operazione di trattamento di dati personali ai sensi dell’articolo 2, paragrafo 1, dell’RGDP, e quindi anche ai sensi dell’articolo 55, paragrafo 3, del regolamento medesimo.
65. Tuttavia, a mio avviso, sospetto che la Corte o, peraltro, il legislatore dell’Unione, un giorno possa dover rivedere la portata dell’RGDP. L’approccio attuale sta gradualmente trasformando l’RGDP in una delle normative del diritto dell’Unione di fatto più disattese. Questo stato di cose non è necessariamente intenzionale. Si tratta piuttosto della naturale conseguenza dell’eccesso di applicazione dell’RGDP, cosa che a sua volta comporta che numerose persone vivano semplicemente nella beata ignoranza del fatto che anche le loro attività sono soggette all’RGDP. Se è certamente possibile che una siffatta protezione dei dati personali possa ancora «essere al servizio dell’uomo» (40), sono abbastanza sicuro che l’essere ignorati, come conseguenza dell’irragionevolezza, di fatto non costituisce un buon servizio e nemmeno giova all’autorevolezza o alla legittimazione di qualsiasi norma, compreso l’RGDP.
2. Elemento istituzionale: «autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali»?
66. Avendo accettato la sussistenza di un’«operazione di trattamento» ai sensi dell’articolo 55, paragrafo 3, dell’RGDP, occorre esplorare il secondo elemento, più propriamente istituzionale, contenuto in tale disposizione. Come va interpretata la nozione di «autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali»?
67. Questa disposizione cerca di tracciare una distinzione tra le attività che dovrebbero essere considerate come svolte nell’esercizio delle «funzioni giurisdizionali» e le attività che non rientrano in questa categoria, come, presumibilmente, i compiti amministrativi. Una distinzione simile è rinvenibile in vari altri contesti legislativi, in particolare in relazione all’accesso ai documenti e al principio di trasparenza di cui all’articolo 15, paragrafo 3, quarto trattino, TFUE (41). Tuttavia, a ben guardare, l’articolo 55, paragrafo 3, dell’RGDP sembra essere una disposizione specifica a sé stante.
68. La Commissione sostiene che la nozione «nell’esercizio delle loro funzioni giurisdizionali» dovrebbe seguire un approccio puramente funzionale ed essere interpretata restrittivamente. Essa sostiene che occorre tenere conto in modo particolare del considerando 20 dell’RGDP e dell’obiettivo di salvaguardare l’indipendenza della magistratura. Da questo punto di vista, solo le attività che hanno o potrebbero avere un legame diretto con il «processo decisionale» dei giudici dovrebbero essere incluse nella nozione di «funzioni giurisdizionali», per cui solo quelle attività esulerebbero dalla competenza delle autorità di controllo competenti.
69. Tutte le altre parti del presente procedimento esprimono una posizione opposta. In sostanza, esse affermano che l’uso del termine «compreso», nel considerando 20 dell’RGDP, indica che il legislatore dell’Unione non ha voluto dare una lettura restrittiva alla nozione «nell’adempimento delle loro funzioni giurisdizionali» e che l’obiettivo di salvaguardare l’indipendenza della magistratura richiede un’interpretazione estensiva.
70. Condivido ampiamente quest’ultima tesi.
71. L’articolo 55, paragrafo 3, dell’RGDP definisce le competenze di controllo dell’autorità di controllo competente. Esso non costituisce, come la Commissione ha correttamente sottolineato all’udienza, un’eccezione all’obbligo generale di controllo. Infatti, una volta che un’operazione di trattamento rientra nel campo di applicazione materiale dell’RGDP, essa diventa anche soggetta al requisito di essere controllata da un’autorità indipendente ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), e più in generale dell’articolo 16, paragrafo 2, TFUE. Tale controllo deve essere effettuato da un organismo diverso dall’autorità di controllo designata ai sensi dell’articolo 51, paragrafo 1, dell’RGDP.
72. Affinché la competenza di controllo sia attribuita a un organismo diverso dall’autorità di controllo generale ai sensi dell’articolo 55, paragrafo 1, dell’RGDP, l’articolo 55, paragrafo 3 richiede, oltre all’esistenza di un’operazione di trattamento, da un lato, il coinvolgimento di un tipo di istituzione («autorità giurisdizionali») e, dall’altro, l’esercizio di un’attività specifica da parte di tali autorità giurisdizionali («nell’esercizio delle funzioni giurisdizionali»). Ciò comporta la necessità di una verifica che tenga conto di entrambe le caratteristiche.
73. Per quanto riguarda la prima, è chiaro che, al di fuori dell’ambito necessariamente autonomo dell’articolo 267 TFUE, la nozione di «autorità giurisdizionale» implica un organo che fa parte della struttura giudiziaria degli Stati membri ed è riconosciuto come tale (42). Come ho esposto in precedenza, e come il governo dei Paesi Bassi ha osservato in udienza, per tali tipi di organismi, la natura «giurisdizionale» della loro attività è la regola, mentre lo svolgimento di eventuali attività «amministrative» è da considerarsi l’eccezione, dato che tali attività sono accessorie o transitorie rispetto alla loro attività principale, che è quella giudiziaria (43). In altre parole, se l’organo in questione è designato come «organo giurisdizionale» nel sistema giudiziario degli Stati membri, allora si presumerà automaticamente che esso agisca «nell’esercizio delle funzioni giurisdizionali», a meno che non sia dimostrato il contrario in un caso specifico (44).
74. Per quanto riguarda questo secondo aspetto, il correttivo funzionale a tale determinazione istituzionale avviene poi attraverso la valutazione del tipo o della natura dell’attività data (45). L’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati), nonché i governi spagnolo e dei Paesi Bassi, richiamano correttamente il considerando 20 dell’RGDP per sottolineare che, nel caso specifico dell’articolo 55, paragrafo 3, dell’RGDP, a tale correttivo deve essere data un’interpretazione ampia.
75. In via preliminare, vorrei tuttavia sottolineare che la definizione di cui all’articolo 55, paragrafo 3, dell’RGDP contiene correttamente due elementi della definizione: l’elemento istituzionale e il correttivo (o adeguamento) funzionale. Ciò è dovuto al fatto che essa vuole logicamente cogliere determinate funzioni (giurisdizionali) all’interno di determinate istituzioni (autorità giurisdizionali). Tale definizione non è e non può essere puramente funzionale. Se così fosse, e se «nell’esercizio delle loro funzioni giurisdizionali» dovesse prevalere sul concetto di «autorità giurisdizionali», allora altri organismi e autorità negli Stati membri che esercitano in singoli casi una qualche funzione giurisdizionale potrebbero cercare di essere considerati come organismi non soggetti alle autorità di controllo di cui all’articolo 55, paragrafo 1. Tuttavia, l’articolo 55, paragrafo 3, dell’RGDP è limitato alle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali. Esso non è applicabile ad organismi nell’esercizio delle loro funzioni giurisdizionali.
76. Perché, nella seconda fase, la nozione «nell’esercizio delle loro funzioni giurisdizionali» dovrebbe essere interpretata in modo estensivo, tale quindi presumibilmente da includere, piuttosto che escludere, i casi limite?
77. In primo luogo, a differenza della Commissione, non sottoscrivo l’idea che il rapporto tra paragrafi 1 e 3 dell’articolo 55 dell’RGDP debba essere ridotto alla logica semplicistica della «regola-eccezione». Come già spiegato supra (46), gli articoli 55 e 56 dell’RGDP introducono un sistema sfumato di attribuzione del controllo nei confronti di determinati territori, determinate tipologie di trattamento e determinati attori.
78. In secondo luogo, si può ricordare che la seconda frase del considerando 20 dell’RGDP afferma che «[n]on è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale» (47).
79. In tale contesto, i riferimenti «al fine di» e «compreso» indicano l’interpretazione estensiva che deve essere data alla nozione di «adempimento delle loro funzioni giurisdizionali».
80. Da un lato, l’espressione «al fine di» in questa frase esplicita uno scopo e non una limitazione. Essa stabilisce, attraverso un’affermazione astratta, che lo scopo dell’attribuzione di competenza contenuta nell’articolo 55, paragrafo 3, dell’RGDP è la tutela dell’indipendenza della magistratura. Infatti, e contrariamente a quanto suggerito dalla Commissione in udienza, l’utilizzo dell’espressione «al fine di» non implica che ogni operazione di trattamento debba contribuire alla salvaguardia dell’indipendenza dei giudici. In parole povere, il considerando 20 non afferma che, per essere escluso dal controllo dell’autorità di controllo di cui all’articolo 55, paragrafo 1, ogni trattamento effettuato dal giudice deve salvaguardare individualmente e concretamente l’indipendenza dei giudici. Esso si limita ad affermare che, a livello sistemico, il sistema di controllo specifico è stato introdotto al fine di salvaguardare l’indipendenza dei giudici. Si tratta, a mio avviso, di locuzioni «al fine di» molto diverse.
81. D’altra parte, la necessità di un’interpretazione estensiva dell’espressione «funzioni giurisdizionali» è confermata anche dall’aggiunta del termine «compreso» prima dell’espressione «processo decisionale», nella seconda frase del considerando 20 dell’RGDP. Il legame così creato indica infatti anche che la nozione di «funzioni giurisdizionali» deve essere interpretata in modo più ampio rispetto alle semplici decisioni individuali relative a un caso specifico. Quindi, ancora una volta, non è necessario assicurare che ogni singola attività di trattamento garantisca visibilmente e chiaramente il compito di salvaguardare l’indipendenza dei giudici. Piuttosto, si può ritenere che un’autorità giurisdizionale agisca nell’esercizio delle «funzioni giurisdizionali» anche quando svolge attività che riguardano il funzionamento generale della magistratura o la gestione e l’amministrazione generale del processo giudiziario, che si tratti, ad esempio, della formazione e dell’archiviazione dei fascicoli, dell’assegnazione delle cause ai giudici, della riunione delle cause, della proroga dei termini, dello svolgimento e dell’organizzazione delle udienze, della pubblicazione e della diffusione delle sentenze a beneficio del pubblico (certamente nel caso delle corti di grado superiore) o ancora della formazione di nuovi giudici.
82. In terzo luogo, la stessa conclusione può essere tratta anche dall’obiettivo dichiarato di salvaguardare l’«indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali». In tutta la sua giurisprudenza, in particolare nelle sue cause più recenti, la Corte ha interpretato la nozione di «indipendenza dei giudici» in modo ampio, tale da includere la capacità dei giudici di esercitare le proprie funzioni liberi da qualsiasi forma di pressione (diretta o indiretta, reale o potenziale) (48).
83. Non vedo perché la stessa interpretazione non debba essere presa come base di riferimento per comprendere la nozione di «indipendenza della magistratura» anche ai fini dell’RGDP. A questo proposito, tuttavia, a meno che non si voglia incaricare l’autorità di controllo competente di valutare, su base individuale, se la sua supervisione in un caso particolare possa interferire con tale indipendenza, una lettura restrittiva del considerando 20 e dell’articolo 55, paragrafo 3, dell’RGDP non è certo giustificata.
84. È in questo contesto che trovo difficile condividere gli argomenti della Commissione e la sua lettura della nozione di indipendenza dei giudici. All’udienza, la Commissione ha continuato a insistere sul fatto che, ai fini dell’applicazione dell’articolo 55, paragrafo 3, dell’RGDP, deve esistere un legame diretto tra il trattamento dei dati personali in questione e un effettivo procedimento giudiziario in corso. Se così fosse, nutrirei perplessità circa l’esatto contributo che la nozione di indipendenza dei giudici, chiaramente invocata dal legislatore dell’Unione, potrebbe apportare nell’equazione per definire la portata dell’attività giurisdizionale.
85. Se la nozione di indipendenza dei giudici deve avere un significato in questo contesto, è soprattutto quello di porre al riparo la funzione giurisdizionale da indicazioni, pressioni e influenze indiretti. Se la giurisprudenza più recente di questa Corte dimostra qualcosa, è che le minacce indirette all’indipendenza dei giudici sono di fatto più frequenti di quelle dirette. Un esempio recente degno di nota in questa categoria potrebbe essere il regime dei procedimenti disciplinari contro i giudici (49). In senso stretto, tali procedimenti (o l’eventuale ricorso ad essi) non sono direttamente collegati al processo decisionale individuale dei giudici. Tuttavia, pochi contesterebbero la loro rilevanza per quanto riguarda l’ambiente in cui tali decisioni sono emesse, e il fatto che a tali procedimenti è chiaramente applicabile il concetto di indipendenza dei giudici.
86. Per tutte queste ragioni, non condivido l’approccio della Commissione all’interpretazione della nozione di agire nell’esercizio delle funzioni giurisdizionali ai sensi dell’articolo 55, paragrafo 3, dell’RGDP. Esso equivarrebbe, in sostanza, a consentire il controllo amministrativo ai sensi dell’articolo 55, paragrafo 1, dell’RGDP in tutti i casi, a meno che non vi sia un collegamento diretto, presumibilmente anche qualche impatto discernibile, sul processo decisionale. A mio avviso, tale approccio trascura quello che dovrebbe essere propriamente l’obiettivo della salvaguardia dell’indipendenza dei giudici. L’indipendenza dei giudici non consiste (solo) nell’accertare ex post che qualcosa è già accaduto. Si tratta soprattutto di mettere in atto sufficienti garanzie ex ante, in modo che certe cose non possano accadere.
87. Lo stesso vale per l’argomento secondo cui, certo, non si può presumere che le autorità di controllo di cui all’articolo 55, paragrafo 1, anche se autorizzate a controllare qualsiasi attività giurisdizionale, possano avere una volontà ex ante di influenzare il processo giurisdizionale. In questo caso posso solo concordare. Neanche questo, tuttavia, è il punto, se l’obiettivo da raggiungere è quello di salvaguardare l’indipendenza dei giudici. L’interpretazione e la costruzione istituzionale in questi casi non possono discendere da una logica fattuale (è già successo?), ma devono procedere su una logica preventiva (fare in modo che tali cose non possano accadere, indipendentemente dal comportamento specifico degli attori interessati) (50).
88. In quarto e ultimo luogo, lo scopo dell’articolo 55, paragrafo 3, dell’RGDP dichiarato nell’atto normativo fornisce anche, a mio avviso, una risposta su come affrontare gli scenari di confine, o la zona grigia, tra ciò che è chiaramente giudiziario, e ciò che è chiaramente qualcos’altro, presumibilmente amministrativo.
89. In pratica, esiste naturalmente un certo numero di attività di confine svolte dagli organi giurisdizionali che possono non riguardare direttamente una decisione giudiziaria in una determinata causa, ma avere un’influenza diretta o indiretta sul processo giudiziario. Si può prendere come esempio l’assegnazione delle cause da parte del presidente di un tribunale, sempre che, naturalmente, un ordinamento giuridico consenta al presidente una certa discrezionalità in questo senso. Se si dovesse adottare una lettura ristretta di ciò che si ritiene appartenere alla «funzione giurisdizionale», allora sarebbe improbabile che tale attività sia coperta dall’articolo 55, paragrafo 3, dell’RGDP. Un’autorità di controllo sarebbe quindi competente a controllare il trattamento dei dati personali effettuato nell’ambito di tale attività. Tuttavia, una siffatta decisione non è nemmeno di natura amministrativa. Infatti, pochi non concorderebbero sul fatto che l’assegnazione di una causa a un giudice relatore è un compito intrinsecamente giudiziario, e che l’ingerenza in essa può ripercuotersi in modo significativo sull’indipendenza dei giudici.
90. Altre attività che rientrano nella stessa categoria sono, ad esempio, la disposizione, l’ordine dei posti a sedere, o la gestione delle aule di tribunale quando la corte si riunisce, l’uso di misure di sicurezza per i visitatori, le parti e i loro rappresentanti; la registrazione video o eventualmente anche il video streaming delle udienze, l’accesso dedicato alle udienze da parte della stampa, o anche le informazioni disponibili sul sito web di un tribunale in merito alle udienze e alle sentenze. Nessuna di queste attività (puramente esemplificative) è esclusivamente giudiziaria, nel senso di essere direttamente collegata all’esito di una singola controversia, o esclusivamente amministrativa. In molti di questi casi, tali attività possono, in determinate circostanze, ripercuotersi sull’indipendenza dei giudici di un organo giurisdizionale. Sarebbe quindi opportuno che l’eventuale ottemperanza all’RGDP fosse controllata dalla stessa autorità che può anche essere citata in giudizio dinanzi a detti giudici in cause intentate contro decisioni adottate da essa?
91. All’altro estremo dello spettro vi sono, a ben vedere, compiti puramente amministrativi, come la manutenzione degli edifici dei palazzi di giustizia, l’appalto dei servizi di ristorazione o la normale gestione delle forniture e la manutenzione di un’istituzione e di un luogo di lavoro. È vero che, anche all’interno di questa categoria, potrebbero emergere casi limite. Il pagamento degli stipendi dei giudici può essere un esempio in tal senso (51). Se questi compiti si limitano esclusivamente al trattamento meccanico delle buste paga fisse, allora sono di natura intrinsecamente amministrativa. Il controllo di tali attività potrebbe quindi rientrare nella competenza dell’autorità di controllo istituita ai sensi dell’articolo 51, paragrafo 1, dell’RGDP. Tuttavia, non appena si aggiunge un elemento discrezionale a tale compito, come decidere il tipo di ferie retribuite, di gratifica natalizia o l’indennità di prima sistemazione che un certo giudice può ricevere, allora tale attività potrebbe perdere rapidamente il suo status innocuo e meramente amministrativo (52).
92. Infatti, sarebbe incompatibile con la logica del considerando 20 dell’RGDP se tali attività, per il solo fatto della loro categorizzazione generale, fossero esaminate dall’autorità di controllo di cui all’articolo 51, paragrafo 1, e non dall’autorità «interna» designata specificamente per le attività aventi un potenziale impatto sull’indipendenza dei giudici. La questione diventa qui un problema di coerenza: non si può dissociare la particolare decisione politica adottata nell’esercizio delle funzioni giurisdizionali dalla sua attuazione, se un controllo della conseguente decisione di attuazione, da parte del personale amministrativo generale, comporterebbe lo stesso problema di lesione dell’indipendenza della magistratura. In quanto tale, neanche l’attuazione di una decisione politica adottata nell’esercizio delle funzioni giurisdizionali deve rientrare nell’ambito del controllo dell’autorità di controllo (amministrativa) competente.
93. In conclusione, quindi, e alla luce dell’intento legislativo espresso nel considerando 20 dell’RGDP, l’approccio alla categorizzazione delle attività che vengono svolte «nell’esercizio delle funzioni giurisdizionali» non può essere un approccio individuale e specifico per il singolo caso, incentrato sulla potenziale ingerenza su ciò che è «giurisdizionale» nelle circostanze di un singolo caso. Un siffatto approccio sarebbe per definizione fattuale e circostanziale, a volte più ampio e a volte più ristretto. L’approccio adottato per l’interpretazione di tale nozione deve quindi essere strutturale (cioè procedere in base alla tipologia di attività) e, per sua natura, preventivo. Ecco perché, per i casi limite delle attività svolte dagli organi giurisdizionali, alla luce del principio dell’indipendenza dei giudici, qualora sussistano dubbi sulla natura di un tipo di attività, o la semplice possibilità che il controllo di una tale attività possa incidere sull’indipendenza dei giudici, ciò dovrebbe rimanere (strutturalmente) estraneo alla competenza dell’autorità di controllo di cui all’articolo 55, paragrafo 1.
94. Dopo aver fornito questa risposta alla definizione di autorità giurisdizionale nell’esercizio delle funzioni giurisdizionali, concludo ribattendo, per completezza, a tre ulteriori argomenti sollevati dalle varie parti interessate nel corso del presente procedimento.
95. In primo luogo, trovo di scarsa utilità pratica porre l’accento sulla genesi del considerando 20 dell’RGDP. Il giudice del rinvio spiega che i documenti preparatori dell’RGDP mostrano che la versione iniziale del considerando 20 dell’RGDP è stata redatta in modo simile al considerando 80 della direttiva (UE) 2016/680 (53). Quest’ultima limita il concetto «nell’esercizio delle loro funzioni giurisdizionali» all’«attività giurisdizionale e non [si applica] ad altre attività a cui i giudici potrebbero partecipare in forza del diritto dello Stato membro». Tuttavia, nella versione finale del considerando 20 dell’RGDP non è stata mantenuta una siffatta limitazione di competenza. Se si può trarre una lezione da questo fatto, è piuttosto una lezione di contrasto e non di analogia. Del resto, il legislatore dell’Unione si è chiaramente discostato da quella precedente formulazione, presumibilmente scartando una lettura restrittiva che distingue tra diversi tipi di «attività giurisdizionale».
96. In secondo luogo, ai fini della presente causa, non si può semplicemente riprodurre la logica che sottende le distinzioni operate nel quadro della legislazione e della giurisprudenza in materia di accesso ai documenti. La finalità alla base della divisione dell’articolo 15, paragrafo 3, [quarto comma] TFUE (protezione dell’integrità della giustizia e dei procedimenti giudiziari in corso) è diversa dalla medesima divisione che si presume esistere all’articolo 55, paragrafo 3, dell’RGDP (protezione dell’indipendenza giudiziaria dei giudici).
97. Più specificamente, per quanto riguarda le sentenze Svezia e a./API e Commissione (54), e Breyer/Commissione (55), su cui la Commissione ha cercato di basarsi ai fini della presente causa, dette sentenze riguardano la protezione delle «procedure giurisdizionali», una delle deroghe che rientrano nell’articolo 4 del regolamento (CE) n. 1049/2001 (56). Come ho spiegato nelle conclusioni da me presentate nella causa Friends of the Irish Environment, la suddetta deroga pone l’accento sulla durata limitata di una singola controversia piuttosto che sulle attività permanenti della magistratura (57). Essa considera quindi le attività di cui all’articolo 4, paragrafo 2, del regolamento n. 1049/2001 principalmente attraverso il prisma della temporaneità. Tuttavia, tale deroga temporanea alla logica della comunicazione è completamente estranea all’articolo 55, paragrafo 3, dell’RGDP, che riguarda l’attribuzione permanente della competenza in termini di controllo. Così, anche in questo contesto, come l’avvocato generale Sharpston ha giustamente rilevato nella causa Flachglas Torgau, questa attività realmente giurisdizionale «non ha né un inizio né una fine» (58).
98. In terzo e ultimo luogo, vorrei affrontare il motivo per cui il bilanciamento, proposto dal governo spagnolo, tra il diritto alla protezione dei dati e taluni altri diritti fondamentali (necessario ai sensi dell’articolo 85 dell’RGDP), non rientra nell’ambito della valutazione di cui all’articolo 55, paragrafo 3, di detto regolamento. Questo perché la valutazione oggettiva, per l’attribuzione della competenza di controllo, del fatto se un’attività sia svolta «nell’esercizio delle funzioni giurisdizionali», non dipende dalla conciliazione dei diritti fondamentali. Invece, ai sensi dell’articolo 55, paragrafo 3, dell’RGDP, occorre impegnarsi in una «valutazione della tipologia» che è legata, come ho spiegato nei passaggi precedenti, al funzionamento generale della giustizia e alle decisioni politiche a esso relative.
99. Non voglio assolutamente lasciare intendere che un’operazione di bilanciamento non sia necessaria per valutare se una divulgazione di documenti sia conforme alla normativa sulla protezione dei dati personali. Lo è certamente, ma solo successivamente, al momento di valutare se la divulgazione in questione (svolta «nell’esercizio delle funzioni giurisdizionali») fosse proporzionata allo scopo che intendeva raggiungere, e quindi conforme alle disposizioni sostanziali dell’RGDP (59).
100. In sintesi, suggerisco di affrontare la nozione di agire «nell’esercizio delle loro funzioni giurisdizionali», ai sensi dell’articolo 55, paragrafo 3, dell’RGDP da una prospettiva istituzionale («è un organo giurisdizionale?») che sia poi potenzialmente corretta da una valutazione funzionale del tipo di attività in questione («che tipo specifico di attività sta svolgendo l’organo giurisdizionale?»). Alla luce dell’obiettivo di cui al considerando 20 dell’RGDP, per quest’ultima valutazione dell’attività si dovrebbe adottare un’interpretazione ampia del concetto di «funzioni giurisdizionali» che vada oltre il semplice processo decisionale dei giudici in un singolo caso. Essa deve coprire anche tutte le attività che possono indirettamente incidere sull’indipendenza della magistratura. In quanto tale, l’agire dei giudici dovrebbe essere considerato automaticamente «nell’esercizio delle funzioni giurisdizionali», a meno che non si accerti, per quanto riguarda un tipo specifico di attività, che essa ha solo carattere amministrativo.
C. Il caso di specie
101. Avendo proposto un criterio generale che scaturisce, a mio avviso, dall’articolo 55, paragrafo 3, dell’RGDP, passo ora alle questioni sollevate dal giudice del rinvio.
102. Per ricordare, la domanda 1 in sostanza chiede se i giudici nazionali agiscono «nell’esercizio delle loro funzioni giurisdizionali» ai sensi dell’articolo 55, paragrafo 3, dell’RGDP quando trasmettono alcuni atti processuali a un giornalista affinché questi possa dare un migliore resoconto di una particolare causa. Le restanti questioni si basano sulla risposta che questa Corte deve dare a tale questione iniziale e chiedono indicazioni per sapere se la valutazione di cui alla prima questione sia influenzata, in primo luogo, dall’eventuale ingerenza dell’autorità nazionale di controllo sull’indipendenza dei giudici in una fattispecie concreta (questione 1a); in secondo luogo, dalla natura e dalla finalità del trattamento dei dati, vale a dire la comunicazione di informazioni a un giornalista per consentirgli di dare un migliore resoconto di un’udienza pubblica in un procedimento giurisdizionale (questione 1b); o in terzo luogo, dall’esistenza o meno di una base giuridica per tale divulgazione di documenti (questione 1c).
103. Passando in primo luogo alla domanda 1, come ho spiegato nella sezione precedente delle presenti conclusioni, il concetto di «autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali», di cui all’articolo 55, paragrafo 3, dell’RGDP, deve essere oggetto di una lettura istituzionale che viene poi riadattata, se necessario, da un ampio «correttivo per tipologia di attività».
104. Nel caso di cui trattasi, la designazione istituzionale è chiara. Infatti, il Raad van State (Consiglio di Stato) funge da giudice di grado superiore in materia amministrativa nei Paesi Bassi. Analogamente, per quanto riguarda la questione se l’attività di cui trattasi rientri nella categoria dei trattamenti effettuati «nell’esercizio delle funzioni giurisdizionali», le parti interessate concordano in generale sul fatto che la comunicazione di atti processuali a un giornalista affinché questi possa dare un migliore resoconto di un’udienza ricada nel tipo di attività giudiziaria cui è applicabile l’articolo 55, paragrafo 3, dell’RGDP.
105. Concordo. Una politica, come quella della fattispecie di cui trattasi, che preveda la comunicazione alla stampa di atti processuali selezionati per rendere il lavoro dei giudici più trasparente e comprensibile tocca il nucleo stesso del diritto ad un processo equo (60), e si riferisce chiaramente all’agire «nell’esercizio delle funzioni giurisdizionali». Tale comunicazione fa parte del più ampio compito della magistratura moderna di tenere il pubblico informato su come la giustizia sia stata realizzata in suo nome (61).
106. Contrariamente a quanto asserito dal cittadino Z, secondo questo ragionamento non importa che a diffondere i documenti in questione sia stata la Sezione Comunicazione del Raad van State (Consiglio di Stato), che mi risulta sia composta da personale giudiziario diverso dai giudici. A parte il fatto che, in ragione dell’indipendenza istituzionale dei giudici, questa stessa istituzione decide sulla ripartizione interna dei compiti, il giudice del rinvio spiega, come è stato confermato in udienza dal governo dei Paesi Bassi, che la divulgazione in questione è avvenuta sotto il controllo del presidente P.
107. Tuttavia, anche se la decisione di divulgazione in questione non fosse presa da una sezione all’interno dell’organo giurisdizionale nazionale, ma piuttosto da un organismo esterno genericamente sotto il controllo dell’organo giurisdizionale, il risultato sarebbe lo stesso. Da un lato perché, se il tipo di attività è coperto, la designazione di chi esercita tale attività secondo il diritto nazionale non ha importanza. Dall’altro, la diversità delle strutture a livello nazionale non può portare a un risultato diverso in una situazione in cui una particolare attività serve solo come correttivo a una semplice designazione istituzionale (62). Altrimenti, un’autorità di controllo come l’Autoriteit Persoonsgegevens (Autorità garante della protezione dei dati) otterrebbe il controllo della politica nei confronti della stampa del Raad van State (Consiglio di Stato), il che, indirettamente, le consentirebbe di rivedere una decisione di merito adottata da tale giudice in materia di pubblicità della giustizia in uno specifico caso.
108. Ciò mi porta alla questione 1a. Nel caso di specie, il giudice del rinvio si chiede se debba stabilire, in ciascuna fattispecie concreta, se il controllo incida sull’indipendenza dei giudici.
109. La risposta è «no». Come ho spiegato supra (63), il riferimento alla «competenza giurisdizionale» nel considerando 20 dell’RGDP non deve essere inteso come un obbligo di esaminare se in ogni singolo caso vi sia una minaccia all’indipendenza della magistratura. Esso rappresenta invece la dichiarazione complessiva della finalità sottesa al disposto dell’articolo 55, paragrafo 3, dell’RGDP, che è di natura istituzionale. Tale dichiarazione circa la finalità porta a un’inclusione piuttosto preventiva di tutti i tipi di attività giudiziaria, il cui controllo, sotto il profilo della conformità all’RGDP, può persino avere un impatto indiretto sull’indipendenza dei giudici in forza dell’ambito di applicazione dell’articolo 55, paragrafo 3, dell’RGDP.
110. Su un piano più pratico, si potrebbe aggiungere che, a parte gli argomenti di natura strutturale e costituzionale, tale soluzione è anche l’unica ragionevole e pratica. Infatti, qualcuno forse suggerirebbe seriamente che un’autorità di controllo nazionale ai sensi dell’articolo 55, paragrafo 1, dell’RGDP debba effettuare, in relazione alla decisione sulla propria competenza a trattare una questione, una valutazione completa e individualizzata per ogni tipo di trattamento? Davvero tali autorità dovrebbero svolgere il poco invidiabile compito di stabilire, caso per caso, per quali trattamenti l’esercizio del controllo potrebbe pregiudicare l’indipendenza del giudice nazionale in questione, e per quali no, e di conseguenza filtrare immediatamente ciò che possono esaminare?
111. Ciò si ricollega alla risposta da dare alla questione 1b. Invero, l’esatta natura e lo scopo di una particolare operazione di trattamento non è determinante per rispondere alla questione strutturale di quando il giudice agisca «nell’esercizio delle funzioni giurisdizionali». È vero che la pubblicità della giustizia e la sua amministrazione sono particolarmente importanti per i compiti della magistratura moderna in una società democratica. Tuttavia, tali considerazioni non svolgono alcun ruolo nella valutazione ai sensi dell’articolo 55, paragrafo 3, dell’RGDP, fintanto che l’operazione di trattamento in questione è inerente al concetto più ampio di «funzioni giurisdizionali». Infatti, qualsiasi altra conclusione ristabilirebbe surrettiziamente il tipo di lettura restrittiva dell’articolo 55, paragrafo 3, dell’RGDP proposta dalla Commissione.
112. Per inciso, proprio questo punto evidenzia precisamente perché la salvaguardia dell’indipendenza della magistratura non può che riguardare l’obiettivo complessivo e strutturale che alimenta l’introduzione dell’articolo 55, paragrafo 3, dell’RGDP, e non una condizione da stabilire in ogni singolo caso (64). Se così non fosse, «l’interesse alla pubblicità e alla trasparenza della giustizia», indicato dal giudice del rinvio come lo scopo pertinente per lo specifico trattamento dei dati nella fattispecie di cui trattasi, sarebbe palesemente diverso dalla «salvaguardia dell’indipendenza dei giudici».
113. Si aprirebbero allora solo due percorsi argomentativi. In primo luogo, si dovrebbe concludere che la pubblicità della giustizia è un obiettivo diverso dall’indipendenza della magistratura. In tal caso, la divulgazione ai giornalisti non rientrerebbe nell’ambito di applicazione dell’articolo 55, paragrafo 3, dell’RGDP, un esito che tutte le parti interessate, compresa la Commissione, peraltro escludono. In secondo luogo, si dovrebbe allora espandere il (già non molto ristretto) concetto di «indipendenza dei giudici», in modo da includere anche la pubblicità e la trasparenza della giustizia, ed eventualmente qualsiasi altro valore, trasformando tutto ciò che avviene in sede giurisdizionale in un interesse o in un valore inerente all’indipendenza dei giudici. Tuttavia, ciò equivarrebbe, a sua volta, a capovolgere l’intera struttura. L’indipendenza dei giudici non è un obiettivo in sé. Non è un valore intrinseco. Si tratta di per sé di un valore transitivo, un mezzo per un fine che deve essere raggiunto disponendo di giudici indipendenti: la risoluzione equa e imparziale delle controversie.
114. Ciò non significa che un’indagine sulla natura e lo scopo di un’attività di trattamento non possa mai essere utile. Ovviamente lo è. Tuttavia, non nel momento di decidere sulla portata dell’articolo 55, paragrafo 3, dell’RGDP, bensì nel momento di decidere sulla liceità del trattamento ai sensi dell’articolo 6, paragrafo 1, dell’RGDP, o di qualsiasi altra disposizione sostanziale di detto regolamento. Potrebbe, infatti, essere assolutamente adeguato valutare il motivo per cui una particolare attività di trattamento si è verificata all’atto di stabilire se essa fosse, ad esempio, «necessari[a] per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» ai sensi dell’articolo 6, paragrafo 1, lettera e), dell’RGDP. Allo stesso modo, la natura e la finalità di un’operazione di trattamento rientreranno naturalmente nella valutazione del rispetto dei principi di cui all’articolo 5 dell’RGDP.
115. Qui è dove si innesta la questione 1c, proseguendo nello stesso tipo di discussione. La questione se sia necessaria una base giuridica nel diritto nazionale, e quale tipo di base giuridica occorra, verte di nuovo sul merito stesso e sulla questione della liceità del trattamento. Si tratta di una questione da valutare ai sensi dell’articolo 6 dell’RGDP. Tuttavia, mentre il fascicolo della causa menziona genericamente che l’UAVG «attua» l’RGDP, esso tace su qualsiasi discussione su come l’articolo 6 dell’RGDP sia stato preso in considerazione nel trattamento in questione nel caso di specie. Inoltre, la liceità del trattamento non è una questione direttamente sollevata dal giudice del rinvio.
116. In generale, non posso che rinviare alle osservazioni svolte recentemente su questo tema nelle conclusioni da me presentate nella causa Valsts ieņēmumu dienests (65). Infatti, qualsiasi base giuridica nazionale istituita ai sensi dell’articolo 6 dell’RGDP deve solo coprire quella che è, nella sua sostanza, una pratica generalizzata e continuativa di divulgazione di documenti alla stampa. In presenza di una tale base giuridica generale, non vedo perché debba essere richiesto lo scopo o la proporzionalità di una decisione individuale per ogni singola operazione di trattamento (66).
D. Un’osservazione conclusiva: l’RGDP e la funzione giurisdizionale
117. Questa causa è come una cipolla: ha molti strati. Se si rimane all’esterno delle questioni sollevate dal giudice del rinvio, prendendole e risolvendole davvero alla lettera, allora ci si può effettivamente fermare, compresa la Corte, a questo punto. La risposta alla questione centrale affrontata dal giudice del rinvio, contenuta nella sua prima questione e relativa all’articolo 55, paragrafo 3, dell’RGDP, sarebbe stata fornita.
118. Credo che sarebbe possibile e, nel contesto del presente caso, del tutto giustificato, rimanere a questo livello esterno. Non si sbucciano le cipolle se non espressamente richiesto.
119. Tuttavia, allo stesso tempo, non si può nascondere il fatto che, per quanto riguarda il contenuto reale delle questioni sollevate, il giudice del rinvio scivola gradualmente dalla questione della competenza ai sensi dell’articolo 55, paragrafo 3, dell’RGDP alla valutazione sostanziale del caso, eventualmente ai sensi dell’articolo 6 dell’RGDP, in particolare con le sue domande 1b e 1c. Certamente, questa deriva e questo andare oltre potrebbero essere attribuiti alla novità della questione sollevata dal giudice del rinvio e ai contorni sfuocati dell’interpretazione dell’articolo 55, paragrafo 3, dell’RGDP. Una volta fornita tale interpretazione, tutte le questioni diventano chiare e queste considerazioni superflue.
120. Tuttavia, si può di fatto considerare che ciò indichi anche qualcos’altro: ossia che, innanzi tutto, è piuttosto difficile separare nettamente la questione della competenza ai sensi dell’articolo 55, paragrafo 3, dell’RGDP da considerazioni di merito e dal campo di applicazione dell’intero strumento. Infatti, se l’RGDP non fosse affatto applicabile a certi tipi di attività, allora che senso avrebbe deliberare su chi deve controllare (67)? Lo stesso vale per una situazione in cui uno Stato membro dovesse legittimamente escludere i giudici dagli obblighi dell’RGDP: l’assenza di obblighi sostanziali significherebbe, in primis, che non vi è nulla da controllare.
121. Allo stesso tempo, per quanto riguarda in misura maggiore il livello istituzionale e procedurale della fattispecie, nelle sue osservazioni scritte il cittadino Z ha sollevato dubbi sulla compatibilità dell’articolo 55, paragrafo 3, dell’RGDP con l’articolo 8, paragrafo 3, e l’articolo 47 della Carta. Egli ritiene che l’articolo 55, paragrafo 3, dell’RGDP sia invalido, in quanto tale disposizione esclude le competenze dell’autorità di controllo (generalmente competente) di cui all’articolo 55, paragrafo 1, senza al contempo imporre agli Stati membri l’obbligo di istituire un’altra autorità indipendente conformemente al testo dell’articolo 8, paragrafo 3, della Carta e dell’articolo 16, paragrafo 2, TFUE. Detta lacuna legislativa sarebbe altresì destinata a generare violazioni dell’articolo 47 della Carta ed eventualmente anche dell’articolo 19, paragrafo 1, TUE. Essa priverebbe il cittadino Z di qualsiasi rimedio effettivo dinanzi a un giudice indipendente.
122. Tuttavia, tenuto conto di tutti questi punti, del fatto che nessuna delle suddette questioni è stata espressamente sollevata dal giudice del rinvio, nonché della portata, del contesto e degli argomenti discussi nel corso del presente procedimento, ritengo che sia meglio lasciare tali questioni per un’altra causa, qualora se ne presenti la necessità.
123. Mi limiterò quindi a concludere con alcune osservazioni sull’impianto legislativo dell’RGDP per quanto riguarda la funzione giurisdizionale dei giudici. Ho tentato di comprendere il pensiero legislativo alla base del meccanismo della sostanza, delle deroghe e del controllo del rispetto dell’RGDP. Ciononostante, rimango perplesso su cosa esattamente si volesse ottenere sottoponendo l’attività giurisdizionale dei giudici agli obblighi derivanti dall’RGDP. Questo in relazione alla natura intrinseca di tale attività (1), ma anche riguardo a chi dovrebbe avere il compito di controllare il rispetto dell’RGDP da parte degli organi giurisdizionali (2).
1. La sostanza: tutto è legale
124. Cosa cambia con l’RGDP, una volta applicato ai giudici, nel modo in cui la funzione giurisdizionale deve essere svolta? Data la portata apparentemente illimitata dell’RGDP, può sembrare sorprendente che gli obblighi che ne derivano per la suddetta funzione appaiano stranamente lievi. Le disposizioni sostanziali dell’RGDP prevedono già che ogni normale trattamento a fini giurisdizionali sia lecito, fanno riferimento a disposizioni complementari (ed eventualmente limitative) degli Stati membri, oppure, quanto meno, consentono un generoso bilanciamento rispetto a taluni diritti e principi fondamentali di una società democratica che consentirà, ancora una volta, qualsivoglia deroga per quanto riguarda la funzione giurisdizionale.
125. L’articolo 6, paragrafo 1, lettera e), dell’RGDP fornisce un esempio a questo proposito. Tale disposizione considera lecite le operazioni di trattamento «necessari[e] per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito» un giudice nazionale «ex lege». Una deroga analoga (sebbene più esplicita) deriva dall’articolo 9, paragrafo 2, lettera f), dello stesso regolamento per il trattamento di categorie particolari di dati personali. In caso di applicazione dell’una o dell’altra disposizione, non è necessario il consenso dell’interessato e spetta agli Stati membri precisare ulteriormente le modalità del trattamento in tale situazione (68). In altri termini, e fatti salvi i principi del trattamento dei dati previsti all’articolo 5 di quest’ultimo (69), l’RGDP stesso fornisce una base giuridica per considerare lecita qualsiasi operazione di trattamento di dati personali effettuata dai giudici nazionali e necessaria all’espletamento dei loro compiti ufficiali.
126. Inoltre, in virtù dell’articolo 23, paragrafo 1, lettera f), dell’RGDP, gli Stati membri sono anche autorizzati a limitare la portata dei diritti e degli obblighi previsti dagli articoli da 12 a 22 e 34 dell’RGDP, nonché, in alcuni casi, dall’articolo 5 dello stesso, al fine di salvaguardare l’«indipendenza della magistratura e dei procedimenti giudiziari». All’udienza, la Commissione ha spiegato che l’articolo 23, paragrafo 1, lettera f), dell’RGDP deve essere inteso come funzionante in modo analogo all’articolo 52, paragrafo 1, della Carta, e non deve essere considerato come l’ennesima disposizione che limita la competenza dell’autorità di controllo.
127. Concordo con la Commissione su questo punto: l’articolo 23, paragrafo 1, lettera f), dell’RGDP non è direttamente collegato con l’articolo 55, paragrafo 3, dell’RGDP (70). Nonostante ciò, esso consente una deroga integrale, da parte degli Stati membri, a tutti i diritti degli interessati di cui al capo III dell’RGDP per quella che sembra altresì essere una qualche attività giurisdizionale («indipendenza della magistratura e dei procedimenti giudiziari»).
128. Infine, tutto ciò è possibile senza (ancora) nemmeno aver effettuato alcun esercizio di bilanciamento con diritti o interessi fondamentali diversi dalla protezione dei dati, che riguarderebbe la valutazione della liceità delle singole operazioni di trattamento (e il requisito di ridimensionamento‑proporzionalità in esso incorporato). Dati gli imperativi di trasparenza e pubblicità della giustizia, queste ultime possono coprire qualsiasi normale utilizzazione di dati personali ai fini del giudizio.
129. Il risultato appare frustrante: il diritto dell’Unione europea sovrappone alla funzione giurisdizionale un quadro onnicomprensivo di protezione dei dati, che deve essere rispettato, e allo stesso tempo permette numerose vie d’uscita nel merito. Si aggiunga la «cattura di competenza» introdotta dall’articolo 55, paragrafo 3, dell’RGDP e la legge in effetti chiude il cerchio mantenendo il «modus operandi» dei giudici nazionali precedente all’introduzione di tali norme. Ciò fa sorgere la domanda: perché allora c’era bisogno di un tale mosaico di norme se, in realtà, queste norme hanno cambiato ben poco a livello nazionale?
130. Ciò non significa che un siffatto risultato non sia da accogliere con favore. A mio avviso, concordo pienamente sul fatto che non può essere altrimenti. Questo non solo per assecondare le diverse tradizioni giudiziarie e costituzionali degli Stati membri in materia di pubblicità della giustizia (71). Ciò, anzi tutto, è intrinseco alla funzione giurisdizionale stessa. Giudicare significa un dettaglio individualizzato portato nel foro pubblico. Vorrei sottolineare entrambi gli elementi di questa asserzione.
131. Da un lato, la base della legittimazione dei giudici in un caso individuale è rappresentata dai fatti e dai dettagli dello stesso. Il giudice risolve un caso individuale. Il suo compito non è quello di elaborare regole astratte, generali e anonime, avulse dai fatti e dalle situazioni individuali. Questo è il compito del legislatore. Più una decisione giudiziaria si discosta dal contesto di fatto di un procedimento giudiziario pubblico o lo nasconde, o viene successivamente riportata con limitazioni significative, più spesso diventa incomprensibile, e meno legittima come decisione giudiziaria (72).
132. D’altra parte, fin dall’epoca degli antichi Romani, ma presumibilmente ancor prima, se un ricorrente chiedeva l’aiuto della comunità o più tardi dello Stato per far valere ed eseguire la propria domanda dallo Stato, era obbligato a recarsi nel foro pubblico perché il suo caso venisse ascoltato lì. In epoca romana classica, il ricorrente aveva persino il diritto di usare la violenza contro il convenuto che si rifiutasse di comparire in pubblico (la parte nord-orientale del Foro Romano chiamata comitium), dinanzi al magistrato (seduto sulla sella curulis su una tribuna più alta del pubblico – da cui appunto tribunal), quando veniva convocato dinanzi a un giudice (in ius vocatione) (73).
133. È vero che, in seguito, ci sono state altre visioni della buona amministrazione della giustizia e della sua pubblicità. Esse sono forse al meglio rappresentate da una citazione di un giudice del Parlement de Paris che nel 1336 scriveva istruzioni ai suoi colleghi più giovani, e spiegava perché non avrebbero mai dovuto rivelare né i fatti trovati né le ragioni della loro decisione: «Perché non è bene che qualcuno possa giudicare riguardo al contenuto di un decreto o dire “è simile o no”; ma gli estranei garruli dovrebbero essere tenuti all’oscuro e le loro bocche chiuse, di modo che non sia arrecato pregiudizio ad altri. (...) Perché nessuno dovrebbe conoscere i segreti del tribunale supremo, che non ha superiori se non Dio (...)» (74).
134. Nell’epoca moderna, tornando alla citazione iniziale di Jeremy Bentham, si ritiene nuovamente che anche agli estranei garruli dovrebbe essere consentito di vedere e capire la giustizia. Certamente, con l’arrivo delle tecnologie moderne, numerose questioni devono essere continuamente rivalutate in modo che gli estranei garruli non possano arrecare pregiudizi agli altri.
135. Tuttavia, qualsiasi cambiamento di questo tipo, in particolare quelli che toccano la pubblicità e la trasparenza dell’amministrazione della giustizia, deve essere limitato allo stretto necessario, senza abbattere le fondamenta dell’intera struttura (75). Il giudizio è e rimane un processo decisionale individualizzato che richiede un certo grado di dettagli e dati personali, che deve svolgersi, certamente per quanto riguarda il suo risultato, nel foro pubblico.
136. Chiudendo al riguardo con un esempio specifico cui ho già accennato nelle presenti conclusioni (76), a mio avviso l’RGDP non contiene alcun diritto a un «processo anonimo». Alla luce di tutto ciò che è stato delineato in precedenza, appare bizzarro e pericoloso pensare che i ricorrenti che entrano nell’agorà pubblica per la risoluzione del loro conflitto, dove i giudici parlano a nome della comunità e agiscono sotto gli occhi vigili dei loro concittadini, debbano avere il diritto a che la loro identità sia tenuta segreta e il loro caso sia automaticamente reso anonimo, anche per il giudice che decide sul caso stesso, senza che ci sia una ragione specifica e valida per tale anonimato (77).
137. Naturalmente, la pubblicità della giustizia non è assoluta. Vi sono eccezioni fondate e necessarie (78). Il semplice punto da tenere a mente è questo: quale sia la regola e quale sia l’eccezione. La pubblicità e l’apertura devono rimanere la regola, alla quale naturalmente sono possibili, e talvolta, necessarie eccezioni. Tuttavia, a meno che l’RGDP non venga inteso come l’imposizione di un revival delle buone pratiche del Parlement de Paris del XIV secolo, o peraltro di altri elementi dell’Ancien Régime o della Star Chamber (79), è piuttosto difficile spiegare perché, in nome della protezione dei dati personali, quel rapporto debba ora essere invertito: il segreto e l’anonimato diverrebbero la regola, alla quale la trasparenza potrebbe forse occasionalmente diventare la gradita eccezione.
138. In conclusione e in generale, non si può fare a meno di chiedersi, ancora una volta, per quanto riguarda l’impianto legislativo complessivo dell’applicazione dell’RGDP nei confronti delle attività giurisdizionali dei giudici, perché il sistema sarebbe stato concepito (in un primo momento) per includere tutto e poi (in seguito) per escludere di fatto gli effetti di tale ampia copertura disposta dalle singole disposizioni sostanziali, o eventualmente tutto, ai sensi dell’articolo 23, paragrafo 1, lettera f), dell’RGDP. I giudici nazionali, «nell’esercizio delle loro funzioni giurisdizionali», non avrebbero dovuto essere semplicemente esclusi dall’ambito di applicazione dell’RGDP?
2. Istituzioni e procedure: quis custodiet ipsos custodes?
139. Al livello sostanziale si collega quello istituzionale. Questo tema aggiunge al già piuttosto consistente «perché» attinente alla sostanza, la questione del «come». In che modo, in termini pratici, i giudici nell’esercizio delle loro funzioni giurisdizionali debbano essere controllati in termini di ottemperanza all’RGDP ed esattamente da chi. Infatti, se i giudici nazionali devono applicare l’RGDP, e tuttavia le autorità di controllo competenti non devono farsi carico del controllo delle attività «nell’esercizio delle loro funzioni giurisdizionali», come previsto dall’articolo 55, paragrafo 3, dell’RGDP, chi difende il diritto fondamentale alla protezione dei dati personali di un soggetto, garantito dall’articolo 8, paragrafi 1 e 3, della Carta?
140. È qui che, a mio avviso, il legame tra l’articolo 55, paragrafo 3, e il considerando 20 dell’RGDP causa alcuni problemi.
141. Tutte le parti del presente procedimento spiegano che l’articolo 55, paragrafo 3, dell’RGDP deve essere letto alla luce del considerando 20 dello stesso. Tale considerando afferma che, quando le autorità nazionali di controllo controllano e fanno rispettare l’RGDP, questi compiti non dovrebbero tuttavia interferire con il principio di indipendenza dei giudici per vigilare sulle operazioni di trattamento effettuate dalle «autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali». La terza frase del considerando 20 dell’RGDP osserva poi che «[s]i dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro».
142. Tuttavia, l’approccio suggerito nel considerando 20 è compatibile con il criterio di «indipendenza» di cui all’articolo 8, paragrafo 3, della Carta? Infatti, come può un qualsiasi «organo giurisdizionale di controllo», così istituito dagli Stati membri all’interno delle proprie strutture giudiziarie nazionali per garantire il rispetto dell’RGDP, agire come un terzo indipendente dagli organi giurisdizionali che si afferma abbiano commesso una violazione dello stesso? Ciò non solleva forse un problema di articolo 47 della Carta?
143. Contemplare una struttura istituzionale e procedurale appropriata per questo tipo di situazione si trasforma rapidamente in un déjà-vu, che ricorda le discussioni aperte dalla sentenza Köbler (80). Chi deve decidere sulla responsabilità dello Stato per le violazioni giudiziarie del diritto dell’Unione? Altri giudici «ordinari» all’interno del sistema giudiziario, con il pericolo che un giorno la corte suprema decida sulla propria responsabilità? Oppure un super organismo giurisdizionale appositamente istituito? E se anche il super organismo commettesse un errore? A tal riguardo, il considerando 20 dell’RGDP evidenzia ancora una volta lo stesso problema che gli Stati membri hanno censurato nella sentenza Köbler: ossia, mettere in pericolo la «reale» indipendenza dei giudici attraverso un diritto esterno esercitabile per controllare gli atti o le omissioni giudiziarie contro le norme sulla protezione dei dati (81).
144. Tuttavia, a differenza della sentenza Köbler, dove presumo che numerose teste pensanti siano state in grado di dare un senso al principio secondo cui gli Stati membri dovrebbero essere obbligati a risarcire i danni causati da un organo giurisdizionale di ultimo grado che emette una decisione in violazione del diritto dell’Unione (82), non è affatto evidente perché tale indipendenza «reale» dovrebbe essere sacrificata sull’altare del controllo del rispetto di uno strumento di diritto derivato, come l’RGDP, che già prevede altri meccanismi di esecuzione. Non si può certo negare che questo strumento abbia solide basi di diritto primario negli articoli 8 della Carta e 16 TFUE. Il punto è piuttosto che un rimedio e un risarcimento del danno avverso organi giurisdizionali con funzioni di responsabili del trattamento esistono separatamente ai sensi degli articoli 79 e 82 dell’RGDP, a prescindere dall’articolo 55, paragrafo 3, dello stesso.
145. Allo stesso tempo, si potrebbe trovare una possibile soluzione se la terza frase del considerando 20 dell’RGDP non fosse presa troppo alla lettera. Infatti, dopo tutto, si tratta solo di un considerando e non di una disposizione legislativa autonoma e, quindi, vincolante (83). Se questo fosse l’approccio, in effetti apparentemente sposato in alcuni Stati membri, allora le disposizioni sostanziali dell’RGDP sarebbero viste solo come creatrici di diritti che dovrebbero poter essere invocati dinanzi ai giudici nazionali, nell’ambito dei normali procedimenti giudiziari disponibili in quello Stato membro (84).
146. Se questa fosse effettivamente la via istituzionale e procedurale scelta, allora si potrebbe evitare sia il problema di permettere a un «terzo dipendente» di controllare le attività della magistratura sia la necessità di istituire un super organo giurisdizionale per controllare gli altri organi giurisdizionali. Ciò posto, tale approccio probabilmente non consentirebbe ancora di conseguire la conformità all’articolo 8, paragrafo 3, della Carta, il quale prescrive di disporre di un’autorità «indipendente» che controlli il rispetto del diritto alla protezione dei dati personali (85).
147. Da questo punto di vista, la soluzione dell’«organo giurisdizionale interno» sembra essere l’unica opzione praticabile per il dilemma sopra delineato di come inserire la sovrastruttura dell’RGDP nel mondo alquanto specifico del sistema giudiziario nazionale (86).
148. Tuttavia, anche supponendo che l’unico modo compatibile con la Carta sia quello di prevedere una tale autorità «interna di controllo», appare ancora poco chiaro cosa esattamente questa autorità dovrebbe controllare.
149. In primo luogo, come spiegato nella sezione precedente delle presenti conclusioni, l’RGDP presume che i trattamenti degli organi giurisdizionali siano leciti e consente, oltre a tale presunzione generalizzata, di limitare alcuni diritti e obblighi, nonché i principi fondamentali relativi al trattamento dei dati personali, attraverso misure legislative nazionali.
150. In secondo luogo, nella maggior parte degli Stati membri, se non in tutti, i codici di procedura nazionali applicabili ai procedimenti giudiziari disciplinano in modo molto più dettagliato il trattamento dei dati personali in tutte le singole fasi del procedimento giudiziario: segnatamente, cosa deve contenere e cosa non può contenere uno specifico documento; chi ha accesso a cosa; a quali condizioni, quali informazioni possono essere rimosse/corrette; quali limitazioni di riservatezza si applicano; quali informazioni e dati si suppone che una decisione giudiziaria contenga, e così via (87).
151. In terzo luogo, l’inosservanza di tali norme da parte dei giudici nazionali è già soggetta a controlli e potenziali sanzioni, di almeno due tipi. Da un lato, vi sono le sanzioni contro la decisione stessa, che portano al suo potenziale annullamento. Dall’altro, esistono regimi di responsabilità personale dei giudici nei procedimenti disciplinari.
152. Alla luce di un siffatto contesto legislativo, si potrebbe immaginare che l’RGDP contenga disposizioni sulla sua interazione con altri contesti legislativi. Qual è la «lex specialis» e come dovrebbero coesistere i vari contesti istituzionali e procedurali? Come si risolvono gli eventuali conflitti normativi? Purtroppo, l’RGDP non prevede alcuna norma su tale conflitto, sollevando quindi la distinta questione se l’RGDP debba effettivamente essere inteso come prevalente sulle norme procedurali nazionali o se debba essere letto come complementare ad esse.
153. Se così fosse, significa, ad esempio, che gli interessati potrebbero rivolgersi ai giudici nazionali per «rettificare» le loro domande al di fuori dei termini processuali nazionali (ai sensi dell’articolo 16 dell’RGDP) (88)? E se una parte di una controversia, a fronte dell’esito negativo di una causa, riuscisse a raggiungere la soglia per invocare il suo «diritto all’oblio» (ai sensi dell’articolo 17 dell’RGDP) per rimuovere una sentenza o un verbale di un procedimento dalla memoria giudiziaria collettiva dopo che tale sentenza è stata pronunciata (89)?
154. Alla luce di tutte queste numerose complessità, forse non è del tutto sorprendente che alcuni Stati membri abbiano incontrato comprensibili difficoltà nel creare strutture istituzionali adeguate ai sensi dell’articolo 55, paragrafo 3, dell’RGDP che siano comunque conformi all’articolo 8, paragrafo 3, della Carta (90).
155. L’insieme dei due elementi affrontati in questa sezione, ossia gli aspetti di merito e gli aspetti istituzionali e procedurali, lasciano un senso di smarrimento, già menzionato all’inizio della sezione D. Atteso che continuano a sussistere siffatti problemi sistemici, perché creare, in primo luogo, simili sovrastrutture poco convincenti ma dalla notevole portata? Per far valere, con riguardo all’attività giurisdizionale dei giudici, diritti sostanziali quasi inesistenti? Ne vale veramente la pena?
V. Conclusioni
156. Propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dal Rechtbank Midden‑Nederland (Tribunale dei Paesi Bassi centrali, Paesi Bassi) nei seguenti termini:
Questione 1
L’articolo 55, paragrafo 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) deve essere interpretato nel senso che la pratica di divulgare atti processuali ai giornalisti ai fini di una migliore copertura di un’udienza pubblica è effettuata da organi giurisdizionali «che agiscono nell’esercizio delle loro funzioni giurisdizionali».
Questione 1a
L’articolo 55, paragrafo 3, del regolamento 2016/679 non richiede di stabilire se un’operazione di trattamento dei giudici nazionali «che agiscono nell’esercizio delle loro funzioni giurisdizionali» incida sull’indipendenza del processo decisionale del giudice in ogni singolo caso.
Questione 1b
L’accertamento della natura e della finalità di una determinata operazione di trattamento non rientra nei criteri da prendere in considerazione, ai sensi dell’articolo 55, paragrafo 3, del regolamento 2016/679, per stabilire se i giudici nazionali abbiano agito «nell’esercizio delle loro funzioni giurisdizionali».
Questione 1c
Al fine di stabilire se un’operazione di trattamento dei giudici nazionali sia stata effettuata «nell’esercizio delle loro funzioni giurisdizionali», ai sensi dell’articolo 55, paragrafo 3, del regolamento 2016/679, non è rilevante se tali giudici abbiano agito in virtù di una esplicita base di diritto nazionale.