In data 24 marzo 2022, la Corte di Giustizia si è pronunciata nella Causa C-245/20, X, Z contro Autoriteit persoonsgegevens, sull’interpretazione dell’articolo 55, paragrafo 3, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra, da un lato, X e Z e, dall’altro, l’Autoriteit persoonsgegevens (Autorità per la protezione dei dati personali, Paesi Bassi; “AP”) in merito all’accesso di giornalisti a dati personali che li riguardano contenuti in un fascicolo giudiziario.
Questi i fatti.
Nell’ambito di un procedimento giurisdizionale dinnanzi al Raad van State (Consiglio di Stato dei Paesi Bassi) di cui era parte Z, rappresentato da X, quest’ultimo aveva constatato che un giornalista disponeva di documenti del fascicolo della causa in questione, che gli erano stati messi a disposizione nell’ambito del diritto di accesso al fascicolo istruttorio che la sezione del contenzioso amministrativo del Consiglio di Stato stesso accorda ai giornalisti. Di conseguenza, X e Z avevano chiesto all’AP di adottare nei confronti Consiglio di Stato misure di applicazione delle norme in materia di protezione dei dati personali sostenendo che, consentendo ai giornalisti di avere accesso a dati personali che li riguardavano, provenienti dai documenti di un fascicolo giudiziario, il Consiglio di Stato aveva violato il GDPR.
Poiché, tuttavia, l’AP aveva declinato la propria competenza a conoscere delle loro domande, X e Z si erano rivolti al Rechtbank Midden-Nederland (tribunale dei Paesi Bassi centrali; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se i) l’articolo 55, paragrafo 3[2], del GDPR debba essere interpretato nel senso che il fatto che un giudice metta a disposizione temporanea dei giornalisti documenti di un procedimento giurisdizionale, contenente dati personali, rientri nell’esercizio, da parte di tale giudice, delle sue “funzioni giurisdizionali”, ai sensi di tale disposizione, ii) occorra tener conto del pregiudizio che l’esercizio da parte dell’autorità di controllo dei suoi poteri potrebbe arrecare all’indipendenza dei magistrati nell’ambito della valutazione di cause concrete, e iii) occorra prendere in considerazione la natura e la finalità di tale messa a disposizione di atti processuali, vale a dire consentire ai giornalisti di meglio riferire sullo svolgimento di un procedimento giurisdizionale, o ancora se tale messa a disposizione si fondi su una base legale esplicita nel diritto interno.
La Corte ha preliminarmente ricordato che l’articolo 55 del GDPR ha lo scopo di definire la competenza in materia di controllo dei trattamenti di dati personali delimitando, in particolare, la competenza devoluta all’autorità di controllo nazionale e prevedendo che non vi rientrino le operazioni di trattamento effettuate dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali. Secondo il GDPR[3], inoltre, si dovrebbe poter affidare il controllo delle operazioni di trattamento effettuate dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali ad organismi specifici all’interno del sistema giudiziario dello Stato Membro interessato piuttosto che alla sua autorità di controllo, di modo da salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali.
La portata dell’obiettivo perseguito dall’articolo 55, paragrafo 3, del GDPR non può essere circoscritta alla sola garanzia dell’indipendenza dei giudici nell’ambito dell’adozione di una determinata decisione giurisdizionale. La salvaguardia dell’indipendenza della magistratura, infatti, presuppone, in generale, che le funzioni giurisdizionali siano esercitate in piena autonomia, senza che i giudici siano soggetti ad alcun vincolo gerarchico o di subordinazione o ricevano ordini o istruzioni da alcuna fonte, con la conseguenza di essere quindi tutelati dagli interventi o dalle pressioni esterni idonei a compromettere l’indipendenza del giudizio dei suoi membri e a influenzare le loro decisioni. Il rispetto delle garanzie di indipendenza e di imparzialità richieste ai sensi del diritto dell’Unione, pertanto, presuppone l’esistenza di regole che consentano di fugare qualsiasi legittimo dubbio che i singoli possano nutrire in merito all’impermeabilità di detto organo da fattori esterni e alla sua neutralità rispetto agli interessi in gioco[4]. Di conseguenza, il riferimento alle operazioni di trattamento effettuate dalle autorità giurisdizionali “nell’esercizio delle loro funzioni giurisdizionali” di cui all’articolo 55, paragrafo 3, del GDPR deve essere inteso come non limitato ai trattamenti di dati personali effettuati dalle autorità giurisdizionali nell’ambito di cause concrete, e bensì come riguardante l’insieme delle operazioni di trattamento effettuate dalle autorità giurisdizionali nell’ambito della loro attività giurisdizionale, di talché sono escluse dalla loro competenza le operazioni di trattamento il cui controllo potrebbe, direttamente o indirettamente, influenzare l’indipendenza dei loro membri o pesare sulle loro decisioni.
Nel caso concreto, pertanto, non rientrano nella competenza dell’autorità di controllo, ai sensi dell’articolo 55, paragrafo 3, del GDPR i trattamenti di dati personali effettuati dalle autorità giurisdizionali nell’ambito della loro politica di comunicazione sulle cause di cui sono investite, come quelli consistenti nel mettere temporaneamente a disposizione dei giornalisti atti di un procedimento giudiziario per consentire loro di assicurarne la copertura mediatica. La determinazione delle informazioni provenienti da un fascicolo giudiziario che possono essere fornite ai giornalisti al fine di consentire loro di riferire sullo svolgimento del procedimento giurisdizionale o di far luce su questo o quell’altro aspetto di una decisione emessa, infatti, è chiaramente legata all’esercizio, da parte di tali giudici, delle loro “funzioni giurisdizionali”, il cui controllo da parte di un’autorità esterna potrebbe pregiudicare l’indipendenza della magistratura.
Tutto ciò premesso, la Corte di Giustizia ha statuito che:
“L’articolo 55, paragrafo 3, del regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il fatto che un organo giurisdizionale metta temporaneamente a disposizione dei giornalisti documenti di un procedimento giurisdizionale, contenenti dati personali, al fine di consentire loro di riferire in modo più completo sullo svolgimento di tale procedimento rientra nell’esercizio, da parte di tale organo giurisdizionale, delle sue «funzioni giurisdizionali», ai sensi di tale disposizione”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 55 GDPR, intitolato “Competenza”, al paragrafo 3 dispone: “… Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali…”.
[3] Il considerando (20) del GDPR dispone: “… Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati…”.
[4] CGUE 21.12.2021, Cause riunite C‑357/19, C‑379/19, C‑547/19 e C‑811/19, Euro Box Promotion e a., punto 225; CGUE 24.06.2019, Causa C‑619/18, Commissione/Polonia (Indipendenza della Corte suprema), punto 72; CGUE 25.07.2018, Causa C‑216/18 PPU, Minister for Justice and Equality (Carenze del sistema giudiziario), punto 63; CGUE 27.02.2018, Causa C‑64/16, Associação Sindical dos Juízes Portugueses, punto 44.