Il trattamento dei dati personali da parte delle autorità giurisdizionali e l'indipendenza della magistratura

Le parole Jeremy Bentham, richiamate dall'Avvocato generale, M. Bobek, all'inizio delle conclusioni rassegnate nella causa C-245/2020, decisa con la sentenza del 24 marzo 2022 in commento (“La pubblicità è l'anima della giustizia. E' il più vivo stimolo ad impegnarsi e la più sicura di tutte le protezioni contro la scorrettezza. (…). E' solo attraverso la pubblicità che la giustizia diventa la madre della sicurezza. Con la pubblicità, il tempo della giustizia si trasforma in una scuola di prim'ordine, dove si fanno rispettare i più importanti ambiti della morale …”) (1), rivelano come la decisione sui limiti di competenza dell'autorità di controllo sul trattamento dei dati personali effettuato da un'autorità giurisdizionale non possa prescindere dal considerare che la “pubblicità è l'anima della giustizia”.

Decidere a quali autorità spetti il controllo delle operazioni di trattamento effettuate dalle autorità giurisdizionali “nell'esercizio delle loro funzioni giurisdizionali” comporta la costruzione di un sistema di garanzie idoneo a coprire tutte le attività (non solo quelle strettamente legate al processo decisionale) che possono, anche indirettamente, incidere sull'indipendenza della magistratura. Nella decisione in esame la Corte, dopo aver ribadito come il GDPR si applichi alle operazioni effettuate sia da soggetti privati che dalle autorità pubbliche, comprese le autorità giudiziarie, si sofferma sulle nozioni di “trattamento”, di “adempimento delle funzioni giurisdizionali”, per poi concludere per un'interpretazione estensiva, ritenuta necessaria a garantire l'indipendenza e l'imparzialità della magistratura.

Il 30 ottobre del 2018 il Raad van State (Consiglio di Stato dei Paesi Bassi) ha trattato una causa di diritto amministrativo tra un cittadino ed il sindaco di Utrecht. Dopo l'udienza il cittadino è stato avvicinato da un giornalista che gli ha posto alcune domande sulla base degli atti processuali, contenuti nel fascicolo, messi a disposizione dal servizio contenzioso amministrativo del Consiglio di Stato. In particolare tale servizio fornisce ai giornalisti informazioni sulle udienze, attraverso la consegna di copie degli atti introduttivi che restano disponibili solo il giorno dell'udienza, non possono essere portati fuori dall'ufficio e, alla fine della giornata, vengono distrutte dai dipendenti della Sezione comunicazione dell'autorità giurisdizionale.

I ricorrenti hanno lamentato la violazione delle disposizioni contenute nel regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito GDPR) ed hanno chiesto all'Autorità garante della protezione dei dati di adottare (Autoriteit persoonsgegevens, Autorità per la protezione dei dati personali, Paesi Bassi), nei confronti del Consiglio di Stato, le “misure di applicazione”.

L'Autorità di controllo dei Paesi Bassi, invocando il disposto dell'art. 55, par. 3, del GDPR, ha declinato la competenza e trasmesso gli atti al presidente della sezione del contenzioso amministrativo del Consiglio di Stato. Quest'ultimo, esaminato il contenuto del reclamo, ha definito una nuova politica di accesso ai documenti dei fascicoli giurisdizionali.

I ricorrenti hanno contestato, dinanzi al giudice del rinvio, il Tribunale dei Paesi Bassi centrali, la decisione con la quale l'autorità di controllo aveva declinato la propria competenza. Il Tribunale, ritenuto che consentire ad un giornalista l'accesso ai documenti di un fascicolo giudiziario integri un'operazione di trattamento, si è interrogato sull'interpretazione dell'art. 55, par. 3, del GDPR e, previa sospensione del procedimento, ha sottoposto alla Corte di Giustizia la seguente questione pregiudiziale:

«Se l'articolo 55, paragrafo 3, del regolamento 2016/679 debba essere interpretato nel senso che si può considerare rientrante tra i trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro “funzioni giurisdizionali” la possibilità, offerta da un organo giurisdizionale, di prendere visione di atti processuali in cui figurano dati personali, possibilità che viene concessa mettendo a disposizione di un giornalista copie degli atti processuali in parola, come descritto nella ordinanza di rinvio. Se sia rilevante per la risposta a tale questione se l'esercizio del controllo, da parte dell'autorità nazionale di controllo, su tale forma di trattamento dei dati incida sull'indipendenza del processo decisionale del giudice in fattispecie concrete. Se sia rilevante per la risposta a tale questione la circostanza che, secondo l'organo giurisdizionale, la natura e la finalità del trattamento dei dati sia informare un giornalista al fine di metterlo in condizione di dare un migliore resoconto dell'udienza pubblica in un procedimento giurisdizionale, contribuendo così a tutelare l'interesse alla pubblicità e alla trasparenza della giustizia. Se sia rilevante per la risposta a tale questione se il trattamento dei dati sia fondato su una esplicita base di diritto nazionale».

L'interpretazione della nozione di trattamento effettuato dall'autorità giurisdizionale nell'esercizio delle funzioni giurisdizionali deve essere compiuta alla luce del diritto dell'Unione europea (rilevante ai fini della decisione della questione esaminata dalla Corte di Giustizia).

Il considerando 20 del GDPR afferma: «Sebbene il presente regolamento si applichi, tra l'altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell'Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell'adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l'indipendenza della magistratura nell'adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all'interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati».

L'art. 2 del Regolamento, al par. 1, precisa che lo stesso si applica “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

L'art. 2 definisce la nozione di “trattamento”, mentre l'art. 6 precisa quando lo stesso può essere ritenuto lecito. In particolare l'art. 6 considera lecite le operazioni di trattamento necessarie “per l'esecuzione di un compito di interesse pubblico connesso all'esercizio di pubblici poteri di cui è investito” un giudice nazionale ex lege.

In virtù dell'art. 23, par. 1, lett. f), inoltre, gli Stati membri sono autorizzati a limitare la portata dei diritti e degli obblighi pervisti dagli artt. Da 12 a 22 e 34 del GDPR, nonché, in alcuni casi, dall'art 5, al fine di salvaguardare l'“indipendenza della magistratura e dei procedimenti giudiziari”.

L'art. 51 si occupa delle autorità di controllo prevedendo che “Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione”.

L'art. 55, par. 3, precisa che “le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali”.

Nelle ricche ed articolate conclusioni scritte presentate il 6 ottobre 2021, l'Avvocato generale M. Bobek (2), dopo aver ribadito come il Regolamento si applichi a qualsiasi operazione effettuata su dati personali, senza alcuna eccezione istituzionale per i giudici, si sofferma sulla distinzione tra applicabilità sostanziale delle norme del GDPR e la diversa questione relativa al controllo del rispetto delle stesse.

Con riferimento a tale secondo aspetto, oggetto della questione pregiudiziale, ritenuto che la divulgazione di atti processuali nel caso di specie rientri nell'ambito di applicazione del Regolamento (tanto come operazione di trattamento di dati personali interamente o parzialmente automatizzato, quanto come operazione di trattamento di dati contenuti in un archivio), l'Avvocato generale passa ad esaminare la nozione di “autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali”.

In primo luogo, dopo aver espressamente affermato di non condividere l'interpretazione restrittiva proposta dalla Commissione (in forza della quale potrebbero essere considerate svolte nell'esercizio delle funzioni giurisdizionali solo le attività che presentino un legame diretto con il processo decisionale), ci si sofferma sulla definizione dell'art. 55, par. 3, per sottolineare come tale disposizione contenga due elementi di definizione: l'elemento istituzionale (“è un organo giurisdizionale?”) ed il correttivo (o adeguamento) funzionale (“che tipo specifico di attività sta svolgendo l'organo giurisdizionale?”).

In secondo luogo, vengono esaminati gli elementi testuali in forza dei quali non può che concludersi per un'interpretazione estensiva della nozione in esame: il considerando 20, laddove si riferisce alle funzioni giurisdizionali svolte “al fine” di salvaguardare l'indipendenza della magistratura, indica uno scopo e non esplicita, invece, una limitazione; ancora il considerando 20 aggiunge il termine “compreso”, prima dell'espressione “processo decisionale”, in tal modo rivelando come la definizione di “funzioni giurisdizionali” debba essere interpretata in modo più ampio rispetto alle semplici decisioni individuali relative ad un caso specifico.

In terzo luogo, l'interpretazione estensiva è sostenuta in ragione dell'obiettivo dichiarato di salvaguardare l'indipendenza della magistratura, tutelandola anche da attacchi ed influenze indirette (3), anche rispetto a pressioni che potrebbero ancora accadere.

Particolarmente interessanti, inoltre, le considerazioni svolte in merito all'interpretazione degli scenari di confine, relativi alla “zona grigia” tra ciò che è chiaramente giudiziario e ciò che è “presumibilmente amministrativo” (par. 88 e ss. delle conclusioni). Vengono esaminate quelle attività svolte da organi giurisdizionali che possono non riguardare direttamente una decisione giudiziaria in una determinata causa, ma avere un'influenza, diretta o indiretta, sul processo giudiziario: l'assegnazione delle cause da parte del presidente di un tribunale ai giudici dell'ufficio, la gestione delle aule di tribunale, l'uso di misure di sicurezza per i visitatori, le parti ed i loro rappresentanti, la registrazione delle udienze, ecc. Sebbene nessuna di queste attività possa ritenersi esclusivamente giudiziaria, ad avviso dell'Avvocato generale, non potrebbe negarsi come un'ingerenza da parte dell'autorità di controllo si potrebbe ripercuotere in modo significativo sull'indipendenza dei giudici (4).

L'Avvocato Generale, nella parte finale delle conclusioni (par. 140 e ss.) si sofferma sulla portata del considerando 20 – nella parte relativa alla possibilità che gli Stati membri affidino il controllo su tali trattamenti dei dati ad organismi specifici all'interno del sistema giudiziario dello Stato – per evidenziare come l'approccio suggerito dal detto considerando possa non essere compatibile con il criterio di “indipendenza” di cui all'art. 8, par. 3, della Carta e possa, altresì, sollevare problemi rospetto all'art. 47 della Carta stessa.

Ritenuta pacifica l'esistenza di un'operazione di trattamento – come risulta evidente in ragione dell'assenza di esplicite argomentazioni sul punto, nonostante le specifiche osservazioni svolte dall'Avvocato Generale – la Corte di Giustizia si sofferma sull'interpretazione del par. 3 dell'art. 5 del GDPR.

In merito al diritto ad un rimedio effettivo, il ricorrente ha lamentato che la previsione di incompetenza dell'autorità di controllo sulle operazioni di trattamento effettuate dalle autorità giurisdizionali non accompagnata dalla necessità, per gli Stati membri, di prevedere comunque modalità di controllo specifiche relative a tali operazioni si tradurrebbe in una violazione di tale diritto.

In via generale, si osserva che il principio della tutela giurisdizionale effettiva dei diritti che gli amministrati traggono dal diritto dell'Unione, per come riconosciuto dalla Corte di Giustizia (5) è un principio generale, discendente dal dovere generale di leale collaborazione in capo agli Stati membri, il quale investe anche le autorità giurisdizionali nazionali, nel senso che queste ultime devono assicurare sempre e in ogni caso una protezione giudiziaria effettiva nei settori disciplinati dal diritto dell'Unione (6), quale è quello dell'asilo. Tale principio costituisce un principio generale del diritto dell'Unione che deriva dalle tradizioni costituzionali comuni degli Stati membri, sancito dagli artt. 6 e 13 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, e poi ribadito all'art. 47 della Carta dei diritti fondamentali dell'Unione europea (7). E' dunque compito dei giudici nazionali, secondo il principio di collaborazione enunciato dall'art. 4 TUE, garantire la tutela giurisdizionale dei diritti spettanti agli individui, in forza delle norme del diritto dell'Unione (8).

L'art. 47 della citata Carta, dispone, al par. 1, che «Ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell'Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo» e, al co. 2, che «Ogni individuo ha diritto a che la sua causa sia esaminata equamente, pubblicamente e entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni individuo ha la facoltà di farsi consigliare, difendere e rappresentare.» Viene, pertanto, affermata l'esigenza di dare attuazione alla pretesa di un rimedio effettivo, inteso come predisposizione di adeguati strumenti di tutela ed idonee fattispecie processuali, capaci di garantire la piena soddisfazione dei diritti e degli interessi tutelati (9).

L'art. 79 del GDPR, infine, prevede espressamente che ogni interessato “ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento”.

I giudici di Lussemburgo, disattendendo la censura svolta dal ricorrente, hanno ritenuto che, il legislatore dell'Unione, adottando l'art. 55, par. 3, alla luce del considerando n. 20, non ha inteso sottrarre a qualsiasi controllo le operazioni di trattamento effettuate dalle autorità giurisdizionali «nell'esercizio delle loro funzioni giurisdizionali», ma ha soltanto escluso che il controllo di tali operazioni sia affidato ad un'autorità esterna (par. 23 e 24). Ad avviso della Corte, pertanto, i diritti degli interessati al lecito trattamento dei dati personali anche da parte di autorità giurisdizionali nell'esercizio delle loro funzioni sono comunque tutelati atteso che, ciò che l'art. 55, par. 3, ha previsto è solo che il controllo su tali operazioni venga effettuato da un'autorità diversa dall'autorità di controllo. Il richiamo, in virtù di quanto previsto dal considerando 20 del Regolamento, è chiaramente rivolto alla possibilità che gli Stati membri affidino tali attività di controllo ad autorità interne alla giurisdizione, a presidio del superiore interesse dell'indipendenza della magistratura.

La risposta della Corte di Giustizia al quesito posto dal Tribunale dei Paesi Bassi ha come premessa l'applicazione generale del Regolamento a tutti i soggetti, pubblici e privati, che trattano dati personali, senza alcuna eccezione per le autorità giurisdizionali (come confermato anche dal fatto che molte delle disposizioni del regolamento 2016/679 sono accompagnate da adeguamenti necessari proprio in ragione delle specificità proprie dei trattamenti effettuati dai giudici).

Tanto considerato, i giudici di Lussemburgo, richiamando sul punto le conclusioni dell'avvocato generale, osservano che “dalla formulazione stessa del considerando 20 del regolamento 2016/679, e segnatamente dall'uso della locuzione «compreso», risulta che la portata dell'obiettivo perseguito dall'articolo 55, paragrafo 3, di tale regolamento, consistente nel salvaguardare l'indipendenza della magistratura nell'esercizio delle sue funzioni giurisdizionali, non può essere circoscritta alla sola garanzia dell'indipendenza dei giudici nell'ambito dell'adozione di una determinata decisione giurisdizionale”. Proprio la salvaguardia dell'indipendenza della magistratura, ad avviso della Corte, presuppone che “le funzioni giurisdizionali siano esercitate in piena autonomia, senza che i giudici siano soggetti ad alcun vincolo gerarchico o di subordinazione o ricevano ordini o istruzioni da alcuna fonte, con la conseguenza di essere quindi tutelati dagli interventi o dalle pressioni esterni idonei a compromettere l'indipendenza del giudizio dei suoi membri e a influenzare le loro decisioni”. Per rispettare l'indipendenza e l'imparzialità della magistratura è, pertanto, necessario un sistema di regole che “consentano di fugare qualsiasi legittimo dubbio che i singoli possano nutrire in merito all'impermeabilità di detto organo da fattori esterni e alla sua neutralità rispetto agli interessi in gioco” (10).

Proprio l'esigenza di assicurare l'esistenza di un sistema di garanzie a presidio dell'indipendenza e dell'imparzialità della magistratura porta a ritenere che il riferimento “alle operazioni di trattamento effettuate dalle autorità giurisdizionali «nell'esercizio delle loro funzioni giurisdizionali» di cui all'articolo 55, paragrafo 3, del regolamento 2016/679 debba essere inteso, nel contesto di tale regolamento, come non limitato ai trattamenti di dati personali effettuati dalle autorità giurisdizionali nell'ambito di cause concrete, bensì come riguardanti, più in generale, l'insieme delle operazioni di trattamento effettuate dalle autorità giurisdizionali nell'ambito della loro attività giurisdizionale”. Restano, di conseguenza, escluse dalla competenza dell'autorità di controllo le operazioni di trattamento il cui controllo da parte di tale autorità potrebbe, direttamente o indirettamente, influenzare l'indipendenza dei loro membri o pesare sulle loro decisioni.

Al punto 35, la Corte di Giustizia individua specifici indizi in grado di rilevare che un trattamento rientra nell'esercizio, da parte di un'autorità giurisdizionale, delle sue funzioni giurisdizionali nella natura e nello scopo del trattamento per poi concludere che, nel caso in esame, mettere temporaneamente a disposizione dei giornalisti gli atti di un procedimento giudiziario per consentire loro di assicurarne al copertura mediatica, integra un trattamento su cui l'autorità di controllo non ha competenza (par. 37).

Così individuata la competenza dell'autorità di controllo, appare evidente che le ulteriori questioni poste dal giudice di rinvio – la possibilità che il trattamento si fondi su una base giuridica esplicita nel diritto interno e la legittimità di una divulgazione dei dati a terzi – siano state qualificate dalla Corte come irrilevanti ai fini dell'interpretazione dell'art. 55, par. 3.

Molto significativo quanto osservato dalla Corte al par. 38 in merito allo scopo della comunicazione degli atti ai giornalisti da parte dell'autorità giurisdizionale ed indipendenza della magistratura. I giudici di Lussemburgo, infatti, osservano come determinare quali informazioni, contenute in un fascicolo giudiziario, fornire ai giornalisti – “al fine di consentire loro di riferire sullo svolgimento del procedimento giurisdizionale o di far luce su questo o quell'altro aspetto di una decisione emessa” – rappresenta un'attività “chiaramente legata all'esercizio, da parte di tali giudici, delle loro «funzioni giurisdizionali», il cui controllo da parte di un'autorità esterna potrebbe pregiudicare, in maniera generale, l'indipendenza della magistratura”.

Alla luce dei principi affermati dalla Corte di Giustizia nella pronuncia in esame, si impone una riflessione conclusiva sul trattamento dei dati personali anche da parte di autorità giurisdizionali che operano in un campo diverso da quello civile.

Mentre, infatti, per le autorità giurisdizionali in sede civile trovano applicazione le disposizioni contenute nel GDPR (come interpretate anche alla luce della sentenza in commento) e del D.Lgs. 101 del 2018 (artt. 2 duodecies e 14) (11), per le autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali si applicano le disposizioni contenute nella Direttiva 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 (12) e nel D.Lgs. n. 51 del 2018 (13), in tal modo operandosi, come osservato da un'Autrice (14), una scissione della disciplina dei trattamenti svolti per fini di giustizia in due sotto-sistemi distinti.

Tale divaricazione di disciplina non riguarda la competenza dell'autorità di controllo sul trattamento dei dati personali da parte di un'autorità giudiziaria nell'esercizio delle proprie funzioni, in quanto, relativamente a tale aspetto (sebbene nelle diverse formulazioni) non vi sono differenze: anche per le autorità che operano nell'ambito penale oggetto della Direttiva, vi è l'esclusione di competenza dell'autorità di controllo e l'esclusione (facoltativa) rispetto ai trattamenti svolti da “altre autorità giurisdizionali indipendenti nell'esercizio delle loro funzioni giurisdizionali” (art. 45, comma 2, riferito, come si ricava dal considerando 80, alle Procure) (15).

L'espressa previsione di incompetenza dell'autorità di controllo sul trattamento dei dati personali da parte delle autorità giudiziarie, nell'esercizio delle funzioni giurisdizionali (alla quale ben potrebbe accompagnarsi l'attribuzione della competenza sulla legittimità del trattamento dei dati ad un'autorità interna alla magistratura, magari proprio in seno all'organo di autogoverno), contribuisce, così come chiarito dalla Corte di Giustizia nella pronuncia in esame, alla costruzioni di un sistema di garanzie per l'autonomia ed indipendenza della magistratura, da interpretare alla luce dei principi affermati, destinati a spiegare i propri effetti anche nei confronti delle autorità giudiziarie che operano in ambiti diversi da quello civile.

(1) Bentham, J., Draught of a New Plan for the organisation of the Judicial Establishment in France: proposed as a Succedaneum to the Draught presented, for the same purpose, by the Committee of Constitution, to the National Assembly, December 21st, 1789, Londra, 1790.

(2) Reperibili al link che segue https://curia.europa.eu/juris/document/document.jsf.

(3) Tra i quali viene ricordato il regime dei procedimenti disciplinari contro i giudici, nella sentenza del 15.7.2021 Commissione/Polonia C-79/19 e nell'ordinanza del 14.7.2021, Commissione/Polonia, C-204/21)

(4) Con riferimento a tale aspetto, si osserva come l'interpretazione proposta dall'Avvocato generale deponga per un'interpretazione molto più estesa di quella di trattamenti effettuati per ragioni di giustizia, contenuta nell'art. 2 duodecies, comma 4, del D.Lgs. n. 101 del 2018.

(5) Cfr. C. Giust. CE, C-222/84, Johnston; sent. 25 luglio 2002, C-459/99, MRAX, § 101, in materia di permessi di soggiorno; sent. del 29 ottobre 2009, C-63/08, Pontin, §§ 4 ss.

(6) C. Giust. CE, sent. del 16 dicembre 1976, C-33/76, Rewe, EU:C:1976:188, § 5; sent. del 22 maggio 2003, C-462/99, Connect Austria, §§ 38-42; sent. del 13 marzo 2007, C-432/05, Unibet, EU:C.2007:163,§§ 41-42; sent. dell'8 novembre 2016, C-243/15, Lesoochranárske zoskupenie VLK, EU:C:2016:838, § 50, nonché, in tal senso, sent. del 9 febbraio 2017, C-560/14, M, EU:C:2017:101, § 30 e giurisprudenza citata.

(7) Sent. Unibet, § 37 e giurisprudenza ivi citata. citata Sul rapporto tra artt. 6 e 13 ed art. 47 della Carta dei diritti fondamentali cfr. Actiones Handbook on the techniques of judicial interactions in the application of EU Charter, finanziato dalla Commissione Europea Dg Diritti fondamentali i cui materiali sono disponibili sul sito www.cjc.eu..

(8) Sent. Unibet, § 38; sent. Rewe, § 5 e sent. del 16 dicembre 1976, C-45/76, Comet, EU:C:1976:191, § 12.

(9) N. Trocker, op. cit.

(10) A sostegno del principio affermato, la Corte di Giustizia rinvia ai seguenti precedenti: in tal senso, in particolare, sentenze del 27 febbraio 2018, Associação Sindical dos Juízes Portugueses, C‑64/16, EU:C:2018:117, punto 44; del 25 luglio 2018, Minister for Justice and Equality (Carenze del sistema giudiziario), C‑216/18 PPU, EU:C:2018:586, punto 63; del 24 giugno 2019, Commissione/Polonia (Indipendenza della Corte suprema), C‑619/18, EU:C:2019:531, punto 72, e del 21 dicembre 2021, Euro Box Promotion e a., C‑357/19, C‑379/19, C‑547/19, C‑811/19, EU:C:2021:1034, punto 225

(11) Il comma 7 dell'art. 14, che ha sostituito l'art. 154 del D.Lgs. 196 del 2003, prevede: “Il Garante non è competente per il controllo dei trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni”.

(12) Come risulta dalla Dichiarazione n. 21 delle dichiarazioni allegate all'atto finale della conferenza intergovernativa che ha adottato il Trattato di Lisbona, firmato il 13 dicembre 2007, infatti, solo per i settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia erano state ritenute necessarie norme specifiche sulla protezione dei dati personali.

(13) L'art. 37 del D.Lgs. n. 51 del 2018, al comma 6, prevede: Il Garante non è competente in ordine al controllo del rispetto delle norme del presente decreto, limitatamente ai trattamenti effettuati dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, nonchè di quelle giudiziarie del pubblico ministero.

(14) F. RESTA, La Direttiva sulla protezione dei dati personali in ambito giudiziario penale e di polizia, le intercettazioni e la tutela dei terzi, in Giustizia Insieme, https://www.giustiziainsieme.it/it/news/122-main/processo-penale/1450-la-direttiva-sulla-protezione-dei-dati-personali-in-ambito-giudiziario-penale-e-di-polizia-le-intercettazioni-e-la-tutela-dei-terzi.

(15) Il D.Lgs. n. 51 del 2018, che ha recepito la predetta Direttiva, per quel che rileva ai fini della presente analisi, ha previsto come obbligatoria la nomina del responsabile della protezione dati anche per l'autorità giudiziaria nell'esercizio delle sue funzioni, ha ribadito l'esenzione della competenza del Garante rispetto al controllo sulla legittimità dei trattamenti di dati personali svolti da autorità giudiziarie nell'esercizio delle funzioni giurisdizionali (nonché quelle giudiziarie del pubblico ministero), senza indicare, relativamente a tali trattamenti, un'autorità altra, ma rimettendo il controllo di legittimità alla sede processuale.