–

per UZ, da J. Leuschner, Rechtsanwalt;

–

per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;

–

per il governo ceco, da O. Serdula, M. Smolek e J. Vláčil, in qualità di agenti;

–

per il governo francese, da A.-L. Desjonquères e J. Illouz, in qualità di agenti;

–

per il governo austriaco, da A. Posch, M.-T. Rappersberger e J. Schmoll, in qualità di agenti;

–

per il governo polacco, da B. Majczyna, in qualità di agente;

–

per la Commissione europea, da A. Bouchagiar, F. Erlbacher e H. Kranenborg, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 5, dell’articolo 17, paragrafo 1, lettera d), dell’articolo 18, paragrafo 1, lettera b), nonché degli articoli 26 e 30 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra UZ, cittadino di un paese terzo, e la Bundesrepublik Deutschland (Repubblica federale di Germania), rappresentata dal Bundesamt für Migration und Flüchtlinge (Ufficio federale per la migrazione e i rifugiati, Germania) (in prosieguo: l’«Ufficio federale»), in merito all’esame della domanda di protezione internazionale presentata da tale persona.

3

Il considerando 52 della direttiva 2013/32/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, recante procedure comuni ai fini del riconoscimento e della revoca dello status di protezione internazionale (rifusione) (GU 2013, L 180, pag. 60), così recita:

«La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati [(GU 1995, L 281, pag. 31)], disciplina il trattamento dei dati personali effettuato negli Stati membri a norma della presente direttiva».

4

I considerando 1, 10, 40, 74, 79 e 82 del RGPD recitano nel modo seguente:

(...)

(...)

(...)

(...)

(...)

5

Il capo I del RGPD, rubricato «Disposizioni generali», comprende gli articoli da 1 a 4.

6

Ai sensi dell’articolo 1 di tale regolamento, rubricato «Oggetto e finalità»:

«1.   Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

2.   Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

(...)».

7

L’articolo 4 di detto regolamento, rubricato «Definizioni», prevede, ai punti 2, 7 e 21, quanto segue:

(...)

(...)

(...)».

8

Il capo II del RGPD, rubricato «Principi», comprende gli articoli da 5 a 11.

9

L’articolo 5 di tale regolamento, rubricato «Principi applicabili al trattamento di dati personali», dispone quanto segue:

«1.   I dati personali sono:

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

10

L’articolo 6 di detto regolamento, rubricato «Liceità del trattamento», al paragrafo 1 così prevede:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti».

11

L’articolo 7 del RGPD riguarda le condizioni per il consenso, mentre l’articolo 8 di detto regolamento prevede le condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione.

12

L’articolo 9 di tale regolamento, rubricato «Trattamento di categorie particolari di dati personali», vieta di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché di trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

13

L’articolo 10 di detto regolamento, rubricato «Trattamento dei dati personali relativi a condanne penali e reati», riguarda il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, dello stesso regolamento.

14

Il capo III del RGPD, rubricato «Diritti dell’interessato», comprende gli articoli da 12 a 23.

15

L’articolo 17 di tale regolamento, rubricato «Diritto alla cancellazione (“diritto all’oblio”)», così recita:

«1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

(...)

(...)

3.   I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

(...)

(...)

16

Ai sensi dell’articolo 18 del regolamento in parola, rubricato «Diritto di limitazione di trattamento»:

«1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

(...)

(...)

2.   Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

(...)».

17

Il capo IV del RGPD, rubricato «Titolare del trattamento e responsabile del trattamento» comprende gli articoli da 24 a 43.

18

Nella sezione 1 di tale capo, intitolata «Obblighi generali», figura l’articolo 26 di detto regolamento, rubricato «Contitolari del trattamento», che recita nel modo seguente:

«1.   Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2.   L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

3.   Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento».

19

L’articolo 30 di detto regolamento, rubricato «Registri delle attività di trattamento», prevede quanto segue:

«1.   Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

(...)

4.   Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.

(...)».

20

Nel capo VI del RGPD, intitolato «Autorità di controllo indipendenti», figura l’articolo 58, rubricato «Poteri», il quale, al paragrafo 2, dispone quanto segue:

«Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

21

Il capo VIII di tale regolamento, rubricato «Mezzi di ricorso, responsabilità e sanzioni», comprende gli articoli da 77 a 84.

22

L’articolo 77 di detto regolamento, rubricato «Diritto di proporre reclamo all’autorità di controllo», dispone, al paragrafo 1, quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

23

L’articolo 82 del RGPD, rubricato «Diritto al risarcimento e responsabilità», prevede, ai paragrafi 1 e 2, quanto segue:

«1.   Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2.   Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento».

24

L’articolo 83 di tale regolamento, rubricato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», ai paragrafi 4, 5 e 7, così recita:

«4.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10000000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

(...)

5.   In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20000000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

(...)

7.   Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro».

25

Nel capo XI di detto regolamento, intitolato «Disposizioni finali», figura l’articolo 94, rubricato «Abrogazione della direttiva 95/46/CE», che dispone quanto segue:

«1.   La direttiva 95/46/CE è abrogata a decorrere dal 25 maggio 2018.

2.   I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento».

26

L’articolo 43 del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 20 dicembre 1990 (BGBl. 1990 I, pag. 2954), nella versione applicabile alla controversia nel procedimento principale (in prosieguo: il «BDSG»), rubricato «Disposizioni relative alle sanzioni amministrative pecuniarie», al paragrafo 3 prevede quanto segue:

«Nessuna sanzione amministrativa pecuniaria può essere inflitta alle autorità pubbliche e agli altri organismi pubblici ai sensi dell’articolo 2, paragrafo 1[, del BDSG]».

27

Il 7 maggio 2019 il ricorrente nel procedimento principale ha presentato una domanda di protezione internazionale all’Ufficio federale, il quale l’ha respinta.

28

Per adottare la sua decisione di rigetto (in prosieguo: la «decisione controversa»), l’Ufficio federale si è basato sul fascicolo elettronico «MARIS» da esso compilato, che contiene i dati personali relativi al ricorrente nel procedimento principale.

29

Quest’ultimo ha proposto ricorso avverso la decisione controversa dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), giudice del rinvio nella presente causa. Il fascicolo elettronico «MARIS» è stato allora trasmesso a tale giudice, nell’ambito di una procedura congiunta ai sensi dell’articolo 26 del RGPD, tramite la casella di posta elettronica degli uffici giudiziari e delle pubbliche amministrazioni («Elektronisches Gerichts- und Verwaltungspostfach»), gestita da un organismo pubblico appartenente al potere esecutivo.

30

Il giudice del rinvio rileva che dal considerando 52 della direttiva 2013/32 risulta che il trattamento dei dati personali effettuato dagli Stati membri nell’ambito delle procedure di riconoscimento della protezione internazionale è disciplinato dal RGPD.

31

Detto giudice dubita tuttavia che la tenuta del fascicolo elettronico compilato dall’Ufficio federale e la trasmissione, allo stesso giudice, di tale fascicolo tramite la casella di posta elettronica degli uffici giudiziari e delle pubbliche amministrazioni siano conformi a tale regolamento.

32

Da un lato, per quanto riguarda la tenuta del fascicolo elettronico, non sarebbe stato dimostrato che l’Ufficio federale si conformi al combinato disposto dell’articolo 5, paragrafo 1, e dell’articolo 30 del RGPD. Infatti, nonostante una richiesta rivolta a tal fine dal giudice del rinvio, l’Ufficio federale non avrebbe prodotto un registro delle attività di trattamento completo in relazione a tale fascicolo. Orbene, un siffatto registro avrebbe dovuto essere compilato al momento del trattamento dei dati personali relativi al ricorrente nel procedimento principale, ossia alla data di presentazione della sua domanda di protezione internazionale. L’Ufficio federale dovrebbe essere sentito sulla questione della sua responsabilizzazione, ai sensi dell’articolo 5, paragrafo 2, del RGPD, dopo che la Corte avrà statuito sulla presente domanda di pronuncia pregiudiziale.

33

Dall’altro lato, per quanto riguarda la trasmissione del fascicolo elettronico tramite la casella di posta elettronica degli uffici giudiziari e delle pubbliche amministrazioni, una siffatta trasmissione costituirebbe un «trattamento» dei dati, ai sensi dell’articolo 4, punto 2, del RGPD, che deve essere conforme ai principi stabiliti dall’articolo 5 di tale regolamento. Orbene, in violazione dell’articolo 26 di detto regolamento, nessuna normativa nazionale disciplinerebbe tale procedura di trasmissione tra le autorità amministrative e i giudici determinando le rispettive responsabilità dei contitolari del trattamento e nessun accordo in tal senso sarebbe stato prodotto dall’Ufficio federale, e ciò malgrado una richiesta rivolta a tal fine dal giudice del rinvio. Quest’ultimo si pone quindi la questione di stabilire se sia lecito tale trasferimento dei dati tramite la casella di posta elettronica degli uffici giudiziari e delle pubbliche amministrazioni.

34

In particolare, secondo il giudice del rinvio, occorrerebbe stabilire se la violazione degli obblighi previsti agli articoli 5, 26 e 30 del RGPD, da cui deriverebbe l’illiceità del trattamento dei dati personali, debba essere sanzionata con la cancellazione di tali dati, conformemente all’articolo 17, paragrafo 1, lettera d), di tale regolamento, oppure con una limitazione del trattamento, conformemente all’articolo 18, paragrafo 1, lettera b), di detto regolamento. Siffatte sanzioni dovrebbero, quanto meno, essere previste nel caso di una richiesta della persona interessata. In mancanza, tale giudice si vedrebbe suo malgrado coinvolto in un trattamento illecito di detti dati nell’ambito del procedimento giurisdizionale. In un caso del genere, soltanto l’autorità di controllo potrebbe intervenire, ai sensi dell’articolo 58 del RGPD, infliggendo alle autorità pubbliche interessate una sanzione amministrativa pecuniaria, in forza dell’articolo 83, paragrafo 5, lettera a), di tale regolamento. Tuttavia, conformemente all’articolo 43, paragrafo 3, del BDSG, che recepisce l’articolo 83, paragrafo 7, di detto regolamento, nessuna sanzione amministrativa pecuniaria potrebbe essere inflitta, a livello nazionale, alle autorità pubbliche e agli altri organismi pubblici. Ne conseguirebbe che né la direttiva 2013/32 né il RGPD sarebbero rispettati.

35

Inoltre, il giudice del rinvio ritiene che il trattamento in questione nel procedimento principale non rientri nell’ambito di applicazione dell’articolo 17, paragrafo 3, lettera e), del RGPD, il quale consente l’utilizzo di dati personali ai fini dell’accertamento, dell’esercizio o della difesa di un diritto in sede giudiziaria da parte della resistente. È pur vero che, nel caso di specie, i dati sarebbero utilizzati dall’Ufficio federale per adempiere, conformemente all’articolo 17, paragrafo 3, lettera b), di tale regolamento, un obbligo legale che richiede il trattamento, previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tuttavia, se si applicasse tale disposizione, ciò equivarrebbe a rendere lecita stabilmente una prassi contraria alla normativa in materia di protezione dei dati.

36

Tale giudice si chiede, pertanto, in quale misura esso possa, nell’esercizio della sua attività giurisdizionale, prendere in considerazione i dati personali forniti nell’ambito di una siffatta procedura rientrante nelle attribuzioni del potere esecutivo. Infatti, se la tenuta del fascicolo elettronico o la sua trasmissione tramite la casella di posta elettronica degli uffici giudiziari e delle pubbliche amministrazioni dovesse essere qualificata come trattamento illecito alla luce del RGPD, detto giudice sarebbe coinvolto, per via di una siffatta presa in considerazione, nel trattamento illecito in questione, il che contrasterebbe con l’obiettivo perseguito da tale regolamento, il quale consiste nella tutela dei diritti e delle libertà fondamentali delle persone fisiche, e in particolare del loro diritto alla protezione dei dati personali.

37

A tal riguardo, il giudice del rinvio si chiede inoltre se la circostanza che l’interessato abbia prestato il proprio consenso esplicito oppure si opponga all’utilizzo dei suoi dati personali in sede giudiziale possa influire sulla possibilità di prendere in considerazione tali dati. Nel caso in cui tale giudice non potesse prendere in considerazione i dati contenuti nel fascicolo elettronico «MARIS» a causa delle illegittimità che inficiano la tenuta e la trasmissione di detto fascicolo, non sussisterebbe alcuna base giuridica, nelle more di un’eventuale regolarizzazione di tali illegittimità, per adottare una decisione sulla domanda del ricorrente nel procedimento principale diretta al riconoscimento dello status di rifugiato. Di conseguenza, detto giudice dovrebbe annullare la decisione controversa.

38

Ciò premesso, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

39

Senza sollevare formalmente un’eccezione di irricevibilità, il governo tedesco esprime dubbi sulla rilevanza delle questioni pregiudiziali ai fini dell’esito del procedimento principale. Anzitutto, dalla decisione di rinvio risulterebbe che la violazione, da parte dell’Ufficio federale, dell’articolo 5, paragrafo 2, del RGPD non è definitivamente accertata, in quanto il giudice del rinvio si limita a presumerla. Inoltre, tale giudice non avrebbe riferito che i fascicoli dell’Ufficio federale, anche supponendo che a tale giudice non fosse consentito a utilizzarli, fossero gli unici decisivi per la soluzione di tale controversia. Infatti, detto giudice disporrebbe anche di altre fonti di informazione, le quali, in forza del principio dell’istruttoria d’ufficio, dovrebbero essere pienamente utilizzate qualora un’autorità non presenti alcun fascicolo o i fascicoli siano incompleti. Infine, la terza questione sarebbe manifestamente ipotetica, poiché dalla decisione di rinvio non risulterebbe che il ricorrente nel procedimento principale abbia acconsentito o acconsenta all’utilizzo del trattamento dei suoi dati personali da parte del giudice del rinvio.

40

Occorre ricordare che, secondo una giurisprudenza costante della Corte, le questioni relative al diritto dell’Unione godono di una presunzione di rilevanza. Il diniego della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con la realtà o con l’oggetto del procedimento principale, che la Corte non dispone degli elementi di fatto o di diritto necessari a fornire una risposta utile alle questioni che le vengono sottoposte o che il problema è di natura ipotetica. Per di più, nell’ambito del procedimento di cui all’articolo 267 TFUE, basato sulla netta separazione di funzioni tra i giudici nazionali e la Corte, il giudice nazionale è l’unico competente ad esaminare e valutare i fatti del procedimento principale (v., in particolare, sentenza del 24 marzo 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punti 20 e 21 nonché giurisprudenza ivi citata).

41

Come risulta chiaramente dal secondo comma dell’articolo 267 TFUE, nell’ambito della stretta collaborazione, basata sulla ripartizione dei compiti, tra i giudici nazionali e la Corte, spetta al giudice del rinvio decidere in quale fase del procedimento sia necessario sottoporre alla Corte una questione pregiudiziale (sentenza del 17 luglio 2008, Coleman, C‑303/06, EU:C:2008:415, punto 29 e giurisprudenza ivi citata).

42

In particolare, la Corte ha già dichiarato, al riguardo, che la circostanza che talune questioni di fatto non siano ancora state oggetto di una procedura in contraddittorio di assunzione della prova non è idonea, in quanto tale, a rendere irricevibile una questione pregiudiziale (v., in tal senso, sentenza dell’11 settembre 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, punto 19 e giurisprudenza ivi citata).

43

Orbene, nel caso di specie, ancorché dalla domanda di pronuncia pregiudiziale risulti che il giudice del rinvio non ha statuito in via definitiva sull’esistenza di una violazione, da parte dell’Ufficio federale, degli obblighi a suo carico derivanti dall’articolo 5, paragrafo 2, del RGPD in combinato disposto con gli articoli 26 e 30 di quest’ultimo, poiché tale aspetto della controversia nel procedimento principale deve ancora, secondo le indicazioni fornite in detta domanda, essere discusso in contraddittorio, resta il fatto che tale giudice ha accertato che né l’accordo relativo al trattamento congiunto dei dati né il registro delle attività di trattamento, previsti da queste ultime due disposizioni, sono stati prodotti dall’Ufficio federale in qualità di titolare del trattamento, e ciò malgrado la richiesta che lo stesso giudice gli aveva rivolto a tal fine.

44

Peraltro, dalla decisione di rinvio risulta che, ad avviso di detto giudice, il quale è l’unico a cui spetta il compito di accertare e valutare i fatti, la decisione controversa è stata adottata sulla sola base del fascicolo elettronico compilato dall’Ufficio federale, la cui tenuta e trasmissione potrebbero violare le norme stabilite da detto regolamento, cosicché la decisione in parola potrebbe dover essere annullata per tale ragione.

45

Infine, quanto al consenso del ricorrente nel procedimento principale all’utilizzo dei suoi dati personali nell’ambito del procedimento giurisdizionale, è sufficiente rilevare che la terza questione pregiudiziale mira proprio a stabilire se sia necessario, nel caso di specie, che un siffatto consenso sia espresso affinché sia consentito al giudice del rinvio prendere in considerazione tali dati.

46

Ciò premesso, dal momento che la Corte si trova pertanto investita di una domanda d’interpretazione del diritto dell’Unione non manifestamente priva di qualsiasi rapporto con la realtà o con l’oggetto del procedimento principale e che essa dispone degli elementi necessari per rispondere in maniera utile alle questioni sottopostele, relative alla rilevanza del RGPD per la controversia nel procedimento principale, essa deve pronunciarsi in proposito senza essere tenuta ad accertare essa stessa la validità della presunzione sulla quale si è basato il giudice del rinvio, che, se necessario, quest’ultimo dovrà successivamente verificare (v., per analogia, sentenza del 17 luglio 2008, Coleman, C‑303/06, EU:C:2008:415, punto 31 e giurisprudenza ivi citata).

47

Di conseguenza, si deve statuire che la presente domanda di pronuncia pregiudiziale è ricevibile e rispondere alle questioni sollevate dal giudice del rinvio, fermo restando che a quest’ultimo tuttavia spetta verificare se l’Ufficio federale abbia violato gli obblighi previsti agli articoli 26 e 30 del RGPD.

48

Con la prima questione il giudice del rinvio chiede, in sostanza, se l’articolo 17, paragrafo 1, lettera d), e l’articolo 18, paragrafo 1, lettera b), del RGPD debbano essere interpretati nel senso che la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26 e 30 di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta di un registro delle attività di trattamento, costituisce un trattamento illecito che conferisce all’interessato il diritto alla cancellazione o alla limitazione del trattamento, poiché una siffatta violazione implica una violazione da parte del titolare del trattamento del principio di «responsabilizzazione» quale sancito dall’articolo 5, paragrafo 2, di detto regolamento.

49

Secondo la giurisprudenza costante della Corte, ai fini dell’interpretazione di una norma di diritto dell’Unione si deve tener conto non soltanto della lettera della stessa, ma anche del contesto in cui essa si inserisce e degli scopi della normativa di cui essa fa parte (v., in tal senso, in particolare, sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punto 32 e giurisprudenza ivi citata).

50

Per quanto riguarda, in primo luogo, il tenore letterale delle disposizioni del diritto dell’Unione pertinenti, occorre ricordare che, conformemente all’articolo 17, paragrafo 1, lettera d), del RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo tali dati, se questi ultimi sono stati «trattati illecitamente».

51

Analogamente, ai sensi dell’articolo 18, paragrafo 1, lettera b), del RGPD, l’interessato, qualora si opponga alla cancellazione di siffatti dati e chieda invece che ne sia limitato l’utilizzo, ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando il «trattamento è illecito».

52

Le disposizioni menzionate ai due punti precedenti devono essere lette in combinato disposto con l’articolo 5, paragrafo 1, di tale regolamento, secondo il quale il trattamento dei dati personali deve rispettare una determinata serie di principi enunciati in tale disposizione, tra cui quello sancito dall’articolo 5, paragrafo 1, lettera a), di detto regolamento, il quale precisa che i dati personali sono trattati «in modo lecito, corretto e trasparente nei confronti dell’interessato».

53

Ai sensi del paragrafo 2 dell’articolo 5, del RGPD, il titolare del trattamento, conformemente al principio di «responsabilizzazione» previsto da tale disposizione, è competente per il rispetto del paragrafo 1 di tale articolo e in grado di comprovare di aver rispettato tutti i principi sanciti da detto paragrafo 1, circostanza la cui prova è quindi a carico dello stesso [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punti 77, 78 e 81].

54

Ne consegue che, ai sensi del combinato disposto del paragrafo 2 e del paragrafo 1, lettera a), dell’articolo 5 di detto regolamento, il titolare del trattamento deve garantire il carattere «lecito» del trattamento dei dati da esso effettuato.

55

Orbene, occorre constatare che la liceità del trattamento è giustappunto disciplinata, come risulta dalla sua stessa rubrica, dall’articolo 6 del RGPD, il quale prevede che il trattamento è lecito solo se ricorre almeno una delle condizioni di cui al paragrafo 1, primo comma, lettere da a) a f), di tale articolo, vale a dire, come si evince altresì dal considerando 40 di detto regolamento, o che l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, o che il trattamento sia necessario per una delle finalità contemplate in tale articolo, le quali riguardano, rispettivamente, l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso, l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento, la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, nonché il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

56

Tale elenco dei casi nei quali un trattamento dei dati personali può essere considerato lecito è esaustivo e tassativo, cosicché, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti dall’articolo 6, paragrafo 1, primo comma, del RGPD [v., in tal senso, sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 99 e giurisprudenza ivi citata, nonché dell’8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale), C‑180/21, EU:C:2022:967, punto 83].

57

In tal senso, secondo la giurisprudenza della Corte, ogni trattamento di dati personali deve essere conforme ai principi relativi al trattamento dei dati elencati all’articolo 5, paragrafo 1, di tale regolamento, e soddisfare le condizioni di liceità del trattamento dati elencate all’articolo 6 di detto regolamento [v., in particolare, sentenze del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 208; del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 96, nonché del 20 ottobre 2022, Digi, C‑77/21, EU:C:2022:805, punti 49 e 56].

58

Inoltre, dal momento che gli articoli da 7 a 11 del RGPD, contenuti, al pari degli articoli 5 e 6 di quest’ultimo, nel capo II di tale regolamento, concernente i principi, hanno lo scopo di precisare la portata degli obblighi a carico del titolare del trattamento derivanti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 6, paragrafo 1, di detto regolamento, il trattamento di dati personali, per essere lecito, deve altresì rispettare, come risulta dalla giurisprudenza della Corte, le altre disposizioni di detto capo che riguardano, in sostanza, il consenso, il trattamento di categorie particolari di dati personali sensibili e il trattamento di dati personali relativi a condanne penali e a reati [v., in tal senso, sentenze del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C‑136/17, EU:C:2019:773, punti da 72 a 75, nonché del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punti 100, 102 e 106].

59

Orbene, al pari di tutti i governi che hanno presentato osservazioni scritte e della Commissione europea, si deve rilevare che il rispetto, da parte del titolare del trattamento, dell’obbligo di concludere un accordo che determini la contitolarità del trattamento, prevista dall’articolo 26 del RGPD, e dell’obbligo di tenere un registro delle attività di trattamento, sancito all’articolo 30 di tale regolamento, non rientra tra le condizioni di liceità del trattamento contemplate dall’articolo 6, paragrafo 1, primo comma, di detto regolamento.

60

Inoltre, a differenza degli articoli da 7 a 11 del RGPD, gli articoli 26 e 30 di tale regolamento non hanno lo scopo di precisare la portata degli obblighi stabiliti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 6, paragrafo 1, di detto regolamento.

61

Dallo stesso tenore letterale dell’articolo 5, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 1, primo comma, del RGPD si deduce, pertanto, che la violazione da parte del titolare del trattamento degli obblighi previsti agli articoli 26 e 30 di tale regolamento non costituisce un «trattamento illecito», ai sensi dell’articolo 17, paragrafo 1, lettera d), e dell’articolo 18, paragrafo 1, lettera b), di detto regolamento, che deriverebbe dalla violazione da parte dello stesso del principio di «responsabilizzazione» quale previsto dall’articolo 5, paragrafo 2, del medesimo regolamento.

62

Tale interpretazione è avvalorata, in secondo luogo, dal contesto in cui si inseriscono tali diverse disposizioni. Infatti, dalla struttura stessa del RGPD e, pertanto, dal suo impianto sistematico risulta chiaramente che quest’ultimo distingue tra, da un lato, i «principi», oggetto del suo capo II, il quale contiene, in particolare, gli articoli 5 e 6 di tale regolamento, e, dall’altro, gli «obblighi generali», contenuti nella sezione 1 del capo IV di detto regolamento, relativo ai titolari del trattamento, tra i quali rientrano gli obblighi di cui agli articoli 26 e 30 del medesimo regolamento.

63

Tale distinzione si manifesta peraltro nel capo VIII del RGPD relativo alle sanzioni, in quanto, da un lato, per le violazioni degli articoli 26 e 30 di tale regolamento e, dall’altro, per quelle degli articoli 5 e 6 dello stesso, sono previste, rispettivamente, ai paragrafi 4 e 5 dell’articolo 83 di detto regolamento, sanzioni amministrative pecuniarie fino a un determinato importo, il quale si differenzia a seconda del paragrafo in questione in base al livello di gravità riconosciuto dal legislatore dell’Unione alle corrispondenti violazioni.

64

In terzo e ultimo luogo, l’interpretazione letterale del RGPD enunciata al punto 61 della presente sentenza è suffragata dall’obiettivo perseguito da tale regolamento, risultante dall’articolo 1 nonché dai considerando 1 e 10 dello stesso, il quale consiste, segnatamente, nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e dall’articolo 16, paragrafo 1, TFUE (v., in tal senso, sentenza del 1o agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 125 e giurisprudenza ivi citata).

65

Infatti, l’assenza di un accordo che determini la contitolarità, ai sensi dell’articolo 26 del RGPD, o di un registro delle attività di trattamento, ai sensi dell’articolo 30 di tale regolamento, non è sufficiente a dimostrare, di per sé, l’esistenza di una lesione del diritto fondamentale alla protezione dei dati personali. In particolare, se è vero che, come risulta dai considerando 79 e 82 di detto regolamento, la chiara ripartizione delle responsabilità tra i contitolari del trattamento e il registro delle attività di trattamento costituiscono mezzi per garantire il rispetto, da parte di tali contitolari, delle garanzie previste da detto regolamento per la tutela dei diritti e delle libertà degli interessati, resta nondimeno il fatto che l’assenza di un siffatto registro o di un siffatto accordo non dimostra, di per sé, che tali diritti e tali libertà siano stati violati.

66

Ne consegue che una violazione degli articoli 26 e 30 del RGPD da parte del titolare del trattamento non costituisce un «trattamento illecito», ai sensi dell’articolo 17, paragrafo 1, lettera d), o dell’articolo 18, paragrafo 1, lettera b), di tale regolamento, letti in combinato disposto con l’articolo 5, paragrafo 1, lettera a), e con l’articolo 6, paragrafo 1, primo comma, dello stesso, i quali conferiscono all’interessato il diritto alla cancellazione o alla limitazione del trattamento.

67

Come sostenuto da tutti i governi che hanno presentato osservazioni scritte e dalla Commissione, si deve quindi porre rimedio a una siffatta violazione mediante l’applicazione di altre misure previste dal RGPD, quali l’esercizio, da parte dell’autorità di controllo, di «poteri correttivi», ai sensi dell’articolo 58, paragrafo 2, di tale regolamento, in particolare, a norma della lettera d) di tale disposizione, la riconduzione a conformità dei trattamenti, la proposizione di un reclamo all’autorità di controllo, conformemente all’articolo 77, paragrafo 1, di tale regolamento, o il risarcimento del danno eventualmente cagionato dal titolare del trattamento, ai sensi dell’articolo 82 dello stesso.

68

Infine, tenuto conto delle preoccupazioni espresse dal giudice del rinvio, occorre ancora precisare che la circostanza secondo la quale, nel caso di specie, l’inflizione di una sanzione amministrativa pecuniaria, ai sensi dell’articolo 58, paragrafo 2, lettera i), e dell’articolo 83 del RGPD, sarebbe esclusa in quanto il diritto nazionale vieta una siffatta sanzione nei confronti dell’Ufficio federale, non è tale da impedire un’applicazione effettiva di tale regolamento. Infatti, è sufficiente rilevare, al riguardo, che l’articolo 83, paragrafo 7, di detto regolamento conferisce espressamente agli Stati membri la facoltà di prevedere se e in quale misura siffatte sanzioni possano essere inflitte ad autorità pubbliche o ad organismi pubblici. Del resto, le diverse misure alternative previste dal RGPD, ricordate al punto precedente, consentono di garantire una siffatta applicazione effettiva.

69

Di conseguenza, occorre rispondere alla prima questione dichiarando che l’articolo 17, paragrafo 1, lettera d), e l’articolo 18, paragrafo 1, lettera b), del RGPD devono essere interpretati nel senso che la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26 e 30 di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta di un registro delle attività di trattamento, non costituisce un trattamento illecito che conferisce all’interessato il diritto alla cancellazione o alla limitazione del trattamento, poiché una siffatta violazione non implica, in quanto tale, una violazione da parte del titolare del trattamento del principio di «responsabilizzazione» quale sancito dall’articolo 5, paragrafo 2, di detto regolamento, in combinato disposto con l’articolo 5, paragrafo 1, lettera a), e con l’articolo 6, paragrafo 1, primo comma, dello stesso.

70

Alla luce della risposta fornita alla prima questione, non occorre rispondere alla seconda questione.

71

Con la terza questione, il giudice del rinvio chiede, in sostanza, se il diritto dell’Unione debba essere interpretato nel senso che, qualora il titolare del trattamento di dati personali abbia violato gli obblighi che gli derivano dagli articoli 26 o 30 del RGPD, la liceità della presa in considerazione di siffatti dati da parte di un giudice nazionale è subordinata al consenso dell’interessato.

72

A tal proposito, si deve rilevare che, come risulta chiaramente dalla formulazione stessa del primo comma del paragrafo 1 dell’articolo 6 di tale regolamento, il consenso dell’interessato, contemplato alla lettera a) di tale comma, costituisce soltanto una delle condizioni di liceità del trattamento, mentre, per contro, un siffatto consenso non è richiesto dalle altre condizioni di liceità previste alle lettere da b) a f) di detto comma, riguardanti, in sostanza, la necessità del trattamento per il conseguimento di determinate finalità (v., per analogia, sentenza dell’11 dicembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punto 41).

73

Orbene, nel caso in cui un giudice eserciti le competenze giurisdizionali conferitegli dal diritto nazionale, il trattamento di dati personali che tale giudice è chiamato ad effettuare deve essere considerato necessario alla finalità prevista all’articolo 6, paragrafo 1, primo comma, lettera e), di detto regolamento, relativa all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

74

Poiché, da un lato, è sufficiente che una delle condizioni stabilite all’articolo 6, paragrafo 1, del RGPD sia soddisfatta affinché un trattamento di dati personali possa essere considerato lecito, e poiché, dall’altro, come dichiarato al punto 61 della presente sentenza, la violazione degli articoli 26 e 30 di tale regolamento non costituisce un trattamento illecito, la presa in considerazione, da parte del giudice del rinvio, di dati personali che sarebbero stati trattati dall’Ufficio federale in violazione degli obblighi previsti da questi ultimi articoli non è subordinata al consenso dell’interessato.

75

Di conseguenza, occorre rispondere alla terza questione dichiarando che il diritto dell’Unione deve essere interpretato nel senso che, qualora il titolare del trattamento di dati personali abbia violato gli obblighi che gli derivano dagli articoli 26 o 30 del RGPD, la liceità della presa in considerazione di siffatti dati da parte di un giudice nazionale non è subordinata al consenso dell’interessato.

76

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quinta Sezione) dichiara: