INDIPENDENZA DEI GIUDICI E TRATTAMENTO DEI DATI PERSONALI. LA CORTE DI GIUSTIZIA SI PRONUNCIA SULL’ACCESSO DI UN ORGANO GIUDIZIARIO AI DATI RELATIVI AI CONTI BANCARI DEI MAGISTRATI E DEI LORO FAMILIARI E SULL’AUTORIZZAZIONE GIUDIZIARIA PER LA REVOCA DEL SEGRETO BANCARIOhttps://www.dejalex.com/wp-content/uploads/2025/05/Articolo_La-Corte-di-Giustizia-si-pronuncia-sullaccesso-di-un-organo-giudiziario-ai-dati-relativi-ai-conti-bancari-dei-magistrati.pdf

team valletta Contenzioso, Diritto Europeo e della Concorrenza, Marco Stillo, Protezione dei Dati e Cybersecurity, Pubblicazioni

In data 30 aprile 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nelle Cause riunite C‑313/23, C‑316/23 e C‑332/23, Inspektorat kam Visshia sadeben savet, sull’interpretazione dell’articolo 19, paragrafo 1, secondo comma, del Trattato sull’Unione Europea (TUE) nonché dell’articolo 2, paragrafo 2, lettera a), dell’articolo 4, punto 7, dell’articolo 32, paragrafo 1, lettera b), dell’articolo 33, paragrafo 3, lettera d), dell’articolo 51, dell’articolo 57, paragrafo 1, lettera b), e dell’articolo 79, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1] in combinato disposto con l’articolo 47 della Carta dei diritti fondamentali dell’Unione Europea. Tali domande erano state presentate nell’ambito di procedimenti promossi dall’Inspektorat kam Visshia sadeben savet (Ispettorato presso il Consiglio superiore della magistratura bulgara) al fine di ordinare la divulgazione dei dati relativi ai conti bancari di vari magistrati e dei loro familiari. Questi i fatti. Dopo la scadenza del termine previsto per il deposito delle dichiarazioni patrimoniali annuali dei magistrati e dei loro familiari per l’anno 2022, l’Ispettorato aveva presentato al Sofiyski rayonen sad (Tribunale distrettuale di Sofia; il “giudice del rinvio”) una domanda di revoca del segreto bancario riguardante i conti di vari magistrati e dei loro familiari conformemente allo Zakon za kreditnite institutsii (legge sugli enti creditizi, ZKI)[2]. Alla luce delle necessità di interpretare la normativa europea rilevante in materia, pertanto, tale giudice aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia sei questioni pregiudiziali. Con la prima questione, il giudice del rinvio chiedeva se ed, eventualmente, a quali condizioni l’articolo 19, paragrafo 1, secondo comma[3], TUE, letto alla luce dell’articolo 47[4] della Carta osti alla prassi di uno Stato Membro secondo la quale i membri di un organo giudiziario, eletti dal parlamento di tale Stato per mandati di durata determinata e che sono competenti a controllare l’attività dei magistrati nell’esercizio delle loro funzioni, la loro integrità e l’assenza di conflitti di interessi in capo a questi ultimi, nonché a proporre a un altro organo giudiziario di avviare un procedimento disciplinare ai fini dell’imposizione di sanzioni disciplinari nei loro confronti, continuano ad esercitare le loro funzioni oltre la durata legale del loro mandato, fissata dalla Costituzione di detto Stato membro, fino a quando tale parlamento non abbia eletto nuovi membri. La Corte ha preliminarmente ricordato che le garanzie di indipendenza e di imparzialità richieste ai sensi del diritto dell’Unione presuppongono l’esistenza di regole che consentano di fugare qualsiasi legittimo dubbio che i singoli possano nutrire in merito all’impermeabilità di un organo giurisdizionale nei confronti di elementi esterni e alla sua neutralità rispetto agli interessi contrapposti[5]. Più particolarmente, il requisito dell’indipendenza dei giudici di cui all’articolo 19, paragrafo 1, secondo comma, TUE impone che il regime disciplinare presenti le garanzie necessarie per evitare qualsiasi rischio di un suo utilizzo quale sistema di controllo politico del contenuto delle decisioni giudiziarie. A tale riguardo, l’emanazione di norme che definiscano sia i comportamenti che integrano illeciti disciplinari che le sanzioni concretamente applicabili, che prevedono l’intervento di un organo indipendente conformemente ad una procedura che garantisca appieno i diritti consacrati dalla Carta, in particolare quelli della difesa, e che sanciscano la possibilità di contestare in sede giurisdizionale le decisioni degli organi disciplinari, costituisce un insieme di garanzie essenziali ai fini della salvaguardia dell’indipendenza del potere giudiziario[6]. Di conseguenza, le norme che regolano l’organizzazione e il funzionamento di un organo competente a condurre le indagini ed esercitare l’azione disciplinare, comprese quelle che disciplinano la procedura di nomina dei suoi membri, dovrebbero essere concepite in modo tale da non poter far sorgere alcun legittimo dubbio, nei singoli, quanto all’utilizzo delle prerogative e delle funzioni di un tale organo come strumento di pressione sull’attività giudiziaria o di controllo politico di tale attività[7]. Tutto ciò premesso, sebbene spetti ai soli Stati decidere se autorizzare o meno l’esercizio delle funzioni dei membri di un organo giudiziario, che è competente a controllare l’attività dei magistrati e a proporre l’avvio di procedimenti disciplinari nei loro confronti, al di là della durata legale dei mandati di tali membri al fine di garantire la continuità del funzionamento di tale organo, essi sono tenuti, quando optano per una siffatta proroga dei mandati, a garantire che l’esercizio delle funzioni dopo la scadenza del mandato si fondi su una base giuridica esplicita nel diritto interno contenente norme chiare e precise tali da inquadrare detto esercizio. Nello specifico, gli Stati devono provvedere affinché le condizioni e le modalità cui è soggetto un esercizio del genere siano concepite in modo da consentire ai membri interessati di un organo giudiziario di agire, nell’adempimento dei loro compiti, in modo obiettivo ed imparziale e siano, a tal fine, al riparo da qualsiasi influenza esterna. Sebbene inoltre, in talune circostanze, la proroga dei mandati possa risultare necessaria tenuto conto dell’importanza delle funzioni esercitate dall’organo giudiziario interessato, al di là della durata legale di tali mandati l’organo in questione agisce al di fuori di qualsiasi base giuridica esplicita nel diritto interno che contenga norme chiare e precise tali da inquadrare l’esercizio delle suddette funzioni. Di conseguenza, è solo in via eccezionale, e a condizione che tale proroga sia inquadrata da norme chiare e precise che escludano la possibilità che essa sia illimitata nel tempo, che detta proroga può essere ipotizzabile. Con la seconda questione, il giudice del rinvio chiedeva se l’articolo 2[8] del GDPR debba essere interpretato nel senso che la divulgazione ad un organo giudiziario di dati personali protetti dal segreto bancario e che riguardano magistrati nonché i loro familiari, ai fini della verifica delle dichiarazioni, oggetto di pubblicazione, relative al loro patrimonio nonché a quello dei loro familiari costituisce un trattamento di dati personali rientrante nell’ambito di applicazione materiale di tale regolamento. La Corte ha preliminarmente ricordato che l’articolo 2 del GDPR ha come unico obiettivo quello di escludere dall’ambito di applicazione di quest’ultimo i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o che può essere ascritta alla medesima categoria. Il mero fatto che un’attività sia propria dello Stato o di un’autorità pubblica, pertanto, non è sufficiente affinché l’eccezione prevista dal paragrafo 2, lettera a), di tale articolo vi sia automaticamente applicabile[9]. Di conseguenza, sebbene garantire la buona amministrazione della giustizia negli Stati Membri e, in particolare, l’emanazione di norme applicabili allo status dei giudici e all’esercizio delle loro funzioni rientri nella competenza di tali Stati[10], un trattamento di dati come quello del caso concreto, che ha come obiettivo il controllo dell’integrità dei magistrati nonché la verifica dell’esistenza di eventuali conflitti di interessi in capo ad essi, non rientra né in un’attività che mira a preservare la sicurezza nazionale né in un’attività che può essere ascritta alla stessa categoria. Con la terza questione, il giudice del rinvio chiedeva se l’articolo 4, punto 7[11], del GDPR debba essere interpretato nel senso che un giudice competente ad autorizzare, su richiesta di un altro organo giudiziario, la divulgazione da parte di una banca a quest’ultimo di dati relativi ai conti bancari dei magistrati e dei loro familiari possa essere qualificato come titolare del trattamento ai sensi di tale disposizione. La Corte ha preliminarmente ricordato che per determinare se una persona o un’entità debba essere qualificata come titolare del trattamento ai sensi dell’articolo 4, punto 7, del GDPR occorre verificare se essa determini, da sola o insieme ad altri, le finalità e i mezzi del trattamento oppure se questi ultimi siano determinati dal diritto nazionale[12]. La determinazione di questi ultimi, in particolare, può essere non solo esplicita, e bensì anche implicita, essendo tuttavia necessario che ciò derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devolute alla persona o all’entità interessata[13]. Tutto ciò premesso, nel caso concreto, in forza della normativa nazionale applicabile, l’Ispettorato è competente ad effettuare controlli riguardanti l’integrità e l’assenza di conflitti di interessi in capo ai magistrati nonché le loro dichiarazioni patrimoniali. A tal fine, la normativa in questione offre all’Ispettorato la possibilità di chiedere l’accesso ai dati relativi ai conti bancari dei magistrati e dei loro familiari nonché, nell’ipotesi in cui gli interessati non abbiano dato il consenso ad un siffatto accesso, il potere di chiedere un’autorizzazione giudiziaria preventiva a tal fine. Di conseguenza, è la normativa nazionale a determinare la cerchia di persone e i dati che possono essere oggetto del trattamento, a fissarne le finalità e a designare l’organo competente per la loro realizzazione. Il giudice investito di una domanda di autorizzazione alla divulgazione, dal canto suo, interviene solo su richiesta dell’Ispettorato ai fini dell’esercizio dei poteri conferitigli dal diritto nazionale, limitandosi a verificare se le condizioni di legittimità ivi previste siano soddisfatte. Sebbene gli spetti esaminare se e in quale misura le condizioni di legittimità del trattamento siano soddisfatte in un determinato caso, pertanto, tale giudice non determina di propria iniziativa né la finalità del trattamento né le persone e i dati interessati, non essendo perciò il titolare del trattamento ai sensi dell’articolo 4, punto 7, del GDPR. Con la quarta questione, invece, il giudice del rinvio chiedeva se l’articolo 51[14] del RGPD debba essere interpretato nel senso che un giudice competente ad autorizzare la divulgazione di dati personali ad un altro organo giudiziario costituisca un’autorità di controllo ai sensi di tale articolo. Secondo la Corte, tuttavia, non risulta che il giudice del rinvio sia incaricato, dal diritto bulgaro, del compito di controllare l’applicazione del GDPR e che, in particolare, esso detenga i poteri di cui un’autorità di controllo deve disporre ai sensi di tale regolamento. Alla luce delle risposte fornite alla terza e alla quarta questione, la Corte ha ritenuto non necessario rispondere alla quinta, con la quale il giudice del rinvio chiedeva se l’articolo 32, paragrafo 1, lettera b)[15] e l’articolo 57, paragrafo 1, lettera a)[16], del GDPR debbano essere interpretati nel senso che un’autorità giudiziaria che autorizza un’altra autorità statale ad accedere ai dati relativi ai conti bancari di magistrati e di loro familiari è tenuta, in presenza di dati relativi a una violazione della sicurezza di dati personali commessa in passato dall’autorità pubblica alla quale tale accesso dovrebbe essere concesso, a raccogliere informazioni sulle misure adottate per la protezione dei dati e a considerare l’adeguatezza di tali misure in sede di decisione sull’autorizzazione all’accesso. Con la sesta questione, infine, il giudice del rinvio chiedeva se l’articolo 79, paragrafo 1[17], del GDPR, letto alla luce dell’articolo 47 della Carta, debba essere interpretato nel senso che un giudice competente ad autorizzare la divulgazione di dati personali ad un altro organo giudiziario sia tenuto, senza essere investito di un ricorso ai sensi di tale disposizione, a garantire d’ufficio la protezione delle persone i cui dati sono coinvolti per quanto riguarda il rispetto delle disposizioni di tale regolamento relative alla sicurezza dei dati personali, qualora sia noto che tale organo ha commesso, in passato, una violazione di queste ultime disposizioni. La Corte ha preliminarmente ricordato che il controllo del rispetto dei requisiti di sicurezza imposti dal GDPR spetta, da un lato, alle autorità di controllo e, dall’altro, ai giudici nazionali investiti di un ricorso. Più particolarmente tali autorità, al pari di questi ultimi, devono assicurarsi che le misure tecniche ed organizzative adottate dal titolare del trattamento siano idonee a garantire un livello di sicurezza adeguato al rischio, esaminandone il merito in modo concreto alla luce di tutti i criteri di cui all’articolo 32, paragrafo 1[18], del GDPR nonché delle circostanze proprie del caso concreto e degli elementi di prova di cui tali autorità o tali giudici dispongono al riguardo[19]. Per contro, i giudici nazionali che non sono investiti di un ricorso non sono tenuti, in assenza di norme che conferiscano loro esplicitamente poteri di controllo, a garantire il rispetto delle disposizioni sostanziali del GDPR al fine di salvaguardarne l’effetto utile. Tutto ciò premesso, la Corte ha pertanto statuito che: “L’articolo 19, paragrafo 1, secondo comma, TUE, letto alla luce dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che il principio di indipendenza dei giudici osta alla prassi di uno Stato membro secondo la quale i membri di un organo giudiziario di tale Stato membro, eletti dal parlamento di quest’ultimo per mandati di durata determinata e che sono competenti a controllare l’attività dei magistrati nell’esercizio delle loro funzioni, la loro integrità e l’assenza di conflitti di interessi in capo a questi ultimi nonché a proporre a un altro organo giudiziario l’avvio di un procedimento disciplinare ai fini dell’imposizione di sanzioni disciplinari nei loro confronti, continuano ad esercitare le loro funzioni oltre la durata legale del loro mandato, fissata dalla Costituzione di detto Stato membro, fino a quando tale parlamento non elegga nuovi membri, senza che la proroga dei mandati scaduti si fondi su una base giuridica esplicita nel diritto nazionale contenente norme chiare e precise tali da disciplinare l’esercizio delle suddette funzioni e senza che sia garantito che tale proroga sia, in pratica, limitata nel tempo. L’articolo 2 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che la divulgazione a un organo giudiziario di dati personali protetti dal segreto bancario e che riguardano magistrati nonché i loro familiari, ai fini della verifica delle dichiarazioni di tali magistrati – oggetto di pubblicazione – relative al loro patrimonio nonché a quello dei loro familiari, costituisce un trattamento di dati personali rientrante nell’ambito di applicazione materiale di tale regolamento. L’articolo 4, punto 7, del regolamento 2016/679 deve essere interpretato nel senso che un giudice competente ad autorizzare, su richiesta di un altro organo giudiziario, la divulgazione da parte di una banca a tale organo di dati relativi ai conti bancari dei magistrati e dei loro familiari non può essere qualificato come titolare di tale trattamento ai sensi della suddetta disposizione. L’articolo 51 del regolamento 2016/679 deve essere interpretato nel senso che un giudice competente ad autorizzare la divulgazione di dati personali a un altro organo giudiziario non costituisce un’autorità di controllo, ai sensi di tale articolo, nel caso in cui tale giudice non sia incaricato dallo Stato membro cui appartiene di controllare l’applicazione di tale regolamento al fine di tutelare, in particolare, le libertà e i diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali. L’articolo 79, paragrafo 1, del regolamento 2016/679, letto alla luce dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che un giudice competente ad autorizzare la divulgazione di dati personali a un altro organo giudiziario non è tenuto, qualora non sia investito di un ricorso ai sensi di tale disposizione, a garantire d’ufficio la protezione delle persone i cui dati sono oggetto di attenzione per quanto riguarda il rispetto delle disposizioni di tale regolamento relative alla sicurezza dei dati personali, anche qualora sia noto che tale organo ha commesso, in passato, una violazione di queste ultime disposizioni”.  

Scarica l’articolo

 
[1] GUUE L 119 del 04.05.2016. [2] L’articolo 62 dello ZKI al paragrafo 6 punto 12 dispone: “… L’autorità giudiziaria può altresì ordinare la divulgazione di informazioni di cui al paragrafo 2, su richiesta: (…)
  1. dell’ispettore generale o di un ispettore dell’Ispettorato…”.
[3] L’articolo 19 TUE al paragrafo 2 dispone: “… La Corte di giustizia è composta da un giudice per Stato membro. È assistita da avvocati generali. Il Tribunale è composto da almeno un giudice per Stato membro. I giudici e gli avvocati generali della Corte di giustizia e i giudici del Tribunale sono scelti tra personalità che offrano tutte le garanzie di indipendenza e che soddisfino le condizioni richieste agli articoli 253 e 254 del trattato sul funzionamento dell’Unione europea. Sono nominati di comune accordo dai governi degli Stati membri per sei anni. I giudici e gli avvocati generali uscenti possono essere nuovamente nominati…”. [4] L’articolo 47 della Carta, intitolato “Diritto a un ricorso effettivo e a un giudice imparziale”, dispone: “… Ogni persona i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo. Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare. A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato, qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia…”. [5] CGUE 18.05.2021, Cause riunite C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 e C‑397/19, Asociaţia «Forumul Judecătorilor din România» e a., punto 196; CGUE 20.04.2021, Causa C‑896/19, Repubblika, punto 53. [6] CGUE 11.05.2023, Causa C‑817/21, Inspecţia Judiciară, punto 48; CGUE 18.05.2021, Cause riunite C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 e C‑397/19, Asociaţia «Forumul Judecătorilor din România» e a., punto 198. [7] CGUE 11.05.2023, Causa C‑817/21, Inspecţia Judiciară, punti 50-51. [8] L’articolo 2 GDPR, intitolato “Ambito di applicazione materiale”, ai paragrafi 1-2 dispone: “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 2.   Il presente regolamento non si applica ai trattamenti di dati personali:
  1. a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  2. b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
  3. c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  4. d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse…”.
[9] CGUE 05.06.2023, Causa C‑204/21, Commissione/Polonia (Indipendenza e vita privata dei giudici), punti 317-318; CGUE 08.12.2022, Causa C‑180/21, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale), punto 79; CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punti 66-67. [10] CGUE 05.06.2023, Causa C‑204/21, Commissione/Polonia (Indipendenza e vita privata dei giudici), punto 319. [11] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 7 dispone: “… Ai fini del presente regolamento s’intende per: (…) 7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri…”. [12] CGUE 27.02.2025, Causa C‑638/23, Amt der Tiroler Landesregierung, punto 27. [13] Ibidem, punto 28. [14] L’articolo 51 GDPR, intitolato “Autorità di controllo”, dispone: “Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»). Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII. Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l’autorità di controllo che rappresenta tali autorità nel comitato e stabilisce il meccanismo in base al quale le altre autorità si conformano alle norme relative al meccanismo di coerenza di cui all’articolo 63. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capo al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica…”. [15] L’articolo 32 GDPR, intitolato “Sicurezza del trattamento”, al paragrafo 1 lettera b) dispone: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: (…)
  1. b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento…”.
[16] L’articolo 57 GDPR, intitolato “Compiti”, al paragrafo 1 lettera a) dispone: “Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
  1. a) sorveglia e assicura l’applicazione del presente regolamento…”.
[17] L’articolo 79 GDPR, intitolato “Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento”, al paragrafo 1 dispone: “Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento…”. [18] L’articolo 32 GDPR, intitolato “Sicurezza del trattamento”, al paragrafo 1 dispone: “… Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
  1. a) la pseudonimizzazione e la cifratura dei dati personali;
  2. b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento…”.
[19] CGUE 28.11.2024, Causa C‑169/23, Másdi, punto 71; CGUE 14.12.2023, Causa C‑340/21, Natsionalna agentsia za prihodite, punti 43-45.