Edizione provvisoria

SENTENZA DELLA CORTE (Quinta Sezione)

4 giugno 2026 (*)

« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Regolamento (UE) 2016/679 – Direttiva (UE) 2016/680 – Ambiti di applicazione – Trattamento dei dati raccolti nel corso di un’indagine condotta contro un poliziotto in qualità di indagato di un reato – Registrazione dei dati relativi a tale indagine nel fascicolo personale del poliziotto – Liceità del trattamento – Articolo 6, paragrafo 1, primo comma, lettera c), e articolo 6, paragrafo 3, di tale regolamento – Trattamento necessario per adempiere un obbligo legale – Base giuridica del trattamento – Articolo 17 di detto regolamento – Diritto alla cancellazione »

Nella causa C-312/24 [Darashev] (i),

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Sofiyski rayonen sad (Tribunale distrettuale di Sofia, Bulgaria), con decisione del 30 gennaio 2024, pervenuta in cancelleria il 29 aprile 2024, nel procedimento

CL

contro

Prokuratura na Republika Bulgaria,

LA CORTE (Quinta Sezione),

composta da M. L. Arastey Sahún, presidente di sezione, J. Passer, E. Regan (relatore), D. Gratsias e B. Smulders, giudici,

avvocato generale: M. Szpunar

cancelliere: R. Stefanova-Kamisheva, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza del 21 maggio 2025,

considerate le osservazioni presentate:

– per il governo bulgaro, da T. Mitova, S. Ruseva e R. Stoyanov, in qualità di agenti;

– per il governo ungherese, da Zs. Biró-Tóth e M. Z. Fehér, in qualità di agenti;

– per la Commissione europea, da A. Bouchagiar, G. Koleva e H. Kranenborg, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 4 settembre 2025,

ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 1 della direttiva 2000/78/CE del Consiglio, del 27 novembre 2000, che stabilisce un quadro generale per la parità di trattamento in materia di occupazione e di condizioni di lavoro (GU 2000, L 303, pag. 16), dell’articolo 2, paragrafo 1, dell’articolo 4, punti 2 e 6, dell’articolo 9, paragrafo 2, lettera b), nonché dell’articolo 17, paragrafo 1, lettere a) e d), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3, e GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»), dell’articolo 3, punti 1 e 2, dell’articolo 9, paragrafo 1, e dell’articolo 16, paragrafo 2, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89), nonché dell’articolo 52 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).

2 Tale domanda è stata presentata nell’ambito di una controversia tra CL e la Prokuratura na Republika Bulgaria (procura della Repubblica di Bulgaria; in prosieguo: la «Procura») vertente sul risarcimento chiesto da CL per il danno che egli asserisce di aver subito a causa, da un lato, delle attività di indagine cui è stato assoggettato nell’ambito di un’indagine penale che lo riguardava e, dall’altro, delle conseguenze di quest’ultima.

Contesto normativo

Diritto dell’Unione

Direttiva 2000/78

3 L’articolo 1 della direttiva 2000/78, intitolato «Obiettivo», prevede quanto segue:

«La presente direttiva mira a stabilire un quadro generale per la lotta alle discriminazioni fondate sulla religione o le convinzioni personali, gli handicap, l’età o le tendenze sessuali, per quanto concerne l’occupazione e le condizioni di lavoro al fine di rendere effettivo negli Stati membri il principio della parità di trattamento».

Il RGPD

4 I considerando 4, 10, 19, 39, 41, 65 e 66 del RGPD enunciano quanto segue:

«(4) (…) Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare (…)

(…)

(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea] il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (…)

(…)

(19) (…)

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. (…)

(…)

(39) (…) I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. (…)

(…)

(41) Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell’Unione europea (…) e della Corte europea dei diritti dell’uomo.

(…)

(65) Un interessato dovrebbe avere il diritto di ottenere la rettifica dei dati personali che l[o] riguardano e il “diritto all’oblio” se la conservazione di tali dati violi il presente regolamento o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. In particolare, l’interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando (…) si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. (…) Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria (…) per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento (…)

(66) Per rafforzare il “diritto all’oblio” nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali. (…)».

5 L’articolo 1 del RGPD, intitolato «Oggetto e finalità», al paragrafo 2 prevede quanto segue:

«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

6 L’articolo 2 RGPD, rubricato «Ambito di applicazione materiale», dispone quanto segue:

«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Il presente regolamento non si applica ai trattamenti di dati personali:

(…)

d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

(…)».

7 L’articolo 4 RGPD, intitolato «Definizioni», è formulato come segue:

«Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (…); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(…)

6) “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

(…)».

8 L’articolo 5 RGPD, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1 prevede quanto segue:

«I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

(…)

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);

(…)».

9 Ai sensi dell’articolo 6 RGPD, rubricato «Liceità del trattamento»:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(…)

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

(…)

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

(…)».

10 L’articolo 9 RGPD, rubricato «Trattamento di categorie particolari di dati personali», dispone quanto segue:

«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

(…)

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

(…)».

11 L’articolo 10 RGPD, intitolato «Trattamento dei dati personali relativi a condanne penali e reati», prevede quanto segue:

«Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. (…)».

12 L’articolo 17 RGPD, rubricato «Diritto alla cancellazione (“diritto all’oblio”)», è formulato come segue:

«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

(…)

d) i dati personali sono stati trattati illecitamente;

(…)

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

(…)

b) per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

(…)».

Direttiva 2016/680

13 I considerando 11 e 12 della direttiva 2016/680 enunciano quanto segue:

«(11) È pertanto opportuno per i settori in questione che una direttiva stabilisca le norme specifiche relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. Tali autorità competenti possono includere non solo autorità pubbliche quali le autorità giudiziarie, la polizia o altre autorità incaricate dell’applicazione della legge, ma anche qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici ai fini della presente direttiva. Qualora tale organismo o entità trattino dati personali per finalità diverse da quelle della presente direttiva, si applica il [RGPD]. Il [RGPD] si applica pertanto nei casi in cui un organismo o un’entità raccolgano dati personali per finalità diverse e procedano a un loro ulteriore trattamento per adempiere un obbligo legale cui sono soggetti. (…)

(12) Le attività svolte dalla polizia o da altre autorità preposte all’applicazione della legge vertono principalmente sulla prevenzione, l’indagine, l’accertamento o il perseguimento di reati, comprese le attività di polizia condotte senza previa conoscenza della rilevanza penale di un fatto. (…) Esse comprendono anche il mantenimento dell’ordine pubblico quale compito conferito alla polizia o ad altre autorità incaricate dell’applicazione della legge ove necessario per la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica e agli interessi fondamentali della società tutelati dalla legge che possono dar luogo a reati. (…)».

14 L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», al paragrafo 1 prevede quanto segue:

«La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».

15 L’articolo 2 di detta direttiva, rubricato «Ambito di applicazione», al paragrafo 1 dispone quanto segue:

«La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1».

16 Ai sensi dell’articolo 3 della medesima direttiva, intitolato «Definizioni»:

«Ai fini della presente direttiva si intende per:

1. “dati personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (…); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;

2. “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(…)

7. “autorità competente”:

a) qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; o

(…)

8. “titolare del trattamento”: l’autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o dello Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell’Unione o dello Stato membro;

(…)».

17 L’articolo 9 della direttiva 2016/680, intitolato «Condizioni di trattamento specifiche» dispone quanto segue:

«1. I dati personali raccolti dalle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1, non possono essere trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1, a meno che tale trattamento non sia autorizzato dal diritto dell’Unione o dello Stato membro. Qualora i dati personali siano trattati per tali finalità diverse, si applica il [RGPD], a meno che il trattamento non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.

2. Qualora il diritto dello Stato membro affidi alle autorità competenti l’esecuzione di compiti diversi da quelli eseguiti per le finalità di cui all’articolo 1, paragrafo 1, [il RGPD] si applica al trattamento per tali finalità, comprese quelle di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per finalità statistiche, a meno che il trattamento non sia effettuato nel contesto di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.

(…)».

18 L’articolo 10 di tale direttiva prevede le condizioni relative al trattamento di categorie particolari di dati personali.

19 L’articolo 16 di detta direttiva, intitolato «Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento», al paragrafo 2 dispone quanto segue:

«Gli Stati membri impongono al titolare del trattamento di cancellare i dati personali senza ingiustificato ritardo e stabiliscono il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione di dati personali che lo riguardano senza ingiustificato ritardo qualora il trattamento violi le disposizioni adottate a norma degli articoli 4, 8 o 10 o qualora i dati personali debbano essere cancellati per conformarsi a un obbligo legale al quale è soggetto il titolare del trattamento».

Diritto bulgaro

20 Lo zakon za otgovornostta na darzhavata i obshtinite za vredi (legge in materia di responsabilità dello Stato e dei comuni per i danni) (DV n. 60, del 5 agosto 1988), nella versione applicabile al procedimento principale, all’articolo 2, paragrafo 1, punti 2 e 3, prevede quanto segue:

«Lo Stato è responsabile dei danni causati ai cittadini dalle autorità investigative, dal pubblico ministero o dai giudici in caso di: (…) 2. violazione dei diritti tutelati dall’articolo 5, paragrafi da 2 a 4, della Convenzione; 3. accusa di aver commesso un reato, se la persona è assolta o se il procedimento penale si è concluso per il fatto che l’atto non è stato commesso dall’interessato o che l’atto commesso non costituisce reato o che il procedimento penale è stato avviato dopo la prescrizione o l’amnistia; (…)».

21 Lo zakon za ministerstvoto na vatreshnite raboti (legge che disciplina il Ministero dell’Interno) (DV n. 53, del 27 giugno 2014), nella versione applicabile al procedimento principale (in prosieguo: lo «ZMVR»), all’articolo 2, paragrafo 1, dispone quanto segue:

«Le attività del Ministero dell’Interno mirano a tutelare i diritti e le libertà dei cittadini, a lottare contro la criminalità, a proteggere la sicurezza nazionale, a salvaguardare l’ordine pubblico, a garantire la protezione antincendio e a proteggere la popolazione».

22 L’articolo 26, paragrafo 2, ZMVR è formulato come segue:

«I termini di conservazione dei dati di cui al paragrafo 1 o di verifica periodica della necessità della loro conservazione sono stabiliti dal Ministro dell’Interno. Tali dati sono cancellati anche in esecuzione di una sentenza o di una decisione della Commissione per la protezione dei dati [personali]».

23 Ai sensi dell’articolo 29, paragrafi 1 e 2, ZMVR:

«(1) Il titolare del trattamento dei dati personali è il Ministro dell’Interno, che può affidare il trattamento dei dati personali a funzionari di sua designazione. (2) Le modalità del trattamento di dati personali sono stabilite con circolare del Ministro dell’Interno».

24 L’articolo 147 ZMVR prevede quanto segue:

«(1) È costituito e tenuto un fascicolo personale per ciascun agente del Ministero dell’Interno; (2) Le modalità di costituzione, gestione e conservazione dei fascicoli personali nonché le modalità del loro utilizzo sono stabilite con circolare del Ministro dell’Interno».

25 L’articolo 150 ZMVR così dispone:

«(1) Il Ministro dell’Interno stabilisce un Codice deontologico degli agenti del Ministero dell’Interno, pubblicato nella Gazzetta ufficiale [bulgara]; (2) Gli agenti sono tenuti a rispettare le norme definite dal Codice deontologico degli agenti del Ministero dell’Interno».

26 Ai sensi dell’articolo 155, paragrafi 1 e 4, ZMVR:

«(1) Un agente del Ministero dell’Interno è una persona fisica abilitata all’esercizio delle sue funzioni, che soddisfa le seguenti condizioni: (…) 2. non essere stata condannata per un reato doloso di diritto comune, anche se riabilitata; 3. non essere stata imputata o accusata di un reato doloso ordinario; (…)

(…)

(4) Le circostanze di cui al paragrafo 1, punto 2, sono accertate d’ufficio dall’autorità che ha il potere di nomina».

27 Lo zakon za zashtita na lichnite danni (legge in materia di protezione dei dati personali) (DV n. 1, del 4 gennaio 2002), nella versione applicabile al procedimento principale (in prosieguo: lo «ZZLD»), all’articolo 6, paragrafi 1 e 2, dispone quanto segue:

«(1) La Commissione per la protezione dei dati personali (…) è un’autorità di controllo indipendente e permanente che garantisce la protezione delle persone al momento del trattamento dei loro dati personali e dell’accesso a tali dati, nonché il controllo del rispetto [del RGPD] e della presente legge; (2) la Commissione [per la protezione dei dati personali] collabora all’attuazione della politica statale in materia di protezione dei dati personali».

28 L’articolo 42 ZZLD è così formulato:

«(1) Le norme del presente capo si applicano al trattamento di dati personali effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce all’ordine pubblico e alla sicurezza pubblica e la prevenzione dli tali minacce. (2) I dati personali raccolti per le finalità di cui al paragrafo 1 non sono trattati per finalità diverse, salvo quanto altrimenti disposto dal diritto dell’Unione o dalle leggi della Repubblica di Bulgaria. (3) Qualora le autorità competenti di cui al paragrafo 1 trattino i dati personali per finalità diverse da quelle di cui al paragrafo 1 e nei casi previsti al paragrafo 2 si applicano [il RGPD] e le disposizioni rilevanti della presente legge che attuano tale regolamento. (4) Le autorità competenti di cui al paragrafo 1 sono le autorità pubbliche titolari di poteri di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione di tali minacce. (5) Salvo che la legge disponga altrimenti, il titolare del trattamento, ai sensi del presente capo, al momento del trattamento di dati personali per le finalità di cui al paragrafo 1 è un’autorità competente ai sensi del paragrafo 4 o l’organo amministrativo di cui tale autorità fa parte che, singolarmente o in cooperazione con altre autorità, determina le finalità e i mezzi del trattamento di dati personali».

29 L’articolo 43 ZZLD prevede quanto segue:

«Le regole del presente capo si applicano al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

30 Ai sensi dell’articolo 46 ZZLD:

«(1) Qualora i termini per la cancellazione dei dati personali o per la verifica periodica della necessità della loro conservazione non siano stabiliti dalla legge, essi sono stabiliti dal titolare del trattamento; (2) La verifica periodica di cui al paragrafo 1 è documentata e la decisione di continuare a conservare i dati è motivata».

31 La circolare n. 8121z-532, del 9 settembre 2014, relativa alla redazione, alla tenuta, alla conservazione e all’uso dei fascicoli personali degli agenti del Ministero dell’Interno (DV n. 78, del 19 settembre 2014, modificata e integrata al DV n. 27, del 14 aprile 2015, modificata e integrata al DV n. 53, del 25 giugno 2021) (in prosieguo: la «circolare sui fascicoli personali»), all’articolo 3 dispone quanto segue:

«I fascicoli personali sono costituiti e conservati dall’unità delle “risorse umane” delle strutture interessate, numerati in ordine crescente, descritti in un repertorio (…) e conservati in locali (archivi) rispondenti ai requisiti di conservazione del materiale contenente informazioni riservate».

32 L’articolo 5 della circolare sui fascicoli personali è formulato come segue:

«(1) Il trattamento di dati personali che figurano nei fascicoli personali è effettuato conformemente alle disposizioni dello zakon za zashtita na klasifitsiranata informatsia (…) [(legge in materia di protezione delle informazioni riservate)], dello [ZZLD] e del [RGPD]; (2) Il trattamento delle informazioni conservate nei fascicoli personali è effettuato ai fini: 1. dell’inizio, cambiamento e cessazione del rapporto di lavoro o di servizio degli agenti; 2. dell’esecuzione del contratto di lavoro, compresa l’esecuzione degli obblighi stabiliti dalla legge o dai contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, di uguaglianza e diversità sul luogo di lavoro, di salute e sicurezza sul lavoro, di protezione dei beni del datore di lavoro o del dipendente; 3. di esercizio e godimento, su base individuale o collettiva, dei diritti e dei vantaggi dell’impiego lavorativo; 4. di archiviazione nell’interesse pubblico a fini di ricerca scientifica o storica o a fini statistici; (3) L’accesso alle informazioni conservate nei fascicoli personali è limitato ed effettuato nel rispetto delle disposizioni [della legge sulla protezione delle informazioni riservate], dello [ZZLD] e del [RGPD]».

33 L’articolo 6 della circolare sui fascicoli personali prevede quanto segue:

«(1) Nei fascicoli personali sono raccolti e conservati documenti classificati in tre sezioni contenenti dati e informazioni sullo studio, la nomina, la conclusione di contratti di lavoro, il mutamento di funzioni e la cessazione dalle funzioni degli agenti. (2) La prima sezione contiene documenti relativi all’ingresso presso il Ministero dell’Interno. (3) La seconda sezione contiene documenti relativi all’evoluzione professionale (dichiarazioni, verbali, proposte, rapporti informativi, schede personali, certificati delle formazioni seguite, documenti di partecipazione a concorsi, controlli di sicurezza, copie di certificati di congedo per malattia, ecc.). (4) La terza sezione contiene documenti relativi al mutamento di funzioni [decisioni, atti di entrata e cessazione dalle funzioni, documenti relativi a procedimenti disciplinari, contratti di lavoro, accordi complementari, notifiche di cui all’articolo 62 del Kodeks na truda (codice del lavoro), ecc.]».

Procedimento principale e questioni pregiudiziali

34 Tra il 2012 e il 2023, il ricorrente nel procedimento principale ha ricoperto diverse funzioni in qualità di agente di polizia presso la direzione generale «Polizia di sicurezza» e la direzione generale «Polizia nazionale» del Ministero dell’Interno bulgaro.

35 Il 1º marzo 2016 è stata avviata un’indagine dalla direzione «Sicurezza interna» di tale ministero, a carico di ignoti, per un reato di rapina in concorso.

36 Il 17 maggio 2016 si è tenuta una riunione generale di tutti i poliziotti della direzione in cui il ricorrente nel procedimento principale esercitava le sue funzioni. Hanno preso parte a tale riunione anche il capo della sezione in questione, un rappresentante di tale direzione «Sicurezza interna», un pubblico ministero della Sofiyska gradska prokuratura (Procura della città di Sofia, Bulgaria) e un investigatore. Durante la riunione il ricorrente nel procedimento principale è stato pubblicamente sottoposto a fermo ed obbligato a consegnare il suo distintivo, la sua arma e la sua tessera di servizio.

37 Nell’ambito dell’indagine di cui trattasi il ricorrente nel procedimento principale è stato assoggettato, in qualità di indagato, a diverse attività di indagine, vale a dire una perquisizione, un rilevamento di impronte digitali e, a seguito di apposita autorizzazione giudiziaria, una perquisizione del suo domicilio che ha portato a un sequestro. Egli è stato sottoposto a una ricognizione di persone nel corso della quale non è stato identificato dalle vittime come l’autore del reato e nessuna delle sue impronte è stata rinvenuta sugli oggetti delle vittime. Trascorse 24 ore di fermo il ricorrente nel procedimento principale è stato rilasciato e, successivamente, non è stato né imputato né accusato del reato di rapina. Poiché non è stato possibile identificare l’autore del reato, l’indagine è stata sospesa.

38 Il ricorrente nel procedimento principale ha continuato ad esercitare le sue funzioni presso il Ministero dell’Interno e ha partecipato a concorsi al fine di ottenere una promozione, che gli è stata negata in quanto era stato sottoposto a fermo in qualità di indagato nell’ambito dell’indagine condotta per rapina. Nel suo fascicolo personale e negli archivi di tale ministero figurano informazioni relative al suo assoggettamento a fermo e le attività di indagine cui è stato assoggettato in qualità di indagato.

39 Il ricorrente nel procedimento principale ha proposto ricorso dinanzi al Sofiyski rayonen sad (Tribunale distrettuale di Sofia, Bulgaria), giudice del rinvio, affinché la Procura sia condannata al versamento di un risarcimento del danno morale che gli è stato causato dalle attività cui è stato assoggettato nell’ambito dell’indagine di cui trattasi nonché dalle conseguenze che ne sono derivate. Egli sostiene di aver subito un danno morale per il fatto che, dipendente del Ministero dell’Interno da molti anni, è stato assoggettato a fermo dinanzi ai suoi colleghi per un reato di cui non è stato dimostrato che egli fosse stato l’autore. Tale misura umiliante costituirebbe un ostacolo al suo avanzamento di carriera e rileva, al riguardo, che il suo datore di lavoro, che ha fatto eseguire il suo fermo, conserverebbe una banca dati che menzionerebbe tale indagine e il suo nome come indagato e rifiuterebbe di rimuovere o cancellare tali dati.

40 Dalla decisione di rinvio risulta che, conformemente alla giurisprudenza del Varhoven kasatsionen sad na Republika Balgaria (Corte suprema di cassazione della Repubblica di Bulgaria), un indagato nei cui confronti non sia stata esercitata l’azione penale e che abbia beneficiato di una decisione di archiviazione ha diritto a un risarcimento.

41 Il giudice del rinvio precisa che il Ministero dell’Interno è un’autorità amministrativa unica, il cui compito è garantire il mantenimento dell’ordine pubblico, che si compone di diverse direzioni, tra cui quelle della «Polizia nazionale» e della «Polizia di sicurezza» che intervengono a titolo di tutela dell’ordine pubblico, nonché quella della «Sicurezza interna», che svolge le indagini riguardanti i dipendenti di tale ministero, indipendentemente dal tipo di reato contestato e dalla loro unità di assegnazione.

42 In quanto autorità amministrativa unica, il Ministero dell’Interno è il datore di lavoro di tutti gli agenti che ivi esercitano le loro funzioni, ma ogni direzione che lo compone conserva le informazioni relative ai propri agenti e le registra nel fascicolo personale di questi ultimi. In occasione della partecipazione a concorsi per ottenere una promozione o un trasferimento, il dipendente interessato deve comunicare il suo fascicolo personale nonché informazioni relative al modo in cui egli ha adempiuto ai suoi obblighi e vertenti sull’eventualità che egli sia stato indagato o accusato di un reato, assoggettato ad azione penale o abbia commesso un illecito disciplinare o un reato contro l’ordine pubblico. Le informazioni ottenute mediante un’indagine sono conservate nel fascicolo personale.

43 In primo luogo, il giudice del rinvio chiede se il RGPD si applichi a casi come quello di cui trattasi nel procedimento principale, vale a dire quando è interessata un’unica e medesima struttura organizzativa nella quale una parte svolge le funzioni di datore di lavoro mentre un’altra esegue funzioni di autorità inquirente nell’ambito di un procedimento penale.

44 In secondo luogo, in caso di risposta in senso affermativo, tale giudice chiede se il fatto di conservare informazioni come quelle di cui al punto 42 della presente sentenza nel fascicolo personale di un dipendente costituisca un «trattamento di dati personali», ai sensi dell’articolo 4, punto 2, RGPD, e se tale fascicolo costituisca un «archivio», ai sensi dell’articolo 4, punto 6, RGPD. Si porrebbe anche la questione se la conservazione di tali dati rientri nell’ambito di applicazione dell’articolo 9, paragrafo 2, lettera b), RGPD.

45 In terzo luogo, il giudice del rinvio chiede se il Ministero dell’Interno, in qualità di datore di lavoro, possa negare un avanzamento di carriera a un suo dipendente per il solo motivo che quest’ultimo ha rivestito la qualità di indagato, imputato o accusato e qualora il procedimento penale sia stato alla fine sospeso. Sebbene sia noto che il personale del Ministero dell’Interno, che vigila sul rispetto dell’ordine pubblico, deve soddisfare criteri morali ed etici più elevati di altre categorie di dipendenti o lavoratori, tale giudice tuttavia nutre dubbi sulla questione se le modalità relative al trattamento dei dati nel fascicolo personale dei dipendenti di tale ministero relativi alla qualità di indagato, imputato o accusato siano proporzionate agli obblighi gravanti su tale tipo di dipendenti. Infatti solo una condanna passata in giudicato costituirebbe, secondo detto giudice, un motivo valido per risolvere unilateralmente il contratto di lavoro di un dipendente.

46 In quarto luogo, il giudice del rinvio chiede se il principio del «diritto all’oblio», previsto all’articolo 17, paragrafo 1, lettera a), RGPD, letto alla luce dei considerando 65 e 66 di quest’ultimo, debba essere interpretato nel senso che i dati del fascicolo personale di un dipendente devono essere cancellati, se sono stati raccolti da un’unità del datore di lavoro, diversa da quella cui egli appartiene, incaricata di condurre l’indagine e se menzionano che tale dipendente è stato indagato, accusato di un reato o assoggettato ad azione penale. Tale giudice nutre altresì dubbi, in tale contesto, quanto alla portata della nozione di «trattamento illecito», ai sensi dell’articolo 17, paragrafo 1, lettera d), RGPD.

47 In quinto luogo, il giudice del rinvio si interroga sull’applicabilità alla situazione di cui trattasi nel procedimento principale delle disposizioni della direttiva 2016/680 e, in caso di risposta in senso affermativo, sulla liceità e proporzionalità della conservazione dei dati di cui trattasi nel procedimento principale alla luce dell’articolo 9, paragrafo 1, e dell’articolo 10 di tale direttiva nonché sulla cancellazione di tali dati in forza dell’articolo 16, paragrafo 2, di quest’ultima.

48 In sesto e ultimo luogo, tale giudice sottolinea che il ricorrente nel procedimento principale si è presentato a concorsi al fine di ottenere una promozione e un trasferimento e che, nonostante la sua classificazione nei primi posti, egli non è stato selezionato a causa della sua qualità di indagato nell’ambito dell’indagine per rapina. In tale contesto esso formula la questione se la conservazione di dati personali da parte di un’autorità amministrativa unica, come il Ministero dell’Interno, costituisca una forma di discriminazione, ai sensi dell’articolo 1 della direttiva 2000/78.

49 In tali circostanze, il Sofiyski rayonen sad (Tribunale distrettuale di Sofia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l’articolo 2, paragrafo 1, RGPD debba essere interpretato nel senso che un trattamento dei dati comprende le attività di uno stesso servizio nel quale una parte delle direzioni svolge le funzioni di datore di lavoro, mentre una sola altra direzione opera in qualità di autorità inquirente in procedimenti penali nei confronti di dipendenti delle altre direzioni. In caso di risposta in senso affermativo:

2) Se l’espressione “trattamento di dati personali”, di cui all’articolo 4, punto 2, RGPD, debba essere interpretata nel senso che in essa rientra un’attività nell’ambito della quale nel fascicolo personale di un dipendente vengono inserite informazioni su quest’ultimo che il datore di lavoro ha ottenuto tramite la direzione che opera in qualità di autorità inquirente.

3) Se il termine “archivio”, di cui all’articolo 4, punto 6, RGPD, debba essere interpretato nel senso che esso comprende un fascicolo personale di un dipendente o di un lavoratore impiegato presso una direzione del datore di lavoro, qualora le informazioni siano state raccolte da un’altra direzione dello stesso datore di lavoro nella sua qualità di autorità inquirente.

4) Se l’articolo 9, paragrafo 2, lettera b), RGPD debba essere interpretato nel senso che un servizio di un datore di lavoro può raccogliere e conservare i dati relativi allo status di indagato/accusato/imputato acquisito da un dipendente in un procedimento penale, qualora tali informazioni siano state ottenute da un altro servizio dello stesso datore di lavoro nella sua qualità di autorità inquirente.

5) Se il “diritto all’oblio”, di cui all’articolo 17, paragrafo 1, lettera a), RGPD, debba essere interpretato nel senso che un datore di lavoro deve cancellare dal fascicolo personale del dipendente tutti i dati raccolti e conservati da un’altra delle sue direzioni, nella qualità di autorità inquirente nei confronti di un suo dipendente, riguardanti

– lo status di indagato/accusato/imputato rispetto ad un reato perseguito in un procedimento penale pendente;

– lo status di indagato/accusato/imputato rispetto ad un reato per il quale il procedimento penale è stato sospeso o interrotto.

6) Se i dati personali “trattati illecitamente”, ai sensi dell’articolo 17, paragrafo 1, lettera d), RGPD, debbano essere interpretati come dati ottenuti, raccolti e conservati dal datore di lavoro tramite un altro dei suoi servizi che svolge funzioni inquirenti in procedimenti penali avviati nei confronti di dipendenti di altri servizi dello stesso datore di lavoro, qualora tali dati siano conservati nel fascicolo personale e riguardino la circostanza che il dipendente abbia acquisito lo status di indagato/accusato/imputato rispetto ad un reato, e precisamente:

– sia indagato/accusato/imputato rispetto ad un reato perseguito in un procedimento penale pendente;

– sia indagato/accusato/imputato rispetto ad un reato per il quale il procedimento penale è stato sospeso o interrotto.

7) Se la nozione di “dati personali”, di cui all’articolo 3, punto 1, della [direttiva 2016/680] in combinato disposto con l’articolo 52 della [Carta], debba essere interpretata nel senso che essa riguarda i dati ottenuti, raccolti e conservati dal datore di lavoro tramite uno dei suoi servizi nella qualità di autorità inquirente in un procedimento penale avviato nei confronti di un dipendente che esercita le sue funzioni presso un altro servizio dello stesso datore di lavoro.

8) Se la nozione di “trattamento”, di cui all’articolo 3, punto 2, della [direttiva 2016/680], in combinato disposto con l’articolo 52 della [Carta], debba essere interpretata nel senso che essa include un’attività di conservazione dei dati nel fascicolo personale del dipendente da parte del datore di lavoro, dati che quest’ultimo ha ottenuto, raccolto e conservato tramite uno dei suoi servizi nella qualità di autorità inquirente in un procedimento penale avviato nei confronti di un dipendente che esercita le sue funzioni presso un altro servizio dello stesso datore di lavoro.

9) Se l’articolo 9, paragrafo 1, della [direttiva 2016/680], in combinato disposto con l’articolo 52 della [Carta], debba essere interpretato nel senso che esso consente al datore di lavoro di raccogliere e conservare informazioni riguardanti un dipendente indagato/accusato/imputato, laddove il datore di lavoro abbia ottenuto tali informazioni tramite un altro dei suoi servizi nella qualità di autorità inquirente in un procedimento penale avviato nei confronti di detto dipendente.

10) Se l’articolo 16, paragrafo 2, della [direttiva 2016/680], in combinato disposto con l’articolo 52 della [Carta], debba essere interpretato nel senso che il datore di lavoro è tenuto a cancellare dal fascicolo personale del dipendente i dati ottenuti e conservati tramite un altro dei suoi servizi nella qualità di autorità inquirente in un procedimento penale avviato nei confronti di detto dipendente e che riguardano il fatto che il dipendente:

– sia indagato/accusato/imputato rispetto ad un reato perseguito in un procedimento penale pendente;

– sia indagato/accusato/imputato rispetto ad un reato per il quale il procedimento penale è stato sospeso o interrotto.

11) Se l’articolo 1 della [direttiva 2000/78] debba essere interpretato nel senso che esso non consente ad un datore di lavoro, un servizio del quale compia attività d’indagine nei confronti di un dipendente di un altro servizio, di negare l’avanzamento in carriera unicamente sulla base del fatto che detto dipendente:

– sia indagato/accusato/imputato rispetto ad un reato perseguito in un procedimento penale pendente;

– sia indagato/accusato/imputato rispetto ad un reato per il quale il procedimento penale è stato sospeso o interrotto».

Sulle questioni pregiudiziali

Sulla ricevibilità

50 Il governo bulgaro sostiene che tutte le questioni pregiudiziali sono manifestamente irricevibili.

51 Tale governo afferma che la domanda di risarcimento del danno è volta unicamente contro la Procura, che fa parte del potere giudiziario, mentre solo il Ministero dell’Interno, che rientra nel potere esecutivo e che è il datore di lavoro del ricorrente nel procedimento principale, detiene le informazioni che figurano nel fascicolo personale di quest’ultimo. Tale ricorrente non potrebbe quindi né chiedere alla Procura la cancellazione dei suoi dati né considerarla responsabile del fatto che il Ministero dell’Interno detenga tali informazioni né addebitarle di aver ostacolato il suo avanzamento di carriera.

52 Detto governo rileva che, perché sussista una responsabilità della Procura, il giudice del rinvio deve determinare, conformemente alla normativa nazionale sulla responsabilità dello Stato, se i diritti dell’interessato, in quanto accusato, siano stati violati e se egli sia stato ingiustamente accusato di un reato. Il procedimento principale non avrebbe ad oggetto né l’applicazione di disposizioni del RGPD né quella della normativa nazionale di recepimento delle direttive 2016/680 e 2000/78. L’interpretazione di tali atti del diritto dell’Unione non sarebbe quindi necessaria per risolvere questa controversia.

53 A tale riguardo, risulta da una costante giurisprudenza della Corte che le questioni relative all’interpretazione del diritto dell’Unione sollevate dal giudice nazionale nel contesto di diritto e di fatto che egli individua sotto la propria responsabilità, e del quale non spetta alla Corte verificare l’esattezza, godono di una presunzione di rilevanza. Il rifiuto della Corte di statuire su una domanda di pronuncia pregiudiziale, presentata da un giudice nazionale, è possibile solo qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con la realtà effettiva o con l’oggetto del procedimento principale, qualora il problema sia di natura teorica oppure qualora la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere in modo utile alle questioni che le vengono sottoposte (v. sentenza dell’8 maggio 2025, Stadt Wuppertal, C-130/24, EU:C:2025:340, punto 42 e giurisprudenza citata).

54 Peraltro, occorre ricordare che non spetta alla Corte pronunciarsi sull’interpretazione delle disposizioni nazionali né giudicare se l’interpretazione o l’applicazione che ne dà il giudice nazionale sia corretta, poiché una siffatta interpretazione rientra nella competenza esclusiva di quest’ultimo [sentenza del 4 ottobre 2024, Bezirkshauptmannschaft Landeck (Tentativo di accesso ai dati personali memorizzati in un telefono cellulare), C-548/21, EU:C:2024:830, punto 53 e giurisprudenza citata].

55 Nell’ambito della ripartizione delle competenze tra i giudici dell’Unione e i giudici nazionali la Corte è tenuta quindi a prendere in considerazione il contesto materiale e normativo nel quale si inseriscono le questioni pregiudiziali così come definito dalla decisione di rinvio. Pertanto, indipendentemente dalle critiche espresse dal governo di uno Stato membro nei confronti dell’interpretazione del diritto nazionale adottata dal giudice del rinvio, l’esame delle questioni pregiudiziali dev’essere effettuato sulla base di tale interpretazione e non spetta alla Corte verificarne l’esattezza [sentenza del 29 luglio 2024, CU e ND (Assistenza sociale – Discriminazione indiretta) C-112/22 e C-223/22, EU:C:2024:636, punto 40 nonché giurisprudenza citata].

56 Ciò posto, per consentire alla Corte di fornire un’interpretazione del diritto dell’Unione che sia utile al giudice nazionale l’articolo 94, lettera c), del regolamento di procedura della Corte prevede che la domanda di pronuncia pregiudiziale debba contenere un’illustrazione dei motivi che hanno indotto il giudice del rinvio a interrogarsi sull’interpretazione o sulla validità di determinate disposizioni del diritto dell’Unione, nonché il collegamento che esso stabilisce tra dette disposizioni e la normativa nazionale applicabile al procedimento principale (sentenza del 2 luglio 2015, Gullotta e Farmacia di Gullotta Davide & C., C-497/12, EU:C:2015:436, punto 17).

57 Nel caso di specie, per quanto riguarda l’oggetto del procedimento principale, è pacifico che le questioni pregiudiziali sono state sollevate nell’ambito di una controversia pendente dinanzi al giudice del rinvio, vertente su una domanda di risarcimento del danno che il ricorrente nel procedimento principale avrebbe subito non solo a causa delle attività cui è stato assoggettato nell’ambito di un’indagine, ma anche delle conseguenze di quest’ultima. A tale riguardo, dalla decisione di rinvio emerge che l’asserito danno subito risulta, in particolare, dalla conservazione e dall’utilizzo successivo, da parte del datore di lavoro, di dati personali raccolti nell’ambito di tale indagine, dato che detto datore ha negato un avanzamento di carriera al ricorrente nel procedimento principale per il motivo che egli ha assunto la qualità di indagato nell’ambito della citata indagine. Il ricorrente nel procedimento principale chiede anche che il suo nome sia cancellato dalla banca dati nella quale egli figura come indagato.

58 Dal fascicolo di cui dispone la Corte risulta quindi, da un lato, l’esistenza di un nesso tra l’oggetto del procedimento principale e le norme del diritto dell’Unione in materia di protezione dei dati personali nonché, dall’altro, le ragioni che hanno condotto il giudice del rinvio a chiedere se il rifiuto del datore di lavoro di cancellare i dati in questione sia compatibile con tali norme.

59 Per quanto riguarda, specificamente, la rilevanza dell’interpretazione della direttiva 2000/78 ai fini della soluzione del procedimento principale, dal momento che la questione ad essa relativa mira, in sostanza, a determinare se il danno subito dal ricorrente nel procedimento principale, legato a un diniego di avanzamento di carriera fondato sulla sua qualità di indagato, possa essere esaminato alla luce delle disposizioni di tale direttiva, detta questione implica, nelle circostanze della presente causa, di fornire una risposta nel merito relativa all’interpretazione dell’articolo 1 della citata direttiva, il quale delimita l’oggetto di quest’ultima.

60 Di conseguenza, gli argomenti dedotti dal governo bulgaro non giustificano il fatto di ritenere che l’insieme delle questioni pregiudiziali sia irricevibile.

61 Per contro occorre osservare, in primo luogo, che, con la quarta questione, il giudice del rinvio fa riferimento all’articolo 9 RGPD che disciplina, come risulta dal titolo stesso di quest’ultimo, il trattamento di categorie sensibili di dati personali. Ebbene, dalla domanda di pronuncia pregiudiziale non risulta che i dati di cui trattasi nel procedimento principale rientrino in una delle categorie di dati elencate al paragrafo 1 di tale articolo 9 vale a dire, in particolare, dati che rivelano l’origine razziale o etnica, il trattamento dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica nonché dei dati relativi alla salute di una persona fisica. Poiché l’interpretazione richiesta dell’articolo 9, paragrafo 2, lettera b), RGPD è irrilevante ai fini della soluzione del procedimento principale, tale quarta questione deve essere considerata irricevibile.

62 In secondo luogo, talune circostanze prese in considerazione nella formulazione delle questioni quinta, sesta e dalla nona all’undicesima non sono rilevanti alla luce della situazione di cui trattasi nel procedimento principale la quale riguarda, come risulta dalla decisione di rinvio quale riassunta ai punti da 35 a 37 della presente sentenza, una persona di cui si sospetta che abbia commesso un reato nell’ambito di un’indagine penale, alla fine sospesa. Non occorre, pertanto, rispondere a tali questioni nella parte in cui esse riguardano il trattamento di dati relativi a un dipendente, che è accusato o che è stato accusato di aver commesso un reato o che è assoggettato o che è stato assoggettato ad azione penale, in quanto dette questioni hanno, al riguardo, carattere teorico.

63 In terzo luogo, per quanto riguarda talune altre premesse di fatto sulle quali si basa l’undicesima questione, il governo bulgaro ha dichiarato in udienza che, nel corso del periodo successivo all’indagine penale di cui trattasi, il ricorrente nel procedimento principale, contrariamente a quanto lui afferma, è stato più volte promosso. Occorre tuttavia sottolineare che la presunzione di rilevanza di cui beneficiano le questioni pregiudiziali, ricordata al punto 53 della presente sentenza, non può essere messa in discussione dalla semplice circostanza che una delle parti nel procedimento principale contesti taluni fatti di cui non spetta alla Corte verificare l’esattezza e dai quali dipende la definizione dell’oggetto della controversia (sentenza del 5 dicembre 2006, Cipolla e a., C-94/04 e C-202/04, EU:C:2006:758, punto 26).

Nel merito

Sulle questioni dalla prima alla terza e dalla settima alla nona

64 Occorre ricordare che, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte, istituita dall’articolo 267 TFUE, spetta a quest’ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia di cui è investito. In tale prospettiva spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte. Inoltre, la Corte può essere indotta a prendere in considerazione norme di diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nel formulare la sua questione (sentenza del 18 gennaio 2024, Hewlett Packard Development Company, C-367/21, EU:C:2024:61, punto 44 e giurisprudenza citata).

65 A tal riguardo occorre rilevare che, come osservato dall’avvocato generale ai paragrafi da 47 a 53 delle sue conclusioni, se è vero che, con le questioni seconda, terza, settima e ottava, il giudice del rinvio interroga formalmente la Corte sull’interpretazione da dare alle nozioni di «trattamento» di dati personali e di «archivio», ai sensi dell’articolo 4, punti 2 e 6, RGPD, nonché alle nozioni di «dati personali» e di «trattamento», ai sensi dell’articolo 3, punti 1 e 2, della direttiva 2016/680, oltre al fatto che queste ultime nozioni sono definite in termini identici a quelli utilizzati nel RGPD, in realtà, tale giudice cerca tuttavia di stabilire se la situazione di cui trattasi nel procedimento principale rientri nell’ambito di applicazione del RGPD o della direttiva 2016/680. Infatti, dalla motivazione della decisione di rinvio nonché da tali questioni risulta che il vero oggetto di queste ultime consiste nel determinare quale di tali atti si applichi a un trattamento di dati effettuato dalla direzione di un’autorità pubblica, che agisce in qualità di datore di lavoro, che consiste nel conservare nel fascicolo personale di un dipendente di tale autorità dati relativi alla sua qualità di indagato nell’ambito di un’indagine penale, allorché tale direzione ha ottenuto dati siffatti tramite un’altra direzione della stessa autorità pubblica, autorizzata, quest’ultima, a condurre tale tipo di indagine.

66 In tali circostanze si deve ritenere che, con le questioni dalla prima alla terza e dalla settima alla nona, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 2, paragrafo 1, RGPD e l’articolo 9, paragrafo 1, della direttiva 2016/680 debbano essere interpretati nel senso che tale regolamento si applica al trattamento di dati personali effettuato dalla direzione di un’autorità pubblica, che consiste nel conservare nel fascicolo personale di uno dei suoi agenti dati relativi alla sua qualità di indagato nell’ambito di un’indagine penale (in prosieguo: il «trattamento di cui trattasi nel procedimento principale»), allorché tale direzione ha ottenuto dati siffatti tramite un’altra direzione appartenente alla stessa autorità pubblica, autorizzata, quest’ultima, a condurre tale tipo di indagine.

67 Ai sensi dell’articolo 2, paragrafo 2, lettera d), RGPD, quest’ultimo non si applica ai trattamenti di dati personali effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

68 L’articolo 1, paragrafo 1, della direttiva 2016/680 dispone, al contrario, che quest’ultima stabilisce le norme relative alla protezione delle persone fisiche riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

69 Inoltre l’articolo 9, paragrafo 1, di tale direttiva prevede, in particolare, che, qualora dati personali siano trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1, di detta direttiva, si applica il RGPD, a meno che il trattamento non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.

70 Ne consegue che, se il trattamento di dati personali è effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, si applica la direttiva 2016/680, mentre se il trattamento è effettuato per altre finalità, si applica il RGPD [v., in tal senso, sentenza dell’8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale, C-180/21, EU:C:2022:967, punti 73 e 74 nonché giurisprudenza citata].

71 Nel caso di specie, sebbene la raccolta iniziale di dati personali effettuata dalla direzione «Sicurezza interna» del Ministero dell’Interno ai fini dell’indagine riguardante il ricorrente nel procedimento principale rientri nella direttiva 2016/680, per contro, il trattamento di cui trattasi nel procedimento principale, in quanto effettuato a fini di gestione delle risorse umane, rientra nel RGPD.

72 Occorre precisare che l’applicabilità del RGPD al trattamento di cui trattasi nel procedimento principale non è messa in discussione dalla circostanza secondo cui le informazioni in questione sono state ottenute dal datore di lavoro tramite la direzione del Ministero dell’Interno incaricata di condurre l’indagine riguardante il ricorrente nel procedimento principale. A tale proposito, la Corte ha già dichiarato che dalla formulazione dell’articolo 9, paragrafi 1 e 2, della direttiva 2016/680 e dall’articolazione di tali paragrafi risulta che il RGPD si applica a qualsiasi trattamento di dati personali raccolti ai fini enunciati all’articolo 1, paragrafo 1, di tale direttiva, per fini diversi da essi, a meno che il trattamento di cui trattasi non rientri nel diritto dell’Unione, anche quando il «titolare del trattamento», ai sensi dell’articolo 3, paragrafo 8, di detta direttiva, è un’«autorità competente», ai sensi dell’articolo 3, paragrafo 7, lettera a), di quest’ultima, ed effettua il trattamento di dati personali nell’ambito di compiti diversi da quelli eseguiti ai fini enunciati all’articolo 1, paragrafo 1, della medesima direttiva [sentenza dell’8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale, C-180/21, EU:C:2022:967, punto 81].

73 Tenuto conto di quanto precede occorre rispondere alle questioni dalla prima alla terza e dalla settima alla nona dichiarando che l’articolo 2, paragrafo 1, RGPD e l’articolo 9, paragrafo 1, della direttiva 2016/680 devono essere interpretati nel senso che tale regolamento si applica all’attività svolta dalla direzione di un’autorità pubblica, che consiste nel conservare nel fascicolo personale di uno dei suoi agenti dati relativi alla sua qualità di indagato nell’ambito di un’indagine penale. È irrilevante, al riguardo, che tale direzione abbia ottenuto dati siffatti tramite un’altra direzione appartenente alla stessa autorità pubblica, autorizzata, quest’ultima, a condurre tale tipo di indagine.

Sulle questioni quinta e sesta

74 Occorre rilevare che le questioni quinta e sesta riguardano, in sostanza, la possibilità per l’agente interessato di ottenere la cancellazione dei dati di cui trattasi nel procedimento principale dal suo fascicolo personale sulla base dell’articolo 17, paragrafo 1, lettere a) e d), RGPD.

75 Dal fascicolo sottoposto alla Corte risulta che la legge nazionale che disciplina le attività del Ministero dell’Interno prevede l’obbligo, per quest’ultimo, di costituire e tenere un fascicolo personale per ciascun agente di tale ministero nonché stabilire un codice deontologico, al cui rispetto tali agenti sono tenuti, ed esige che questi ultimi, per esercitare le loro funzioni, non siano stati condannati, imputati o accusati di un reato doloso ordinario. Allo stesso modo, tale legge dispone che il Ministro dell’Interno è il titolare del trattamento dei dati effettuato dai suoi agenti e fissa le modalità del trattamento dei dati tramite circolare.

76 Secondo l’articolo 17, paragrafo 1, RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo detti dati personali, se sussiste uno dei motivi enunciati in tale disposizione.

77 Ciò si verifica, conformemente all’articolo 17, paragrafo 1, lettera a), RGPD, quando i dati personali «non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati» o, conformemente a tale articolo 17, paragrafo 1, lettera d), quando i dati in questione sono stati «trattati illecitamente».

78 Ebbene, come rilevato dall’avvocato generale al paragrafo 69 delle sue conclusioni, da una lettura congiunta delle questioni quinta e sesta nonché della motivazione della domanda di pronuncia pregiudiziale risulta che, con esse, il giudice del rinvio chiede fondamentalmente, al fine di potersi pronunciare sulla domanda di cancellazione del ricorrente nel procedimento principale, se la conservazione dei dati di cui trattasi nel procedimento principale nel fascicolo personale di quest’ultimo sia lecita.

79 A tal riguardo occorre ricordare che l’articolo 6, paragrafo 1, primo comma, RGPD prevede un elenco esaustivo e tassativo dei casi in cui un trattamento di dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito un trattamento deve rientrare in uno dei casi previsti da tale disposizione (sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 94 e giurisprudenza citata). L’articolo 6, paragrafo 1, primo comma, lettera c), RGPD prevede che un trattamento di dati personali è lecito se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

80 L’articolo 6, paragrafo 3, RGPD precisa, in particolare, che il trattamento di cui all’articolo 6, paragrafo 1, primo comma, lettera c), di quest’ultimo deve essere basato sul diritto dell’Unione o sul diritto dello Stato membro cui è soggetto il titolare del trattamento, e che tale base giuridica deve rispondere a un obiettivo di interesse pubblico ed essere proporzionata al legittimo obiettivo perseguito (v., in tal senso, sentenza del 12 settembre 2024, HTB Neunte Immobilien Portfolio e Ökorenta Neue Energien Ökostabil IV, C-17/22 e C-18/22, EU:C:2024:738, punto 67 e giurisprudenza citata).

81 Occorre inoltre osservare che il motivo di liceità previsto all’articolo 6, paragrafo 1, primo comma, lettera c), RGPD, in combinato disposto con l’articolo 6, paragrafo 3, di tale regolamento, si riflette nell’articolo 17, paragrafo 3, lettera b), di detto regolamento, che esclude il diritto alla cancellazione previsto all’articolo 17, paragrafo 1, di quest’ultimo qualora, in particolare, il trattamento dei dati sia necessario per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.

82 La Corte ha già statuito che, anche supponendo che il trattamento di dati personali risponda effettivamente al motivo di liceità previsto all’articolo 6, paragrafo 1, primo comma, lettera c), RGPD, quest’ultimo, e in particolare il suo articolo 6, paragrafo 3, secondo comma, sancisce esplicitamente l’obbligo di un bilanciamento tra, da un lato, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti agli articoli 7 e 8 della Carta, e, dall’altro, gli obiettivi legittimamente perseguiti dal diritto dell’Unione o dal diritto degli Stati membri che sono alla base dell’obbligo legale per l’adempimento del quale il trattamento è necessario (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 124 e giurisprudenza citata).

83 In tale contesto occorre ricordare che l’articolo 52, paragrafo 1, della Carta ammette che possano essere apportate limitazioni all’esercizio di diritti come quelli sanciti dagli articoli 7 e 8 di quest’ultima purché tali limitazioni siano previste per legge, rispettino il contenuto essenziale di tali diritti e libertà e, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui [sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C-136/17, EU:C:2019:773, punto 58 e giurisprudenza citata].

84 In tali circostanze e tenuto conto della giurisprudenza esposta al punto 64 della presente sentenza occorre ritenere che, con le questioni quinta e sesta, il giudice del rinvio chiede, in sostanza, se l’articolo 17, paragrafo 3, lettera b), RGPD, in combinato disposto con l’articolo 6, paragrafo 1, primo comma, lettera c), e con l’articolo 6, paragrafo 3, di quest’ultimo, nonché alla luce dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che la conservazione, nel fascicolo personale di un agente di polizia, a fini di gestione della carriera di quest’ultimo e di controllo del rispetto, da parte di tale agente, delle norme inerenti alle sue funzioni, di dati personali relativi alla sua qualità di indagato nell’ambito di un’indagine penale sospesa, riguardante un reato per il quale detto agente non è stato né accusato né imputato, possa essere considerata giustificata ai fini dell’adempimento di un obbligo giuridico cui l’autorità pubblica, datore di lavoro di detto agente, è soggetta sulla base del diritto nazionale.

85 In via preliminare si deve ricordare che, secondo l’articolo 1, paragrafo 2, RGPD, in combinato disposto con i considerando 4 e 10 di quest’ultimo, tale regolamento mira, in particolare, a garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche riguardo al trattamento dei dati personali, diritto questo riconosciuto anche all’articolo 8 della Carta e strettamente collegato al diritto al rispetto della vita privata, sancito all’articolo 7 della medesima (v., in tal senso, sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punto 61).

86 A tale titolo, conformemente alla giurisprudenza costante della Corte qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati stabiliti all’articolo 5 RGPD e, dall’altro, tenuto conto in particolare del principio della liceità del trattamento, previsto al paragrafo 1, lettera a), di detto articolo 5, soddisfare una delle condizioni di liceità del trattamento elencate all’articolo 6 di tale regolamento (sentenza del 7 marzo 2024, Endemol Shine Finland, C-740/22, EU:C:2024:216, punto 45 e giurisprudenza citata).

87 Occorre altresì ricordare che, conformemente all’articolo 5 RGPD, è al titolare del trattamento che incombe l’onere di dimostrare che tali dati sono segnatamente raccolti per finalità determinate, esplicite e legittime, che essi sono adeguati, rilevanti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati e che essi sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 97 e giurisprudenza citata).

88 Peraltro, nella misura in cui consentono di rendere lecito un trattamento di dati personali effettuato in assenza del consenso dell’interessato, le giustificazioni previste all’articolo 6, paragrafo 1, primo comma, lettere da b) a f), di tale regolamento devono essere interpretate restrittivamente (sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 96 e giurisprudenza citata).

89 Sebbene spetti al giudice del rinvio stabilire se un trattamento come quello di cui trattasi nel procedimento principale sia necessario per l’adempimento di un obbligo giuridico cui è soggetto il titolare del trattamento, ai sensi dell’articolo 17, paragrafo 3, lettera b), RGPD, in combinato disposto con l’articolo 6, paragrafo 1, primo comma, lettera c), e con l’articolo 6, paragrafo 3, di quest’ultimo, la Corte può nondimeno fornirgli indicazioni utili al fine di consentirgli di dirimere la controversia di cui è investito (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 98 e giurisprudenza citata).

90 Come risulta dal fascicolo della Corte e, in particolare, dalle spiegazioni fornite dal governo bulgaro in udienza, la conservazione dei dati di cui trattasi nel procedimento principale si basa su varie disposizioni di circolari adottate dal Ministro dell’Interno sulla base dello ZMVR al fine di conformarsi agli obblighi giuridici ad esso incombenti, in forza di tale legge in materia di gestione dei fascicoli personali degli agenti e di responsabilità disciplinare di questi ultimi e in forza dell’autorizzazione conferitale da quest’ultima legge per esercitare un potere regolamentare. Di conseguenza, da tali elementi sembra risulti che il trattamento dei dati di cui trattasi nel procedimento principale può essere necessario per adempiere obblighi legali, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera c), RGPD, previsti dalla normativa nazionale applicabile, i quali sono attuati dall’autorità pubblica titolare del trattamento in circolari aventi carattere regolamentare che costituiscono quindi la base giuridica del trattamento dati effettuato dai suoi agenti.

91 Si pone quindi la questione se la base del trattamento, ai sensi dell’articolo 6, paragrafo 3, RGPD, possa risultare da un atto regolamentare adottato da un’autorità pubblica di uno Stato membro in forza di un’autorizzazione ex lege prevista in un atto legislativo per adempiere gli obblighi legali ad essa incombenti in forza di quest’ultima.

92 Come risulta dal considerando 41 RGPD, qualora tale regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile per gli interessati, in conformità alla giurisprudenza della Corte e della Corte europea dei diritti dell’uomo.

93 Inoltre, il considerando 19 RGPD precisa che, riguardo al trattamento dei dati personali da parte delle autorità competenti, ai sensi della direttiva 2016/680, per finalità rientranti nell’ambito di applicazione del RGPD, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni di tale regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri.

94 Di conseguenza, se ne deve dedurre che l’articolo 6, paragrafo 3, RGPD non osta a che la base giuridica di un trattamento di dati personali sia definita dall’autorità pubblica titolare del trattamento in un atto regolamentare volto ad attuare gli obblighi legali ad essa incombenti, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera c), di tale regolamento, purché tale autorità sia autorizzata dal diritto nazionale ad adottare tale atto, detta base giuridica sia chiara e precisa e la sua applicazione sia prevedibile per gli interessati.

95 Nel caso di specie, dal fascicolo di cui dispone la Corte risulta che le circolari del Ministro dell’Interno costituiscono atti regolamentari adottati sulla base dell’autorizzazione ex lege prevista dallo ZMVR e sono pubblicate nella Gazzetta ufficiale bulgara. Tuttavia occorre ancora verificare, in particolare, se le finalità del trattamento siano definite in modo chiaro e preciso in tale base giuridica, conferendo così all’applicazione di quest’ultima un carattere prevedibile, conformemente all’articolo 6, paragrafo 3, RGPD, letto alla luce del considerando 41 di tale regolamento.

96 A quest’ultimo riguardo, dal fascicolo sottoposto alla Corte risulta che le circolari di tale autorità si riferiscono, per quanto riguarda i documenti che devono figurare nel fascicolo personale dell’agente, ai documenti relativi a procedimenti disciplinari.

97 Spetta al giudice del rinvio valutare se, tenuto conto di tutte le disposizioni rilevanti nel diritto bulgaro, una siffatta menzione possa essere interpretata in modo sufficientemente chiaro, preciso e prevedibile nel senso che essa include la conservazione di dati relativi a un’indagine penale riguardante un agente, anche qualora quest’ultimo non sia stato né accusato né imputato per il reato in questione e detta indagine non abbia portato a procedimenti disciplinari.

98 In caso di risposta in senso affermativo occorre chiedersi se, conformemente all’articolo 6, paragrafo 3, secondo comma, RGPD, l’obbligo legale di cui trattasi, nella misura in cui impone un trattamento di dati personali come quello di cui trattasi nel procedimento principale, risponda a un obiettivo di interesse pubblico e sia proporzionato all’obiettivo legittimo perseguito.

99 Per quanto riguarda la questione se la normativa nazionale in questione risponda a un obiettivo di interesse pubblico, il governo bulgaro ha affermato, in sostanza, che esiste un interesse pubblico a conservare dati come quelli di cui trattasi nel procedimento principale, tenuto conto delle funzioni specifiche di cui sono incaricati gli agenti di polizia le quali consistono, in particolare, nel preservare l’ordine pubblico e nel proteggere la popolazione.

100 A tal riguardo è generalmente ammesso, come osservato dall’avvocato generale al paragrafo 86 delle sue conclusioni, che le funzioni di agente di polizia richiedano il rispetto da parte di quest’ultimo di norme di comportamento rigide e, come risulta dal punto 45 della presente sentenza, in Bulgaria, gli agenti di polizia devono soddisfare criteri morali ed etici più elevati di altre categorie di dipendenti o lavoratori tali da dimostrare che essi dispongono delle qualità professionali e umane necessarie all’esercizio delle loro funzioni. Del resto, come rilevato al punto 75 della presente sentenza, tali norme di comportamento e tali criteri sono sanciti espressamente dalla legge nazionale che disciplina le attività del Ministero dell’Interno e dei suoi agenti.

101 Pertanto si può ritenere che il fatto di imporre il soddisfacimento di tali criteri agli agenti di polizia rientri in un obiettivo di interesse pubblico e, di conseguenza, legittimo, ai sensi dell’articolo 6, paragrafo 3, RGPD, vale a dire, in sostanza, quello di garantire la probità di un personale incaricato, in particolare, di preservare l’ordine pubblico e di proteggere la popolazione.

102 Di conseguenza, un siffatto obiettivo legittimo può giustificare la conservazione, nel fascicolo personale di un agente di polizia, delle informazioni relative, in particolare, alla qualità di indagato di quest’ultimo nell’ambito di un’indagine penale qualora tale indagine penale sia in corso o abbia condotto all’esercizio dell’azione penale o a una condanna nei suoi confronti, nei limiti in cui l’autorità competente può essere tenuta, in tali ipotesi, al fine di garantire il rispetto delle norme di comportamento e dei criteri di cui al punto 100 della presente sentenza, ad adottare misure cautelari o, se del caso, disciplinari.

103 Per contro, in una situazione come quella di cui trattasi nel procedimento principale, in cui l’indagine penale riguardante l’agente di polizia interessato è stata alla fine sospesa poiché non è stato possibile stabilire l’identità dell’autore dei fatti e in cui si è concluso per l’assenza di prove della commissione di un reato da parte di tale poliziotto e alcun procedimento disciplinare è stato avviato nei confronti di quest’ultimo, dagli elementi del fascicolo di cui dispone la Corte non risulta che una normativa nazionale che prevede la conservazione di dati relativi a una siffatta indagine sia idonea a soddisfare tale obiettivo legittimo.

104 Anche supponendo, tuttavia, che il giudice del rinvio giunga alla conclusione che la normativa nazionale di cui trattasi nel procedimento principale risponde a un obiettivo legittimo, ad esso spetta inoltre valutare se la normativa nazionale che impone tale trattamento sia proporzionata. In particolare, per quanto riguarda la conservazione di tali dati, l’articolo 17, paragrafo 3, lettera b), RGPD deve essere interpretato in combinato disposto con l’articolo 5, paragrafo 1, lettera e), del regolamento di cui trattasi, nel senso che, qualora il periodo di conservazione di detti dati ecceda quello necessario all’adempimento di tale obbligo, l’interessato può riacquistare il suo diritto alla cancellazione degli stessi, in particolare per il motivo enunciato all’articolo 17, paragrafo 1, lettera a), di detto regolamento. Spetterà quindi, se del caso, al giudice del rinvio verificare se il periodo di conservazione dei dati relativi al procedimento penale che riguardava il ricorrente nel procedimento principale non sia stato eccessivo.

105 Occorre aggiungere che, dal momento che gli articoli da 7 a 11 RGPD, contenuti, al pari degli articoli 5 e 6 di quest’ultimo, nel capo II di tale regolamento, concernente i «principi», hanno lo scopo di precisare la portata degli obblighi a carico del titolare del trattamento derivanti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 6, paragrafo 1, di detto regolamento, il trattamento di dati personali, per essere lecito, deve altresì rispettare, come risulta dalla giurisprudenza della Corte, le altre disposizioni di tale capo II che riguardano, in sostanza, il consenso, il trattamento di categorie particolari di dati personali delicati e il trattamento di dati personali relativi a condanne penali e a reati [sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C-60/22, EU:C:2023:373, punto 58 e giurisprudenza citata].

106 Ebbene, i dati di cui trattasi nel procedimento principale costituiscono dati personali «relativi alle condanne penali e ai reati o a connesse misure di sicurezza», ai sensi dell’articolo 10 RGPD, il cui trattamento è soggetto alle condizioni di liceità aggiuntive previste da tale articolo 10, e ciò indipendentemente dal fatto che, nel corso dell’indagine penale, la commissione del reato per il quale la persona era indagata non sia stata accertata. In particolare, conformemente a tale disposizione, il trattamento relativo a detti dati «deve avvenire soltanto sotto il controllo dell’autorità pubblica», a meno che esso non sia «autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati» [v., in tal senso, sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C-136/17, EU:C:2019:773, punti 72 e 73].

107 Nel caso di specie, come constatato dall’avvocato generale al paragrafo 98 delle sue conclusioni, il trattamento di cui trattasi nel procedimento principale è realizzato esclusivamente presso il Ministero dell’Interno, il quale ha la qualità di titolare del trattamento. Di conseguenza, tale trattamento è effettuato «sotto il controllo dell’autorità pubblica», ai sensi dell’articolo 10 RGPD.

108 Infine, quanto alla domanda di cancellazione ai sensi dell’articolo 17 RGPD di cui trattasi nel procedimento principale, occorre rilevare che, come precisato dalla Commissione europea, nell’ipotesi in cui il giudice del rinvio dovesse concludere, al termine della sua valutazione sulla liceità di detto trattamento, che quest’ultimo non lo è, spetterebbe al Ministero dell’Interno, in quanto titolare del trattamento, conformemente all’articolo 17, paragrafo 1, lettera d), RGPD, cancellare i dati di cui trattasi senza ingiustificato ritardo, nei limiti in cui nessuna delle eccezioni previste all’articolo 17, paragrafo 3, RGPD sia applicabile (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 118 e giurisprudenza citata).

109 Alla luce di quanto precede, occorre rispondere alle questioni quinta e sesta dichiarando che l’articolo 17, paragrafo 3, lettera b), RGPD, in combinato disposto con l’articolo 6, paragrafo 1, primo comma, lettera c), e con l’articolo 6, paragrafo 3, di quest’ultimo, nonché alla luce dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che la conservazione, nel fascicolo personale di un agente di polizia, a fini di gestione della carriera di quest’ultimo e di controllo del rispetto, da parte di tale agente, delle norme inerenti alle sue funzioni, di dati personali relativi alla sua qualità di indagato nell’ambito di un’indagine penale sospesa, riguardante un reato per il quale detto agente non è stato né accusato né imputato, può essere considerata giustificata ai fini dell’adempimento di un obbligo giuridico cui l’autorità pubblica, datore di lavoro di detto agente, è soggetta sulla base del diritto nazionale, a condizione che tale base giuridica sia chiara e precisa, che la sua applicazione sia prevedibile per gli interessati e che tale obbligo risponda a un obiettivo di interesse pubblico e sia proporzionato a quest’ultimo.

Sulla decima questione

110 Tenuto conto delle risposte alle questioni dalla prima alla terza e dalla quinta alla nona, da cui risulta che la domanda di cancellazione dei dati di cui trattasi nel procedimento principale è disciplinata dal RGPD e, in particolare, dall’articolo 17 di quest’ultimo, non occorre rispondere alla decima questione, poiché essa verte sulla stessa domanda, ma a titolo dell’articolo 16, paragrafo 2, della direttiva 2016/680.

Sull’undicesima questione

111 Con l’undicesima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 1 della direttiva 2000/78 debba essere interpretato nel senso che tale direttiva osta a che un’autorità pubblica, una direzione della quale è incaricata di condurre le indagini penali riguardanti gli agenti dipendenti di tale autorità, rifiuti, nella sua qualità di datore di lavoro, di promuovere uno dei suoi agenti per il solo motivo che egli ha rivestito la qualità di indagato nell’ambito di una siffatta indagine alla fine sospesa, senza essere stato né accusato né imputato per il reato in questione.

112 A tal riguardo occorre ricordare che, come risulta dall’articolo 1 della direttiva 2000/78, quest’ultima mira a stabilire un quadro generale per la lotta, per quanto concerne l’occupazione e le condizioni di lavoro, alle discriminazioni fondate sulla religione o le convinzioni personali, gli handicap, l’età o le tendenze sessuali. Ebbene, come risulta, in particolare, dall’articolo 2, paragrafo 1, di tale direttiva, tali motivi sono elencati tassativamente (v., in tal senso, sentenze del 21 maggio 2015, SCMD, C-262/14, EU:C:2015:336, punto 29 e giurisprudenza citata, nonché del 9 marzo 2017, Milkova, C-406/15, EU:C:2017:198, punto 34 e giurisprudenza citata).

113 Il diniego di un avanzamento di carriera fondato sulla qualità di indagato in un’indagine penale alla fine sospese non rientra, pertanto, nell’ambito di applicazione della direttiva 2000/78.

114 Peraltro, per quanto concerne le discriminazioni fondate sul rapporto di lavoro in quanto tale, la Corte ha dichiarato che una simile discriminazione non rientra nell’ambito generale disciplinato dalla direttiva 2000/78 (sentenza del 9 marzo 2017, Milkova, C-406/15, EU:C:2017:198, punto 44 e giurisprudenza citata).

115 Pertanto, occorre risponder all’undicesima questione dichiarando che l’articolo 1 della direttiva 2000/78 deve essere interpretato nel senso che tale direttiva non è applicabile qualora un’autorità pubblica, una direzione della quale è incaricata di condurre le indagini penali riguardanti gli agenti dipendenti di tale autorità, rifiuti, nella sua qualità di datore di lavoro, di promuovere uno dei suoi agenti per il solo motivo che egli ha rivestito la qualità di indagato nell’ambito di una siffatta indagine alla fine sospesa, senza essere stato né accusato né imputato per il reato in questione.

Sulle spese

116 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quinta Sezione) dichiara:

1) L’articolo 2, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), e l’articolo 9, paragrafo 1, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio,

devono essere interpretati nel senso che:

tale regolamento si applica all’attività svolta dalla direzione di un’autorità pubblica, che consiste nel conservare nel fascicolo personale di uno dei suoi agenti dati relativi alla sua qualità di indagato nell’ambito di un’indagine penale. È irrilevante, al riguardo, che tale direzione abbia ottenuto dati siffatti tramite un’altra direzione appartenente alla stessa autorità pubblica, autorizzata, quest’ultima, a condurre tale tipo di indagine.

2) L’articolo 17, paragrafo 3, lettera b), del regolamento 2016/679, in combinato disposto con l’articolo 6, paragrafo 1, primo comma, lettera c), e con l’articolo 6, paragrafo 3, di quest’ultimo, nonché alla luce dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea,

deve essere interpretato nel senso che:

la conservazione, nel fascicolo personale di un agente di polizia, a fini di gestione della carriera di quest’ultimo e di controllo del rispetto, da parte di tale agente, delle norme inerenti alle sue funzioni, di dati personali relativi alla sua qualità di indagato nell’ambito di un’indagine penale sospesa, riguardante un reato per il quale detto agente non è stato né accusato né imputato, può essere considerata giustificata ai fini dell’adempimento di un obbligo giuridico cui l’autorità pubblica, datore di lavoro di detto agente, è soggetta sulla base del diritto nazionale, a condizione che tale base giuridica sia chiara e precisa, che la sua applicazione sia prevedibile per gli interessati e che tale obbligo risponda a un obiettivo di interesse pubblico e sia proporzionato a quest’ultimo.

3) L’articolo 1 della direttiva 2000/78/CE del Consiglio, del 27 novembre 2000, che stabilisce un quadro generale per la parità di trattamento in materia di occupazione e di condizioni di lavoro,

deve essere interpretato nel senso che:

tale direttiva non è applicabile qualora un’autorità pubblica, una direzione della quale è incaricata di condurre le indagini penali riguardanti gli agenti dipendenti di tale autorità, rifiuti, nella sua qualità di datore di lavoro, di promuovere uno dei suoi agenti per il solo motivo che egli ha rivestito la qualità di indagato nell’ambito di una siffatta indagine alla fine sospesa, senza essere stato né accusato né imputato per il reato in questione.

Firme

---

* Lingua processuale: il bulgaro.

---

i Il nome della presente causa è un nome fittizio. Non corrisponde al nome reale di nessuna delle parti del procedimento.