Il diritto dei terzi di accedere ai dati personali contenuti nel registro dei titolari effettivi deve essere riconosciuto in misura proporzionata e per quanto strettamente necessario al fine di prevenire il riciclaggio di denaro e il finanziamento del terrorismo. L’accesso al pubblico “in ogni caso” dei dati personali contenuti nel registro dei titolari effettivi previsto dalla direttiva (UE) 2015/849 (come modificata dalla direttiva (UE) 2018/843) vìola l’art. 52 della Carta dei diritti fondamentali dell’Unione europea, poiché non è proporzionato né limitato allo stretto necessario per prevenire il riciclaggio di denaro e il finanziamento del terrorismo.
Sommario: 1. Premesse. – 2. Il registro dei titolari effettivi. Cenni introduttivi. – 3. La decisione della Grande Sezione della Corte di giustizia. – 4. L’accesso al registro dei titolari effettivi secondo il GDPR. – 5. Iniziative a livello nazionale. – 6. Conclusioni.
- Premesse
La decisione della Grande Sezione della Corte di giustizia dell’Unione europea (di seguito anche “CGUE”) del 22 novembre 2022 offre indicazioni fondamentali per l’inquadramento del neo-nato registro dei titolari effettivi. La pronuncia in commento trae origine da due rinvii pregiudiziali operati ai sensi dell’art. 267 TFUE dal Tribunale circoscrizionale di Lussemburgo[1]. Tali rinvii pregiudiziali sono volti a vagliare la compatibilità della normativa sull’accesso al pubblico delle informazioni sulla titolarità effettiva contenuta nella IV Direttiva AML (così come da ultimo modificata ad opera della V Direttiva AML)[2] con il sistema europeo sulla protezione dei dati personali, segnatamente con i diritti fondamentali sanciti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (d’ora in poi anche più semplicemente indicata come “Carta”) sul rispetto, rispettivamente, della vita privata e familiare e la tutela dei dati personali, nonché a chiarire l’interpretazione di alcuni concetti fondamentali dell’art. 30, par. 9, della predetta direttiva, quali la nozione di “circostanze eccezionali” e “rischio proporzionato”.
La Corte di giustizia dell’Unione europea si pronuncia su una delle questioni pregiudiziali proposte, considerando le altre assorbite, ed opera una ridefinizione dell’accesso al pubblico delle informazioni contenute nel registro dei titolari effettivi.
A seguito della decisione della Corte, diversi Stati membri hanno già adattato il proprio meccanismo di accesso alle informazioni sulla titolarità effettiva. Tuttavia, gli esiti espressi dalla Corte, sebbene rivoluzionari, non esauriscono – come vedremo – l’insieme dei punti di contatto tra la disciplina AML sull’accesso alle informazioni sulla titolarità effettiva e la normativa in materia di protezione dei dati personali, ed in particolare il regolamento generale sulla protezione dei dati (d’ora in poi anche “GDPR[3]”).
Da ultimo, la pronuncia in commento offre uno spunto di riflessione sull’inquadramento del registro dei titolari effettivi in rapporto agli altri sistemi pubblicitari (d’impresa). Tale circostanza assume particolare rilievo in un sistema come quello italiano, in cui il registro sulla titolarità effettiva è configurato quale sezione del registro delle imprese tenuto dalla Camera di Commercio (di seguito anche “CCIAA”).
- Il registro dei titolari effettivi. Cenni introduttivi
Come noto, l’istituzione di pubblici registri contenenti informazioni sulla titolarità effettiva è stata prevista dalla IV Direttiva AML/CFT[4], al fine di promuovere la trasparenza e quindi contrastare l’utilizzo abusivo di soggetti giuridici per il riciclaggio o il finanziamento del terrorismo[5]. Una volta resi operativi i registri nazionali, la stessa direttiva prevede la messa in opera di un sistema di interconnessione degli stessi[6], allo scopo di accrescere la capacità informativa a livello eurounitario. La predetta interconnessione è basata su un sistema decentralizzato, in forza del quale è possibile addivenire alle informazioni sulla titolarità effettiva così come registrate a livello nazionale.
Venendo alla questione dell’accesso, si ricorderà forse che secondo la versione originaria della IV Direttiva AML questo doveva ritenersi assicurato, oltre che alle autorità competenti e ai soggetti obbligati all’adeguata verifica della clientela, a qualunque soggetto in grado di dimostrare un “interesse legittimo”[7]. L’accesso al pubblico risultava pertanto vincolato dalla prova del citato concetto, non sempre di facile ed omogenea applicazione pratica.
La disciplina in parola, contenuta all’art. 30 della AMLD IV, è stata riformata dalla V direttiva antiriciclaggio[8], che nell’incrementare la lista dei soggetti che possono accedere «in ogni caso» alle risultanze del registro ha aggiunto il “pubblico” (c. 5, lett. c), salvo poi precisare che l’accesso al pubblico deve riguardare almeno talune informazioni evidentemente considerate essenziali, salva la facoltà per gli Stati membri «alle condizioni previste dal diritto nazionale» di ampliare l’accesso anche a «informazioni aggiuntive che consentono l’identificazione del titolare effettivo». Soltanto eccezionalmente, infine, è data ai singoli Stati membri la possibilità, a seguito di una valutazione casistica, di limitare l’accesso dei dati da parte del pubblico, laddove sussista un «rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione» oppure qualora «il titolare effettivo sia un minore di età o altrimenti incapace per legge». L’estensione dell’accesso al pubblico è motivata dal possibile apporto della società civile nella prevenzione al riciclaggio di denaro e al finanziamento del terrorismo, rafforzando ulteriormente un sistema di trasparenza in materia.
Proprio l’accesso alle informazioni sulla titolarità effettiva delineatosi a seguito della V direttiva ha determinato la pronuncia della CGUE in commento, pronuncia che di fatto interessa anche i lavori della VI direttiva antiriciclaggio[9], ora allo studio, che sembrerebbe voler riproporre lo stesso regime sanzionato dalla Corte[10].
- La decisione della Grande Sezione della Corte di giustizia
La Corte stabilisce l’invalidità delle modifiche apportate nel 2018 alla IV direttiva in punto di accesso al pubblico alle informazioni sulla titolarità effettiva, in ragione del mancato rispetto agli artt. 7, 8 e 52 della Carta.
Il ragionamento della Corte muove dalla constatazione per cui le informazioni sulla titolarità effettiva comprendono dati su persone fisiche identificate, ovvero i titolari effettivi. Di conseguenza, l’accesso al pubblico alle suddette informazioni incide sul rispetto alla vita privata e familiare di cui all’art. 7 della Carta; esso determina inoltre un trattamento di dati personali ai sensi dell’art. 8. Potendo quindi i terzi, in quanto “pubblico”, accedere ai dati contenuti nei registri dei titolari effettivi, si concreta un’ingerenza nei diritti fondamentali di questi ultimi quali tutelati dagli artt. 7 e 8.
Successivamente la Corte vaglia la gravità della suddetta ingerenza. Sin da tale valutazione, emergono diversi profili di criticità del sistema di accesso, in seguito puntualizzati dalla Corte. Anzitutto, il novero dei dati personali accessibili è rimesso alle legislazioni nazionali. Essi sono inoltre accessibili ad un numero di soggetti indefinito ed illimitato di soggetti. Infine, l’accesso pubblico non è sorretto da alcun effettivo presidio rispetto ad un utilizzo abusivo delle informazioni contenute nei registri in questione. Ciò conduce la Corte a qualificare come “grave” l’ingerenza nei diritti ex artt. 7 e 8 costituita dall’accesso al pubblico, così come definito dalle direttive AML del 2015 e del 2018.
A questo punto, però, entra in gioco l’eccezione di cui all’art. 52 della Carta, secondo cui le limitazioni dei diritti fondamentali possono considerarsi legittime laddove i) risultino «necessarie» e rispondano «effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere diritti e le libertà altrui»; ii) siano previste dalla legge, e iii) rispettino il principio di proporzionalità ed il contenuto essenziale dei diritti. La CGUE analizza dunque i singoli presupposti per ritenere legittima un’ingerenza ai diritti fondamentali previsti dalla Carta.
Incontestabile è il rispetto del principio di legalità, trattandosi di una limitazione che trova la sua fonte in un atto dell’Unione (la IV Direttiva AML, per l’appunto).
Quanto al contenuto essenziale dei diritti fondamentali ex artt. 7 e 8, la Corte rileva che l’accessibilità riguarda le informazioni aventi una «relazione adeguata con le finalità della direttiva», per cui non discenderebbe alcun pregiudizio al contenuto essenziale dei citati diritti.
Nell’individuare l’obiettivo di interesse generale riconosciuto dall’Unione europea, la CGUE richiama i considerando della direttiva del 2018[11], laddove si evidenzia come il pubblico accesso consente alla società civile di contribuire «a mantenere la fiducia nell’integrità delle operazioni commerciali e del sistema finanziario», nonché «a combattere l’uso improprio di società, altri soggetti giuridici e istituti giuridici per riciclare denaro e finanziare il terrorismo», oltre che di agevolare le indagini sui reati in questione. L’accesso pubblico alle informazioni sulla titolarità effettiva rafforza pertanto la trasparenza, al fine ultimo di prevenire il riciclaggio e il finanziamento del terrorismo. In ciò consisterebbe il requisito dell’obiettivo di interesse generale, necessario per giustificare la limitazione ai diritti di cui agli artt. 7 e 8 della Carta.
Il cuore della decisione della Corte verte però sulla valutazione dei presupposti di necessità e di proporzionalità del pubblico accesso[12], così come disciplinato dalle direttive in materia. Rispetto al primo, l’accesso del pubblico alle informazioni sulla titolarità effettiva non è reputato dalla Corte strettamente necessario allo scopo di prevenire il riciclaggio e il finanziamento del terrorismo. Ciò anche alla luce del rilievo per cui sono primariamente preposti al contrasto dei suddetti reati le pubbliche autorità ed i soggetti tenuti ad obblighi specifici in materia, ma non la società civile. Ne deriva che l’ingerenza nei confronti dei diritti fondamentali di cui agli artt. 7 e 8 della Carta non può dirsi limitata allo stretto necessario per il perseguimento dell’obiettivo di interesse generale specificato.
Il rispetto del requisito di proporzionalità è valutato mediante un bilanciamento tra lo specifico obiettivo di interesse generale perseguito ed i diritti fondamentali in questione, considerando l’esistenza di eventuali garanzie rispetto a rischi di abusi. A questo proposito, la Corte osserva come – contrariamente a quanto affermato nei considerando nel 2018[13] – la direttiva preveda solo un elenco esemplificativo di dati personali accessibili al pubblico, facoltizzando gli Stati membri a rendere accessibili anche informazioni aggiuntive. Dall’altro lato, la CGUE non ravvisa sufficienti garanzie contro il rischio di un utilizzo abusivo delle informazioni accessibili al pubblico nelle previsioni di cui ai paragrafi 5-bis e 9 dell’art. 30 della direttiva. Tali disposizioni riguardano, rispettivamente, la facoltà per gli Stati membri di condizionare l’accesso alle informazioni sulla titolarità effettiva ad una preventiva registrazione online e di derogare al pubblico accesso in presenza di circostanze eccezionali ove il singolo soggetto sia esposto ad un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione. Le misure appena delineate non costituiscono una garanzia sufficiente per proteggere efficacemente i dati personali accessibili al pubblico contro il rischio di un loro utilizzo abusivo, proprio perché rimesse alla mera facoltà del singolo Stato membro. Di conseguenza, la Corte non ritiene sussista un bilanciamento tra l’obiettivo di interesse generale ed i diritti fondamentali considerati.
L’iter seguito dalla CGUE – come sopra sinteticamente ricostruito – si fonda sull’applicazione dell’art. 52 della Carta al caso specifico, a cui consegue una pronuncia di invalidità in ragione sia dell’assenza di un rapporto di stretta necessità del sistema del pubblico accesso con il fine di prevenire il riciclaggio di denaro e il finanziamento del terrorismo, e sia anche di un’asserita sproporzione dell’ingerenza consumata nei confronti dei diritti di cui agli artt. 7 e 8 della Carta. Non è invece espressamente e compiutamente valutata la compatibilità del sistema di accesso ai dati personali contenuti nel registro dei titolari effettivi con la disciplina contenuta nel GDPR.
Inoltre, all’esito della pronuncia, è possibile rinvenire un accenno ai rapporti tra i dati contenuti nel registro dei titolari effettivi e le informazioni pubblicate nei registri inerenti alla pubblicità commerciale. In particolare, la Corte ritiene inconferente il riferimento, operato dalla Commissione, alla sentenza Manni del 9 marzo 2017[14], in materia di pubblicità obbligatoria delle società e dei relativi rappresentanti legali prevista dalla direttiva 68/151/CEE rispetto alle questioni sottopostole. La CGUE rende quindi esplicita la differenza tra la pubblicità d’impresa e l’accesso pubblico alle informazioni sulla titolarità effettiva in ragione delle diverse finalità perseguite dai corpus normativi di riferimento e la diversa portata dei dati personali interessati.
In particolare, i dati personali contenuti nel registro delle imprese ed accessibili ai terzi per finalità pubblicitarie riguardano le persone fisiche in quanto membri degli organi della persona giuridica e sono strettamente limitati al nome, cognome, codice fiscale e funzione ricoperta. Inoltre, il predetto accesso ai terzi è volto a preservare la funzione essenziale del registro, fornendo un quadro statico e storico dell’organizzazione del soggetto giuridico iscritto al fine di mettere a disposizione delle terze informazioni giuridicamente cruciali per rapportarsi con i soggetti iscritti. Di conseguenza, nella pubblicità d’impresa sembrano essere rispettati i principi di stretta necessità e proporzionalità di accesso ai dati personali, diversamente da quanto specificato dalla CGUE in punto di accesso alle informazioni sulla titolarità effettiva.
Tale differenziazione assume particolare valore in un sistema come quello italiano in cui il registro dei titolari effettivi non è formalmente configurato quale registro autonomo, bensì costituisce “parte” del Registro delle imprese tenuto dalle Camere di Commercio. In Italia, il registro dei titolari effettivi consiste infatti in due sezioni del registro delle imprese: una sezione autonoma relativa alle imprese dotate di personalità giuridica e alle persone giuridiche private; una sezione speciale per i trust e gli istituti giuridici affini. Diversamente, in altri Stati membri, le informazioni sulla titolarità effettiva sono contenute in un registro ad hoc, distinto rispetto al sistema di pubblicità d’impresa; ciò avviene, ad esempio, in Germania, in cui il registro, tenuto a livello federale, viene peraltro denominato Transparenzregister, ossia “registro per la trasparenza”.
La peculiare valutazione effettuata dalla CGUE sull’accesso alle informazioni sulla titolarità effettiva rispetto a quanto avviene nelle ipotesi di pubblicità legale afferente ai dati personali nell’ambito di società ed altre entità giuridiche valorizza nuovamente il carattere anomalo[15] delle sezioni del registro delle imprese adibite a conservare le informazioni sui titolari effettivi rispetto alle altre sezioni del registro delle imprese. Si pone quindi la necessità di considerare tale anomalia nell’applicazione alle sezioni sulla titolarità effettiva dei principi e delle disposizioni che regolano il funzionamento del registro delle imprese.
- L’accesso al registro dei titolari effettivi secondo il GDPR
Il rapporto tra il sistema di accesso al registro dei titolari effettivi e il GDPR è trattato incidentalmente e parzialmente dalla decisione in commento[16], venendosi solo a precisare che la raccolta, la conservazione e la messa a disposizione di informazioni secondo la Direttiva AML/CFT deve avvenire in modo “pienamente conforme” al GDPR. Nulla si dice invece su come questo coordinamento debba avvenire. La scelta della locuzione sopra citata – “pienamente conforme” – potrebbe indurre a sostenere la recessività della disciplina sull’accesso ai dati della titolarità effettiva rispetto a quanto previsto dal GDPR. Sì che quando gli Stati dovessero decidere di riformare il sistema di accesso al registro dei titolari effettivi, questi non potranno non considerare la disciplina delineata dal GDPR in materia di protezione dei dati personali.
Sulla base di tali preliminari osservazioni, alcuni aspetti cardinali del GDPR – ossia il rispetto dei principi applicabili al trattamento dei dati personali di cui all’art. 5 del GDPR, la protezione dei dati in caso di impostazione predefinita ed il trasferimento dei dati verso Paesi terzi o organizzazioni internazionali – sono di seguito rapportati al sistema di accesso ai dati sulla titolarità effettiva.
Anzitutto, il trattamento dei dati personali relativi alla titolarità effettiva deve rispettare il principio di liceità del trattamento[17], per cui deve essere individuata la base giuridica del trattamento stesso. Nell’ambito della IV Direttiva AML, il trattamento dei dati personali è considerato di interesse pubblico, come previsto dalla normativa unionale e come implementato a livello nazionale[18].
Quanto al principio di limitazione della finalità del trattamento[19], è chiaro che l’accesso pubblico non consente al titolare del trattamento[20] di garantire che l’accesso sia limitato allo scopo di contrastare il riciclaggio di denaro e il finanziamento del terrorismo. Sul punto, dal provvedimento della CGUE non sembra emergere alcuna indicazione, ma è chiaro che la predisposizione di un meccanismo di accesso condizionato o basato su un interesse legittimo può avvicinare la misura allo scopo.
Il principio di minimizzazione dei dati[21] riveste rilevanza centrale alla luce dell’iter argomentativo seguito dalla Corte, poiché racchiude i presupposti di stretta necessità e proporzionalità di cui all’art. 52 della Carta, fulcro della decisione. Quanto statuito dalla CGUE rappresenta pertanto una guida anche per l’interpretazione all’applicazione del principio di minimizzazione dei dati di cui al GDPR nello specifico settore dell’accesso ai dati per finalità antiriciclaggio.
La disposizione del GDPR relativa alla protezione dei dati by design[22] specifica che il titolare del trattamento deve adottare misure tecniche ed organizzative adeguate per rendere accessibili i dati personali ad un numero indefinito di persone soltanto mediante un intervento del soggetto i cui dati sono trattati. Rispetto a tale disposizione, l’accesso al pubblico risultante dalla decisione della CGUE necessita di essere reso conforme alla suddetta disposizione. Poiché le suddette misure devono essere predisposte dal titolare del trattamento, conformemente al principio di responsabilizzazione di quest’ultimo, esse dovranno essere disciplinate a livello nazionale. Infine, se la disciplina AML, in ragione delle finalità dalla stessa perseguite, non sembra preoccuparsi dell’ubicazione geografica del pubblico, in materia di protezione dei dati personali è specificata una disciplina per il trasferimento di dati personali verso Paesi terzi od organizzazioni internazionali[23]. La regolamentazione sul punto deve quindi essere applicata anche nell’ambito dell’accesso ai registri sulla titolarità effettiva, come emerge dall’art. 44 GDPR. Tuttavia, ai sensi dell’art. 49 GDPR, il trasferimento dei dati sulla titolarità effettiva non richiede né la valutazione di adeguatezza della Commissione ex art. 45 GDPR, né le adeguate garanzie di cui all’art. 46 GDPR poiché il suddetto trasferimento è «necessario per importanti motivi di interesse pubblico»[24]. Sul punto, la decisione della Corte ha un importante valore interpretativo, dal momento che in essa viene definito il parametro di necessarietà per l’interesse pubblico perseguito. Difatti, soltanto l’accesso alle informazioni sulla titolarità effettiva come interpretato dalla CGUE è tale da giustificare le deroghe di cui all’art. 49 GDPR. Diversamente, l’accesso “in ogni caso” previsto dalla direttiva del 2018 avrebbe richiesto la decisione di adeguatezza ex art. 45 GDPR e le garanzie ex art. 46 GDPR.
- Iniziative a livello nazionale
La decisione in commento ha comportato – come era ovvio che fosse – la sospensione del regime di accesso libero ai registri dei titolari effettivi già operativi nel territorio unionale e l’avvio di un processo di revisione finalizzato all’adeguamento del sistema ai principi fissati dalla Corte. Ne sono conseguiti una pluralità di approcci, fra cui spiccano l’esempio tedesco ed irlandese, di cui si dirà allo scopo di identificare gli indirizzi pratici più confacenti, oltre che alla normativa sulla protezione dei dati personali, anche alle esigenze pratiche degli operatori che utilizzeranno il registro in questione. Ciò in ragione anche della particolare situazione in cui versa l’Italia, ove su pressione delle istituzioni europee e dopo l’avvio di una procedura di infrazione[25], il legislatore si è trovato costretto ad adottare un sistema dallo stesso espressamente definito “provvisorio”.
Diverso il caso della Germania[26], dove dopo la sentenza della Corte, il sistema prevede ora un regime d’accesso ai dati sulla titolarità effettiva diversificato sotto molteplici aspetti. Dal punto di vista soggettivo, sono individuati tre gruppi di soggetti autorizzati all’accesso, ossia le autorità, i soggetti obbligati e il pubblico. Quanto alle condizioni richieste, le autorità[27] possono accedere illimitatamente nell’adempimento dei loro doveri; i soggetti obbligati possono accedere, nell’adempimento dei loro doveri, soltanto caso per caso[28]; infine, il pubblico deve dimostrare un interesse legittimo all’accesso. A sua volta tale interesse legittimo viene specificamente declinato: per le organizzazioni governative e i giornalisti[29], esso sussiste durante le ricerche condotte sul riciclaggio di denaro e il finanziamento del terrorismo; diversamente, il restante pubblico ha un interesse legittimo a controllare soltanto le proprie informazioni contenute nel registro. In quest’ultima ipotesi, peraltro, l’accesso alle proprie informazioni altro non è che l’esercizio del diritto di accesso in senso tecnico previsto dall’art. 15 del GDPR. Pertanto, a prescindere da una specifica disposizione sul registro in questione, ogni titolare effettivo dovrebbe poter avere accesso ai propri dati personali ivi contenuti sulla base del diritto di accesso previsto dal regolamento sulla protezione dei dati.
La declinazione offerta dallo Stato tedesco del concetto di “interesse legittimo” comporta un restringimento della nozione di “pubblico”, poiché in realtà soltanto determinati soggetti possono accedere alle informazioni sulla titolarità effettiva. Un sistema di accesso così congegnato, nell’auspicio di essere conforme alla decisione della Corte, per un verso riporta al regime previsto originariamente dalla direttiva del 2015; per altro verso, supera le criticità della stessa, specificando il concetto di interesse legittimo.
Ancora più granulare si presenta la nuova disciplina irlandese, costruita sulla scorta di un duplice criterio (soggettivo ed oggettivo), tanto da differenziare i dati accessibili ai diversi gruppi di soggetti.
Sotto il profilo soggettivo, in un primo gruppo di soggetti sono comprese le autorità di vigilanza e le istituzioni pubbliche, nel secondo gruppo sono inclusi i soggetti obbligati[30] ed il terzo gruppo è costituito dal pubblico. La peculiarità del sistema irlandese, ossia un accesso differenziato sotto il profilo delle informazioni consultabili, è così configurata: il primo gruppo può accedere a tutte le informazioni disponibili[31]; il novero dei dati accessibili è limitato per i soggetti obbligati[32] rispetto alla totalità dei dati archiviati nel registro ed esso è ulteriormente circoscritto per il pubblico[33]. Il regime irlandese risulta quindi introdurre una valutazione ex ante e standardizzata di stretta necessità e proporzionalità rispetto all’accesso ai diversi dati personali trattati nell’ambito dei registri sulla titolarità effettiva, conformemente anche al principio di minimizzazione dei dati di cui al GDPR. A differenza del sistema tedesco, quello irlandese ovvia alle criticità derivanti dal vaglio caso per caso sulla sussistenza dell’interesse legittimo all’accesso.
Entrambi i sistemi, quello tedesco e quello irlandese, seppur mediante scelte differenti, implementano la decisione della Corte cercando di adottare una soluzione attenta anche alle esigenze operative, facilitandone l’applicazione concreta.
Da ultimo, anche l’Italia ha cercato di uniformarsi all’orientamento della CGUE, sebbene il registro dei titolari effettivi non fosse ancora operativo quando la decisione è intervenuta. Il primo decreto attuativo del registro italiano dei titolari effettivi[34] – già approvato nel marzo 2022 ma di fatto mai entrato in vigore – prevedeva infatti, sulla scia del dettato della AMLD V, un sistema di accesso pubblico «previa richiesta e senza limitazioni»[35]. Tale regime è stato quindi sostituito con il decreto del Ministero delle Imprese e del Made in Italy del 12 aprile 2023[36], in forza del quale l’accesso pubblico ai dati contenuti nel registro sulla titolarità effettiva è riservato ora ai soli titolari di un «interesse giuridico rilevante e differenziato, analogamente a quanto previsto per l’accesso ai dati e alle informazioni sulla titolarità effettiva dei trust e degli istituti giuridici affini dall’art. 21, comma 4, lettera d-bis), del decreto legislativo 21 novembre 2007, n. 231, e quanto previsto per le imprese e le persone giuridiche private ai sensi dell’art. 21, comma 2, lettera f), del medesimo decreto legislativo n. 231 del 2007, nel testo vigente prima della modifica di cui all’art. 2, comma 1, lettera g), del decreto legislativo 4 ottobre 2019, n. 125». Va da sé che il nuovo regime, per quanto circoscritto dai rinvii normativi, implica un gravoso vaglio in caso di accesso al pubblico, gravante sugli uffici territoriali delle Camere di Commercio. Ne consegue una minore immediatezza applicativa rispetto alle soluzioni adottate in Germania e Irlanda.
Lo stesso decreto ministeriale del 2023 precisa, tuttavia, la provvisorietà della disciplina introdotta, in attesa di un provvedimento legislativo volto a dare compiuta attuazione alla pronuncia della Corte e, auspicabilmente, a tutta la regolamentazione in materia di protezione dei dati personali.
Per concludere, sebbene in Italia ed in Germania si sia tentato di precisare meglio l’interesse giustificante l’accesso al pubblico, le specificazioni introdotte sembrano in finale determinare un’ulteriore incertezza sia per gli utenti sia per i soggetti tenuti a controllare la sussistenza del suddetto interesse. Al contrario, il sistema irlandese attua le indicazioni della CGUE senza rimettere la decisione sull’accesso ad una valutazione casistica e successiva; in tal modo si è cercato di concretare una valutazione di proporzionalità e stretta necessità tale da non paralizzare il sistema di accesso al registro dei titolari effettivi.
Infine, i diversi approcci degli Stati membri volti a rimodulare l’accesso alle informazioni sulla titolarità effettiva, seppure tesi a conformarsi alle conclusioni raggiunte dalla CGUE, conducono a sistemi di accesso non omogenei. Tale circostanza andrà ad inficiare l’effettiva interconnessione dei registri dei titolari effettivi nel territorio unionale. Invero, l’utente dovrà confrontarsi con differenti valutazioni per accedere ai diversi registri nazionali sulla titolarità effettiva; ciò condurrà ad eventuali dinieghi ed accettazioni relativi all’identico caso concreto.
- Conclusioni
La decisione della CGUE in commento ha reso centrale l’attenzione alla protezione dei dati personali nell’ambito della normativa antiriciclaggio, in cui in precedenza godeva di una considerazione marginale, affermando la recessività dell’esigenza di trasparenza e del controllo generalizzato da parte della società civile sulle informazioni sulla titolarità effettiva.
Il punto centrale del provvedimento è rappresentato dalla valutazione dei criteri di proporzionalità e stretta necessità richiesti dall’art. 52 della Carta per limitare i diritti fondamentali della vita privata e familiare e della tutela dei dati personali. Rispetto a tali profili, il vaglio operato dalla Corte rappresenta un unicum nell’ambito disciplinare di riferimento poiché per la prima volta la CGUE fornisce un indirizzo applicativo dell’art. 52 della Carta e dei principi di stretta necessità e proporzionalità nel caso specifico di trattamento dei dati personali nell’ambito della disciplina antiriciclaggio. Il provvedimento in commento rappresenta dunque un punto di partenza anche per interpretare la normativa AML conformemente al GDPR.
La sentenza della Corte ha infine ricadute specifiche sul sistema italiano dei pubblici registri ed, in particolare, sul rapporto tra il registro delle imprese e il registro dei titolari effettivi. Nonostante la collocazione di quest’ultimo nel sistema pubblicitario delle imprese, la CGUE conferma la necessità di un’autonoma valutazione in punto di accesso ai dati personali sulla titolarità effettiva, onerando e preavvisando le CCIAA territorialmente competenti di porre particolare attenzione nell’eventuale trasposizione della disciplina sul registro delle imprese alle sezioni sulla titolarità effettiva.
[1]I rinvii pregiudiziali in questione sono stati proposti il 24 gennaio 2020 e il 13 ottobre 2020 dal Tribunal d’arrondissement de Luxembourg nei procedimenti C-37/20, WM c. Luxembourg Business Registers, e C-601/20, Sovim SA c. Luxembourg Business Registers.
[2]In particolare, l’art. 1, punto 15, lett. c), della direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio (c.d. V Direttiva AML o AMLD V) a modifica dell’art. 30, par. 9, della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (c.d. IV Direttiva AML o AMLD IV).
[3]Acronimo di General Data Protection Regulation, ossia il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[4]Acronimo per Anti Money Laudering e Combating the Financing of Terrorism.
[5]Sull’individuazione del titolare effettivo si veda G. Arcella – S. Carioni – M. Nastri – L. Piffaretti, Studio 1_2023 B – La ricerca del titolare effettivo, in notariato.it, 22 febbraio 2023.
[6]Regolamento di esecuzione (UE) 2021/369 della Commissione europea, relativo alle specifiche tecniche e alle procedure necessarie per il sistema di interconnessione dei registri centrali di cui alla direttiva (UE) 2015/849.
[7]Art. 30, par. 5, direttiva (UE) 2015/849.
[8]Art.1, punto 15, direttiva (UE) 2018/843.
[9]COM (2021) 423 final, Proposta di direttiva relativa ai meccanismi che gli Stati membri devono istituire per prevenire l’uso del sistema finanziario ai fini di riciclaggio o finanziamento del terrorismo e che abroga la direttiva (UE) 2015/849, 2021/0250 (COD), 21 luglio 2021, consultabile in eur-lex.europa.eu .
[10]Artt. 12 e 13 della Proposta sopra citata, rubricati, rispettivamente, «norme specifiche di accesso ai registri dei titolari effettivi per il pubblico» e «eccezioni alle norme di accesso ai registri dei titolari effettivi».
[11]In particolare, i considerando 30 e 31.
[12]Sui requisiti di proporzionalità e stretta necessità di cui all’art. 52 della Carta si veda L. Dalla Corte, On proportionality in the data protection jurisprudence of the CJEU, in International Data Privacy Law, 12, 2022, 262 ss.
[13]Considerando 34 della direttiva (UE) 2018/843, secondo cui «L’insieme di dati da mettere a disposizione del pubblico dovrebbe essere limitato, definito in maniera chiara e tassativa».
[14]CGUE, C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce c. Manni (2017); in senso analogo si vedano le conclusioni dell’Avvocato generale, Yves Bot, dell’8 settembre 2016 relative alla causa C-398/2015, in curia.europa.eu .
[15]C. Ibba, Il registro delle imprese, Milano, 2021, 35.
[16]La Corte non ritiene necessario pronunciarsi sulla terza questione proposta nella causa C-601/20, visto l’esito invalidante della prima questione affrontata.
[17]Art. 5, par. 1, lett. a), e art. 6 GDPR.
[18]L’Italia esplicita la base giuridica del trattamento delle informazioni sulla titolarità effettiva all’art. 2, c. 6-bis, del d. lgs. 231/2007.
[19]Tale principio è previsto all’art. 5, par. 1, lett. b), GDPR; quest’ultima disposizione prevede, tra l’altro, che i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità».
[20]Nell’ordinamento italiano, il titolare del trattamento, come definito all’art. 4, par. 1, n. 7), GDPR, sarebbe la Camera di Commercio territorialmente competente a ricevere i dati sulla titolarità effettiva.
[21]Art. 5, par. 1, lett. c), GDPR, secondo cui i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati».
[22]Art. 25 GDPR ed in particolare l’ultima parte del secondo paragrafo.
[23]Artt. da 40 a 50 GDPR.
[24]Così art. 49, par. 1, lett. d), GDPR.
[25]L’infrazione in questione è INFR (2022) 2150 per il mancato recepimento della IV direttiva antiriciclaggio (così come modificata dalla V direttiva antiriciclaggio), tra cui la mancata istituzione del registro dei titolari effettivi.
[26]La disciplina nazionale sul registro sulla titolarità effettiva, denominato Transparenzregister, è contenuta nella legge Gesetz zur europäischen Vernetzung der Transparenzregister und zur Umsetzung der Richtlinie (EU) 2019/1153 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Nutzung von Finanzinformationen für die Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen schweren Straftaten (Transparenzregister- und Finanzinformationsgesetz).
[27]Ossia le autorità, i tribunali e gli organismi di cui al par. 2, c. 4, del GwG (Behörden, Gerichte und die in § 2 Abs. 4 GwG genannten Stellen).
[28]Verpflichteten ist der Zugang dagegen nur fallbezogen und im Rahmen ihrer Sorgfaltspflichten gestattet.
[29]Journalisten und Nichtregierungsorganisationen (NGOs).
[30]Specificati quali «designated persons required by Part 4 of the 2010 Criminal Justice (Money Laundering and Terrorist Financing) Act to conduct customer due diligence tests».
[31]Ossia «forename and surname; sate of birth; nationality; residential address; a statement of the nature and extent of the interest held by each beneficial owner, or the nature and extent of control exercised by, each such beneficial owner; the date on which each natural person was entered in the relevant entity’s own register as a beneficial owner and the date on which each person ceased to be a beneficial owner of the entity; details of the presenter making the entry in the RBO on behalf of the company i.e. forename and surname, address, phone number, e-mail address and capacity in which they are filing».
[32]Ossia «forename and surname; month and year of birth; nationality; country of residence; a statement of the nature and extent of the beneficial interest held, or control exercised».
[33]«In accordance with the recent ruling of the Court of Justice of the European Union only the entity profile is available, but will show the number of beneficial owners filed», in rbo.gov.ie.
[34]Decreto del MEF di concerto con il MISE dell’11 marzo 2022, n. 55, recante disposizioni in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti ai fini fiscali e di istituti giuridici affini ai trust.
[35]Così art. 7, c. 1, d.m. 11 marzo 2022, n. 55.
[36]Decreto del MIMIT del 12 aprile 2023, n. 93, recante specifiche tecniche del formato elettronico della comunicazione unica d’impresa, in cui è precisato che dalla sentenza della CGUE in commento consegue la disapplicazione dell’art. 7, c. 1, d.m. 11 marzo 2022, n. 55, conformemente ai principi di cui all’art. 11 Cost.
Quanto alle ripercussioni della sentenza della CGUE sui profili tecnico-operativi, il d.m. del MIMIT del 16 marzo 2023 ha provveduto a modificare i modelli per il rilascio di certificati e copie anche digitali relativi alle informazioni sulla titolarità effettiva, mentre il d.m. del MIMIT del 20 aprile 2023 ha precisato gli importi dei diritti di segreteria.