Il caso.
La Corte di giustizia dell’Unione Europea (di seguito “CGUE” o Corte), in Grande Sezione, con sentenza del 22 novembre 2022 si è pronunciata sulle cause riunite C-37/20 e C-601/20, sulla base di due domande di pronuncia pregiudiziale, proposte alla Corte, ai sensi dell’articolo 267 TFUE, dal Tribunal d’arrondissement de Luxembourg (Tribunale circoscrizionale di Lussemburgo, Lussemburgo) invalidando la direttiva 2018/843, nella parte in cui ha modificato l’articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849, laddove dispone che gli Stati membri provvedano affinché le informazioni sulla titolarità effettiva delle società e delle altre entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico.
Le domande di pronuncia pregiudiziale nascono a seguito dell’approvazione in Lussemburgo, in conformità (e in totale appiattimento) alla direttiva antiriciclaggio, di una legge del 2019 che ha istituito un Registro dei titolari effettivi e che ha previsto che debba esservi iscritta e conservata tutta una serie di informazioni sulla titolarità effettiva delle entità registrate, prevedendo al contempo la possibilità di limitare l’accesso a tali informazioni in determinati casi. In tale contesto sono stati presentati due ricorsi dinanzi al Tribunale circoscrizionale, da parte di una società lussemburghese e dal titolare effettivo di una società lussemburghese, a seguito del rifiuto espresso a richieste di limitazione dell’accesso del pubblico alle informazioni che li riguardavano.
In estrema sintesi, la CGUE ha censurato il contenuto prescrittivo dell’articolo 30, paragrafo 5, primo comma, lettera c) della direttiva 2015/849, laddove obbliga gli Stati membri a provvedere affinché le informazioni sulla titolarità effettiva siano accessibili in ogni caso “al pubblico”. Detta norma prevede che l’accesso debba avere ad oggetto “almeno” il nome, il mese e anno di nascita, il paese di residenza e la cittadinanza del titolare effettivo così come la natura ed entità dell’interesse beneficiario detenuto, riconoscendo, infine, agli Stati membri, “alle condizioni stabilite dal diritto nazionale”, la facoltà di “garantire l’accesso a informazioni aggiuntive che consentano l’identificazione del titolare effettivo”, comprendendo in tale novero “almeno la data di nascita o le informazioni di contatto, conformemente alle norme sulla protezione dei dati”.
Tale norma, seguendo l’excursus argomentativo della Corte, ha ad oggetto informazioni su persone fisiche identificate, ossia i titolari effettivi delle società e delle altre entità giuridiche costituite nel territorio degli Stati membri, in relazione alle quali il prescritto diritto del “pubblico” ad accedervi incide sul diritto fondamentale al rispetto della vita privata, garantito dall’articolo 7 della Carta dei diritti fondamentali dell’Unione europea.
Sul punto, la sentenza è assolutamente incisiva chiarendo che “mettere dati personali a disposizione di terzi costituisce un’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, indipendentemente dall’uso successivo delle informazioni comunicate” a prescindere dal “merito” dei dati stessi evocando, per certi versi, quel che in ambito penale determina la punibilità dei cosiddetti reati di pericolo, in relazione ai quali l’ordinamento giuridico anticipa la tutela del diritto anche solo potenzialmente leso.
Se a ciò si aggiunge la fisiologica indeterminatezza della pletora dei soggetti che compongono il “pubblico”, legittimato astrattamente ad accedere a detti dati, la norma si presta – sostanzialmente – ad abusi o, comunque, ad usi abnormi delle informazioni rinvenibili dalla consultazione del registro.
Da qui la pesante censura secondo la quale “l’accesso del pubblico alle informazioni sulla titolarità effettiva, previsto dall’articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 modificata, costituisce una grave ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta”.
Il rapporto tra la sentenza e l’esercizio di autovalutazione del rischio su base europea.
Rinviando al prosieguo l’analisi della incompatibilità tra la norma testé menzionata e, tra i vari profili esaminati, i principi su cui si fonda il Reg. UE 2016/679, mette conto rilevare come, al momento, il reale contrasto tra dirimere è quello che intercorre tra la sentenza in commento e le risultanze dell’esercizio di autovalutazione del rischio su base europea reso pubblico dalla Commissione lo scorso 27 ottobre.
La relazione della Commissione, nell’affrontare l’impatto del conflitto in corso tra Russia ed Ucraina, rimarca la necessità di garantire l’attuazione efficace delle misure di congelamento dei beni imposte dall’UE nei confronti di persone fisiche e giuridiche connesse all’aggressione russa.
E ciò in ragione del fatto che l’analisi basata sul flusso pervenuto dalle FIU operative nel territorio dell’Unione restituisce un dato assolutamente rilevante: vi sono almeno 31.000 imprese in Europa (in prevalenza nei settori immobiliare, edile, alberghiero, finanziario ed energetico) con titolari effettivi russi, una parte dei quali (circa il 5%) è detenuta da soggetti sanzionati.
Appare pertanto perfettamente allineata a tale dato la spinta della Commissione all’attuazione, all’interno delle singole giurisdizioni, alle norme e ai provvedimenti preordinati a garantire la trasparenza dei registri delle imprese e del dominio societario, raccomandando – addirittura – l’ulteriore sviluppo di flussi informativi tra i diversi registri.
Che l’accessibilità dei dati dei titolari effettivi sia un elemento imprescindibile lo si evince, leggendo la relazione, laddove si enfatizza l’obiettivo di “conoscere chi controlla effettivamente un’impresa”, quale cardine per l’attuazione delle più idonee ed efficaci misure repressive dei fenomeni di attività criminose che la disciplina armonizzata intende neutralizzare.
Il rapporto tra la Direttiva antiriciclaggio e il GDPR
I dubbi che la direttiva 2015/849 modificata ha sollevato, sin dall’emanazione, in ambito privacy sono stati molteplici e, dalla sua modifica, il Registro dei titolari effettivi e la sua messa a disposizione del pubblico hanno fatto nascere più di un interrogativo in relazione alla conformità di tali strumenti con i principi enunciati dal Regolamento EU 2016/679 (GDPR).
Difatti, una previsione normativa che preveda l’accesso pubblico all’identità e ai dati personali del suo titolare effettivo, senza alcuna necessità di dimostrare di essere portatori di un interesse legittimo, ha sollevato numerosi dubbi sulla compatibilità di siffatte previsioni con i principi enunciati dal GDPR e dalla Carta dei diritti fondamentali dell’Unione Europea (di seguito, la Carta).
In particolare, i dubbi sull’interpretazione del GDPR hanno avuto ad oggetto i principi di:
1) liceità, correttezza e trasparenza (articolo 5, paragrafo 1, lettera a) del GDPR):
I dati personali di un titolare effettivo sarebbero diventati accessibili al pubblico senza controllo né giustificazione. Inoltre, l’interessato non avrebbe potuto sapere in alcun modo chi avesse avuto accesso a tali dati personali.
2) Limitazione delle finalità (articolo 5, paragrafo 1, lettera b) del GDPR):
I dati personali di un titolare effettivo sarebbero diventati accessibili al pubblico senza che il responsabile del trattamento di tali dati potesse garantire che essi sarebbero stati utilizzati esclusivamente per la finalità per la quale erano stati raccolti, ossia la lotta al riciclaggio e al finanziamento del terrorismo.
3) Minimizzazione dei dati (articolo 5, paragrafo 1, lettera b) del GDPR):
Come giustamente sollevato anche dal Tribunale lussemburghese, il pubblico accesso è stato previsto, oltre che con riferimento al nome, al mese e all’anno di nascita, alla cittadinanza e al paese di residenza di un titolare effettivo nonché alla natura e all’entità dell’interesse beneficiario detenuto dal medesimo, anche alla data e al luogo di nascita del titolare effettivo.
4) Tutela della sicurezza delle informazioni (articolo 5, paragrafo 1, lettera f) del GDPR):
In merito all’adeguata sicurezza dei dati personali che deve sempre essere garantita, l’accesso illimitato e incondizionato, senza impegno alla riservatezza, ai dati personali di titolari effettivi disponibili nel registro avrebbe rappresentato sicuramente una situazione incompatibile con la superiore esigenza di tutela.
Le ingerenze nei diritti fondamentali della Carta
Oltre ai dubbi sollevati in merito al rispetto dei principi del GDPR da parte della direttiva modificata, una delle società ricorrenti ha anche eccepito che accordare un accesso pubblico all’identità e ai dati personali del proprio titolare effettivo avrebbe violato il diritto alla tutela della vita privata e familiare nonché il diritto alla protezione dei dati personali, sanciti rispettivamente dagli articoli 7 e 8 della Carta.
Ed è su questo punto in particolare che si focalizza l’analisi della Corte, partendo dal presupposto che l’accesso del pubblico alle informazioni sulla titolarità effettiva costituisca una grave ingerenza nei diritti fondamentali ex artt. 7 e 8 della Carta.
Per quanto riguarda la gravità di tale ingerenza, si afferma come le informazioni messe a disposizione del pubblico, nella misura in cui si riferiscono all’identità del titolare effettivo nonché alla natura e all’entità dell’interesse beneficiario detenuto in società o in altre entità giuridiche, sono tali da permettere di delineare un profilo riguardante taluni dati d’identificazione personale.
A ciò si aggiunge che la messa a disposizione di tali informazioni a un numero potenzialmente illimitato di persone aumenti esponenzialmente il rischio che, per ragioni estranee all’obiettivo perseguito da detta misura, si riescano a ottenere informazioni, in particolare, sulla situazione materiale e finanziaria del titolare effettivo.
Tali conseguenze sono peraltro aggravate dalla circostanza che, una volta messi a disposizione del pubblico, tali dati possono non solo essere liberamente consultati, ma anche essere conservati e diffusi. In caso di simili trattamenti diventa, pertanto, difficile se non addirittura illusorio difendersi efficacemente da un utilizzo abusivo degli stessi.
Gli articoli 7 e 8 della Carta
I diritti fondamentali sanciti agli articoli 7 e 8 della Carta (diritto al Rispetto della vita privata e della vita familiare e alla Protezione dei dati di carattere personale) non sono prerogative assolute, ma vanno considerate alla luce della loro funzione sociale. In tal senso, la Corte rileva giustamente che eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciute dalla Carta devono essere previste dalla legge e rispondere effettivamente a finalità di interesse generale condivise dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
Orbene, partendo da questi presupporti, la direttiva 2015/849 modificata mira a impedire l’utilizzo del sistema finanziario dell’Unione per fini di riciclaggio e di finanziamento del terrorismo, precisando che “il perseguimento di tale obiettivo può essere efficace solo se l’ambiente circostante è ostile ai criminali e che il rafforzamento della trasparenza generale del contesto economico e finanziario dell’Unione potrebbe essere un potente deterrente.”
Se questa finalità può costituire un obiettivo di interesse generale in grado di giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, la Corte rileva che il principio della trasparenza, posto alla base della messa a disposizione del pubblico del Registro dei titolari effettivi, si concretizza anzitutto in requisiti di trasparenza istituzionale e procedurale riguardanti le attività di natura pubblica, ivi incluso l’impiego delle finanze pubbliche.
Tuttavia, un siffatto collegamento con le istituzioni pubbliche manca quando, come nel caso di specie, la misura mira a rendere accessibili al pubblico i dati riguardanti l’identità di soggetti privati.
Conseguentemente, la Corte afferma che il principio di trasparenza non può essere considerato un obiettivo di interesse generale idoneo a giustificare l’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta derivante dall’accesso del pubblico alle informazioni sulla titolarità effettiva.
Il nodo del legittimo interesse
L’articolo 30 della direttiva 2015/849, nella versione anteriore alla sua modifica da parte della direttiva 2018/843, subordinava l’accesso di qualsiasi persona alle informazioni sulla titolarità effettiva alla condizione che tale persona fosse in grado di dimostrare un «legittimo interesse».
Al fine di dimostrare la stretta necessità dell’ingerenza risultante dall’accesso del pubblico alle informazioni sulla titolarità effettiva – senza, quindi, alcun riferimento all’essere portatori di un legittimo interesse – il Consiglio e la Commissione hanno fatto riferimento alla valutazione d’impatto che accompagnava la proposta di direttiva del Parlamento europeo e del Consiglio che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica la direttiva 2009/101/CE, all’origine della direttiva 2018/843.
Secondo tali istituzioni, dalla suddetta valutazione d’impatto è risultato che la mancanza di una definizione uniforme di tale nozione di «legittimo interesse» ha posto difficoltà pratiche, cosicché si è ritenuto che la soluzione corretta consistesse nell’eliminare detta condizione.
A tal riguardo, la Corte afferma che l’eventuale difficoltà nel definire con precisione le ipotesi e le condizioni in cui il pubblico può accedere alle informazioni sulla titolarità effettiva non può giustificare il fatto che il legislatore dell’Unione ne preveda l’accesso del pubblico.
Inoltre, la Corte rileva che nella misura in cui nella direttiva è indicato che l’accesso del pubblico alle informazioni sulla titolarità effettiva consente un maggiore controllo delle informazioni da parte della società civile, menzionando espressamente la stampa e le organizzazioni della società civile, entrambi questi soggetti sarebbero portatori di un legittimo interesse ad accedere alle informazioni sulla titolarità effettiva.
Lo stesso vale per i soggetti privati che desiderino conoscere l’identità dei titolari effettivi di una società o di un’altra entità giuridica per il fatto che potrebbero effettuare operazioni con queste ultime.
Il punto sulla normativa nazionale: il parere dell’Autorità Garante
In Italia, l’Autorità Garante per la protezione dei dati personali ha espresso in data 14 gennaio 2021 un parere positivo su uno schema di decreto del MEF, di concerto con il MISE in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva.
A tal proposito, non deve sorprendere che l’Autorità abbia dato parere positivo al decreto volto a dare attuazione alla Direttiva UE 2018/843 (c.d. “V Direttiva Antiriciclaggio”), muovendosi all’interno del suo ambito di competenza.
Il testo su cui l’Autorità si è espressa, in ogni caso, ha recepito le indicazioni rese nel corso di varie interlocuzioni, proprio al fine di conformare il regolamento alle garanzie previste dalla normativa europea e nazionale di protezione dati.
In particolare, una delle criticità emerse dalla sentenza del 22 novembre 2022 della CGUE riguarda la possibilità che le informazioni sulla titolarità effettiva delle società e delle altre entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico, senza la possibilità per gli interessati di esercitare un effettivo controllo sulla loro diffusione. Tale aspetto è stato parzialmente bilanciato dalla nostra Autorità mediante l’introduzione di una procedura, nei casi di accesso da parte del pubblico ai dati dei titolari effettivi che potrebbero trovarsi nelle cd. “circostanze eccezionali”, in base alla quale, ove all’esito di una prima valutazione si ritenga di consentire l’accesso, i controinteressati devono essere coinvolti nel procedimento di valutazione circa l’ostensione o meno dei dati richiesti.