La Corte di Giustizia Europea blocca il registro dei beneficiari effettivi: viola la privacy.

Lo scorso novembre la Corte di Giustizia Europea si è pronunciata in merito ad una questione di fondamentale importanza, passata relativamente sottotraccia e che non ha ricevuto la giusta attenzione da parte dei media. La problematica riguarda la tutela di due diritti: trasparenza e privacy.

Tutto è partito dal Lussemburgo con due distinti ricorsi da parte di due società. La prima di queste – per il tramite del suo beneficiario effettivo, sig. WM – aveva chiesto alla Camera di Commercio locale (LBR) di limitare l’accesso del pubblico alle informazioni che li riguardavano. Le ragioni di tale richiesta si basavano sul fatto che l’accesso del pubblico a tali informazioni avrebbe esposto il beneficiario effettivo, nonché la sua famiglia in modo grave, reale e attuale a un rischio sproporzionato e a un rischio di frode, di rapimento, di ricatto, di estorsione, di molestia, di violenza o di intimidazione. Tale richiesta è stata respinta con decisione del 20 novembre 2019.

Il 5 dicembre 2019 il beneficiario effettivo ha presentato ricorso dinanzi al Tribunal d’arrondissement de Luxembourg (Tribunale circoscrizionale di Lussemburgo), giudice del rinvio, facendo valere che le sue qualità di dirigente e di titolare effettivo della società locale e di un certo numero di società commerciali lo portavano a recarsi spesso in paesi con regimi politici instabili ed esposti ad un elevato tasso di criminalità comune, il che determinava a suo carico un grave rischio di rapimento, sequestro, violenze e perfino di morte.

L’LBR però contestava tale argomento, sostenendo che la situazione del beneficiario effettivo non rispondeva ai requisiti di cui all’articolo 15 della legge del 13 gennaio 2019, giacché quest’ultimo non può avvalersi né di «circostanze eccezionali» né di alcuno dei rischi elencati da tale articolo.

Ecco, quindi, che il giudice del rinvio, coinvolgendo la CGUE, si interrogava sull’interpretazione che occorreva dare alle nozioni di «circostanze eccezionali», di «rischio» e di rischio «sproporzionato», ai sensi dell’articolo 30, paragrafo 9, della direttiva 2015/849 modificata.

Allo stesso modo, con un secondo ricorso, un’altra società lussemburghese, la Sovim, lamentava le stesse doglianze di privacy. In via principale, tale società chiedeva che l’articolo 12 della legge del 13 gennaio 2019, secondo cui l’accesso a talune informazioni iscritte nell’RBE era aperto a «chiunque», e/o l’articolo 15 di tale legge fossero disapplicati e che le informazioni da essa fornite in ottemperanza all’articolo 3 di detta legge non fossero rese accessibili al pubblico. A tal riguardo, la Sovim deduceva, in primo luogo, che il fatto di accordare un accesso pubblico all’identità e ai dati personali del suo titolare effettivo violerebbe il diritto alla tutela della vita privata e familiare nonché il diritto alla protezione dei dati personali, sanciti rispettivamente agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).

Ad avviso di detta società, infatti, la direttiva 2015/849 modificata, sulla base della quale è stata introdotta nella legislazione lussemburghese la legge del 13 gennaio 2019, è intesa ad identificare i titolari effettivi di società utilizzate a scopo di riciclaggio o di finanziamento del terrorismo, nonché a garantire la sicurezza delle relazioni commerciali e la fiducia nei mercati. Ciò nonostante, non sarebbe dimostrato in che modo l’accesso del pubblico, senza il minimo controllo, ai dati contenuti nell’RBE consentirebbe di raggiungere tali obiettivi.

L’avvocato generale, l’italiano Giovanni Pitruzzella, nelle sue conclusioni riguardanti le cause riunite C‑37/20 e C‑601/20 (Link) si era espresso con un parere che non andava a favore del beneficiario effettivo e della società lussemburghesi. Infatti, secondo l’avvocato generale dall’analisi della vicenda non erano emersi elementi tali da inficiare la validità dell’articolo 30, paragrafi 5 e 9, della direttiva 2015/849, come modificata dalla direttiva 2018/843.

In altre parole, se la legge locale prevede casi in cui il beneficiario può essere oscurato e tali casi non vengono dichiarati sussistenti, la normativa non viola la privacy. Questo perché, secondo l’avvocato generale, “spetta al titolare o all’entità che chiede il beneficio di una deroga all’accesso del pubblico alle informazioni provare che i legami in parola costituiscono un elemento pertinente che giustifica o suffraga l’esistenza di un rischio sproporzionato di lesione dei diritti fondamentali del titolare effettivo di cui trattasi”, vale a dire il rischio di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, nonché di qualsiasi violazione dei diritti fondamentali del titolare effettivo che giustifichi una deroga all’accesso del pubblico alle informazioni che lo riguardano. Se tutto ciò non viene provato dal beneficiario, la Camera di Commercio, in virtù della Direttiva Europea, può legittimamente respingere la richiesta di oscurare la visibilità del beneficiario effettivo.

La CGUE, tuttavia, in uno dei pochi casi di scuola, è andata contro il parere dell’avvocato generale.

I giudici della Grande Sezione (Link) hanno ritenuto che siccome i dati di cui al citato articolo 30, paragrafo 5 della direttiva 2015/849, contengono informazioni su persone fisiche identificate, ossia i titolari effettivi delle società e delle altre entità giuridiche costituite nel territorio degli Stati membri, l’accesso del pubblico a queste ultime incide sul diritto fondamentale al rispetto della vita privata, garantito dall’articolo 7 della Carta (v., per analogia, sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 94 e giurisprudenza ivi citata), senza che rilevi, in tale contesto, la circostanza che i dati di cui trattasi possano attenere ad attività professionali (v., per analogia, sentenza del 9 novembre 2010, Volker und Markus Schecke ed Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, punto 59). Inoltre, la messa a disposizione del pubblico di tali dati costituisce un trattamento di dati personali ai sensi dell’articolo 8 della Carta (v., per analogia, sentenza del 9 novembre 2010, Volker und Markus Schecke ed Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, punti 52 e 60).

La CGUE, nel ricordare che la Direttiva del 2015 consentiva l’accesso a queste informazioni solo da parte di soggetti portatori d’interesse legittimo, ha sottolineato come la successiva Direttiva del 2018, invece, abbia indebitamente esteso tale libertà a tutto il pubblico (verosimilmente sotto la spinta di una certa politica) senza che ciò venisse giustificato da un interesse concreto.

Questo conferma che anche il legislatore europeo può commettere dei gravi errori a cui poi la CGUE deve porre rimedio. Ecco i punti salienti della decisione:

Occorre altresì rilevare che, come risulta da una giurisprudenza costante della Corte, mettere dati personali a disposizione di terzi costituisce un’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, indipendentemente dall’uso successivo delle informazioni comunicate. A tal riguardo, poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno carattere delicato o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza (sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 96 e giurisprudenza ivi citata).

40	Pertanto, l’accesso del pubblico alle informazioni sulla titolarità effettiva, previsto all’articolo 30, paragrafo 5, della direttiva 2015/849 modificata, costituisce un’ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta.

Per quanto riguarda la gravità di tale ingerenza, occorre rilevare che le informazioni messe a disposizione del pubblico, nella misura in cui si riferiscono all’identità del titolare effettivo nonché alla natura e all’entità dell’interesse beneficiario detenuto in società o in altre entità giuridiche, sono tali da permettere di delineare un profilo riguardante taluni dati d’identificazione personale di natura più o meno estesa in funzione della configurazione del diritto nazionale, lo stato patrimoniale dell’interessato nonché i settori economici, i paesi e le imprese in cui quest’ultimo ha investito.

A ciò si aggiunge che è insito nel fatto di mettere tali informazioni a disposizione del pubblico che queste ultime siano allora accessibili ad un numero potenzialmente illimitato di persone, cosicché un simile trattamento di dati personali può consentire anche a persone che, per ragioni estranee all’obiettivo perseguito da detta misura, cerchino di ottenere informazioni, in particolare, sulla situazione materiale e finanziaria del titolare effettivo, di accedere liberamente a tali dati (v., per analogia, sentenza del 1o agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punti 102 e 103). Tale possibilità risulta ancor più agevole quando, come avviene in Lussemburgo, i dati in questione possono essere consultati su Internet.

Inoltre, le potenziali conseguenze per le persone interessate derivanti da un eventuale uso abusivo dei loro dati personali sono aggravate dalla circostanza che, una volta messi a disposizione del pubblico, tali dati possono non solo essere liberamente consultati, ma altresì essere conservati e diffusi e che, in caso di simili trattamenti successivi, per tali persone diventa vieppiù difficile, se non addirittura illusorio, difendersi efficacemente dagli abusi.

Pertanto, l’accesso del pubblico alle informazioni sulla titolarità effettiva, previsto dall’articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 modificata, costituisce una grave ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta (v., per analogia, sentenza del 1o agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 105).

Sulla giustificazione dell’ingerenza risultante dall’accesso del pubblico alle informazioni sulla titolarità effettiva

45	I diritti fondamentali sanciti agli articoli 7 e 8 della Carta non appaiono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale (sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 112 e giurisprudenza ivi citata).

Ai sensi dell’articolo 52, paragrafo 1, prima frase, della Carta, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla stessa devono essere previste dalla legge e rispettare il loro contenuto essenziale. Secondo l’articolo 52, paragrafo 1, seconda frase, della Carta, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni a tali diritti e libertà solo qualora esse siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. A tale riguardo, l’articolo 8, paragrafo 2, della Carta precisa che i dati personali devono, in particolare, essere trattati «per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

Peraltro, per quanto riguarda il bilanciamento tra la gravità di tale ingerenza, rilevata ai punti da 41 a 44 della presente sentenza, e l’importanza dell’obiettivo di interesse generale di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, occorre considerare che, sebbene, tenuto conto della sua importanza, tale obiettivo sia, come constatato al punto 59 della presente sentenza, idoneo a giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, resta il fatto che, da un lato, la lotta contro il riciclaggio di denaro e il finanziamento del terrorismo spetta prioritariamente alle autorità pubbliche nonché alle entità, quali gli enti creditizi o gli istituti finanziari, che, in ragione delle loro attività, sono assoggettate ad obblighi specifici in tale materia.

Del resto, è per tale motivo che l’articolo 30, paragrafo 5, primo comma, lettere a) e b), della direttiva 2015/849 modificata prevede che le informazioni sulla titolarità effettiva debbano essere accessibili, in ogni caso, alle autorità competenti e alle unità di informazione finanziaria, senza alcuna restrizione, nonché ai soggetti obbligati, nell’ambito dell’adeguata verifica della clientela.

D’altra parte, rispetto a un regime come quello dell’articolo 30, paragrafo 5, della direttiva 2015/849 nella versione precedente all’entrata in vigore della direttiva 2018/843, che prevedeva, oltre all’accesso da parte delle autorità competenti e di determinate entità, quello da parte di qualunque persona od organizzazione che potesse dimostrare un legittimo interesse, il regime introdotto da quest’ultima direttiva, che prevede l’accesso del pubblico alle informazioni sulla titolarità effettiva, rappresenta una lesione considerevolmente più grave dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, senza che tale aggravamento sia compensato dagli eventuali benefici che potrebbero derivare da quest’ultimo regime rispetto al primo, sotto il profilo della lotta contro il riciclaggio di denaro e il finanziamento del terrorismo (v., per analogia, sentenza del 1o agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 112).

Alla luce di queste motivazioni, la CGUE ha dichiarato l’invalidità della parte della Direttiva che consentiva l’accesso pubblico e indiscriminato alle informazioni riguardanti i beneficiari effettivi. Attenzione: il registro non è stato cancellato e nemmeno l’obbligo comunicativo ai fini antiriciclaggio, ma è stato soltanto limitato l’accesso di queste informazioni in tutta l’UE.

Molti Stati si sono subito adeguati (ad es. Lussemburgo, Malta e Olanda: Link) negando l’accesso al pubblico, mentre altri sono in procinto di farlo come ad esempio l’Italia (Link).

Nel nostro paese la comunicazione dei beneficiari effettivi in camera di commercio è regolata dal D.Lgs. n. 231/2007 (la c.d. normativa antiriciclaggio), mentre lo scorso 25 maggio 2022 è stato pubblicato in G.U. il Decreto n. 55/2022 del MEF di concerto con il MISE, contenente le disposizioni regolamentari del registro dei titolari effettivi delle imprese dotate di personalità giuridica. Tuttavia la suindicata normativa, che recepisce la Direttiva Europea, non sarà operativa fino all’approvazione dei decreti attuativi, anche se sarebbe preferibile che, alla luce della decisione della CGUE, il Governo decida di regolare la questione con una fonte di rango primario (legge) e non con una fonte di rango secondario (decreti attuativi).

Già oggi il sito del Registro delle Imprese italiano limita la consultazione dei dati completi sulla titolarità effettiva ai soli “soggetti obbligati, previo accreditamento, alle autorità, secondo quanto previsto dalla normativa, e ad altri soggetti legittimati da una richiesta motivata e presentata alla Camera di Commercio territorialmente competente”.

Nello specifico, inoltre, viene detto che “i soggetti obbligati devono presentare domanda di accreditamento alla Camera di Commercio territorialmente competente per accedere ai dati sulla titolarità effettiva. L’accesso delle autorità competenti è disciplinato da apposita convenzione con Unioncamere ed il gestore del sistema.

Gli altri soggetti che vogliono accedere alle informazioni, anche in caso di presenza di controinteresse all’accesso – quando cioè il Titolare Effettivo si oppone alla pubblicazione del dato in quanto ciò lo esporrebbe ad un rischio sproporzionato – devono presentare motivata richiesta alla Camera di Commercio territorialmente competente“.

Per quanto sin qui esposto, d’ora in poi nell’Unione Europea – a meno di escamotage legislativi – senza un interesse legittimo non sarà più possibile rispondere alla domanda: “a chi appartiene quella società?” con il supporto di documenti ufficiali. Il motivo è quello spiegato in questo approfondimento: con buona pace dei giornalisti o dei più curiosi, il beneficiario effettivo di una società (obbligo dichiarativo che continuerà a sussistere) non è una “notizia” che deve essere di dominio pubblico ma, al contrario, dato che attiene alla sfera privata, sarà un fatto conoscibile solo da determinati soggetti.

Avv. Felice Raimondo

Ti è piaciuto il contenuto di questo articolo? Su Amazon sono presenti 4 libri interamente dedicati ad argomenti analoghi:

Il Diavolo è nei dettagli vol. 1: https://amzn.to/3NAmyoW

Il Diavolo è nei dettagli vol. 2: https://amzn.to/3NBm9Cz

Fair Play Finanziario: https://amzn.to/449WMir

Super Lega vs Super Federazioni: https://amzn.to/3rgmAus

Condividi l'articolo:

Cookie	Durata	Descrizione
apbct_cookies_test	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_headless	session	Cleantalk set this cookie to detect spam and improve the website's security.
apbct_page_hits	never	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_prev_referer	never	Functional cookie placed by CleanTalk Spam Protect to store referring IDs and prevent unauthorized spam from being sent from the website.
apbct_site_landing_ts	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_site_referer	3 days	This cookie is placed by CleanTalk Spam Protect to prevent spam and to store the referrer page address which led the user to the website.
apbct_timestamp	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_urls	3 days	This cookie is placed by CleanTalk Spam Protect to prevent spam and to store the addresses (urls) visited on the website.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
ct_checked_emails	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms and to act as the site's complete anti-spam solution and firewall.
ct_checkjs	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_fkp_timestamp	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_has_scrolled	session	CleanTalk sets this cookie to store dynamic variables from the browser.
ct_pointer_data	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_ps_timestamp	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_sfw_pass_key	1 month	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
ct_timezone	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ts	1 year 1 month 4 days	PayPal sets this cookie to enable secure transactions through PayPal.
ts_c	1 year 1 month 4 days	PayPal sets this cookie to make safe payments through PayPal.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_test_cookie	session	This cookie is used to check if the cookies are enabled on the users' browser.

Cookie	Durata	Descrizione
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ct_screen_info	session	CleanTalk sets this cookie to complete an anti-spam solution and firewall for the website, preventing spam from appearing in comments and forms.
u	1 year	This cookie is used by Bombora to collect information that is used either in aggregate form, to help understand how websites are being used or how effective marketing campaigns are, or to help customize the websites for visitors.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Durata	Descrizione
A3	1 year	Yahoo set this cookie for targeted advertising.
ab	1 year	Owned by agkn, this cookie is used for targeting and advertising purposes.
c	1 year	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
DSID	1 hour	This cookie is set by DoubleClick to note the user's specific user identity. It contains a hashed/encrypted unique ID.
everest_g_v2	1 year	The cookie is set under the everesttech.net domain to map clicks to other events on the client's website.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
pxrc	2 months	This cookie is set by pippio to provide users with relevant advertisements and limit the number of ads displayed.
rlas3	1 year	RLCDN sets this cookie to provide users with relevant advertisements and limit the number of ads displayed.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
tuuid	1 year	The tuuid cookie, set by BidSwitch, stores an unique ID to determine what adverts the users have seen if they have visited any of the advertiser's websites. The information is used to decide when and how often users will see a certain banner.
tuuid_lu	1 year	This cookie, set by BidSwitch, stores a unique ID to determine what adverts the users have seen while visiting an advertiser's website. This information is then used to understand when and how often users will see a certain banner.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
_rxuuid	1 year	Unruly Media sets this cookie to store information on how the end user uses the website and any advertising that the end user may have seen before visiting the said website.
__gpi	1 year 24 days	Google Ads Service uses this cookie to collect information about from multiple websites for retargeting ads.