Registro dei titolari effettivi ai fini antiriciclaggio: il parere del Garante della privacy
Con il provvedimento n. 2 del 14 gennaio 2021, il Garante per la protezione dei dati personali si è espresso con favore sullo schema di decreto predisposto dal MEF, di concerto con il MISE che si occupa di regolare quali informazioni trasmettere al Registro delle imprese con riferimento ai titolari effettivi di persone giuridiche private, imprese dotate di personalità giuridica, trust e istituti giuridici affini e disciplina le modalità di comunicazione, accesso e consultazione di tali informazioni ai fini del contrasto al terrorismo e dell’antiriciclaggio.
Obiettivo del suddetto decreto è infatti quello di dare attuazione alla Direttiva UE 2018/843 (c.d. “V Direttiva Antiriciclaggio”), che modifica la Direttiva UE 2015/849 (c.d. “IV Direttiva Antiriciclaggio”), sulla prevenzione dell’uso del sistema finanziario ai fini di riciclaggio o finanziamento del terrorismo. Il decreto è adottato ai sensi dell’articolo 21, comma 5, del decreto legislativo 21 novembre 2007, n. 231, come modificato dai decreti legislativi 25 maggio 2017 n. 90 e 4 ottobre 2019, n. 125, secondo cui i ministeri preposti all’emanazione del decreto attuativo, devono sentire preventivamente il parere del Garante.
Secondo il Garante l’attuale formulazione della bozza di decreto non presenta criticità, anche perché i Ministeri hanno tenuto conto delle osservazioni formulate dall’Autorità durante le interlocuzioni intercorse tra la medesima e i loro rappresentanti, in cui il Garante è intervenuto esprimendo indicazioni adatte a far sì che la norma rispettasse pienamente i principi e le norme previste dal Regolamento n. 679/2016.
In particolare, il Garante, nella prima bozza di decreto presentata al suo ufficio, aveva espresso suggerimenti circa il rispetto del principio di limitazione della conservazione dei dati; sulla corretta individuazione delle categorie di dati personali nell’ambito delle informazioni da comunicare al Registro; sulla necessità di individuare misure appropriate, nel rispetto degli artt. 2-sexies e 2-octies del Codice, per il trattamento di informazioni “particolari” o “giudiziari” a tutela degli interessati che potrebbero essere esposti a furti, sequestri, frodi e altro (il Garante aveva raccomandato di prevedere la conservazione separata di tali informazioni); circa l’adozione di specifiche misure tecniche e organizzative finalizzate a garantire accessi selettivi ai dati personali da parte dei soli soggetti autorizzati dalle Camere di commercio a valutare le istanze di accesso da parte del pubblico o di portatori di interessi giuridici rilevanti e differenziati, nonché a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi mediante tecniche crittografiche (art. 10, comma 3, dello schema); il Garante aveva poi fornito indicazioni sui profili di sicurezza del trattamento dei dati personali in generale e dunque sulla necessità di predisporre un disciplinare tecnico in cui definire, in maniera dettagliata, le misure di sicurezza adottate, mentre, per quanto concerne l’accesso ai dati da parte del pubblico o di portatori di interessi, aveva segnalato di assicurare che, in caso di avviso da parte di un soggetto obbligato circa eventuali difformità tra i dati contenuti nel Registro e la titolarità acquisita in sede di adeguata verifica, venisse garantito l’anonimato del segnalante.
Il contenuto dello Schema di decreto su comunicazione, accesso e consultazione dei dati circa la titolarità effettiva d’impresa
L’attuale schema di decreto si compone quindi di 11 articoli che regolano la comunicazione, l’accesso e la consultazione dei dati e delle informazioni relative alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti a fini fiscali e istituti giuridici affini al trust per finalità di prevenzione e contrasto dell'uso del sistema economico e finanziario a scopo di riciclaggio e di finanziamento del terrorismo.
La definizione di titolare effettivo, cui rimanda la norma in commento, è quella di cui all’articolo 1, comma 2, lett. u), del citato decreto legislativo n. 231 del 2007, ossia si definisce titolare effettivo ai fini del decreto in esame “la persona o le persone fisiche che, in ultima istanza, possiedono o controllano il cliente nonché la persona fisica per conto della quale è realizzata un’operazione o un’attività”.
All’ articolo 2, lo schema prevede che i certificati e le copie relativi alle informazioni sulla titolarità effettiva consultabili nell'apposita sezione del Registro delle imprese siano rilasciate secondo quanto previsto dall'articolo 18 della legge 29 dicembre 1993, n. 580 e dell'articolo 24 del decreto del Presidente della Repubblica 7 dicembre 1995, n. 581 e che la comunicazione dei dati al medesimo Registro avvenga con le modalità e nei termini di cui all’unito allegato tecnico. Il medesimo articolo 2 al comma 2, prevede che i dati comunicati al Registro siano resi disponibili, per un periodo di 10 anni, in apposite sezioni del medesimo.
Titolare del trattamento dei dati personali è in tal caso la Camera di commercio competente a ricevere la comunicazione dei dati e delle informazioni sulla titolarità effettiva (art. 2, comma 3).
Secondo l’art. 3, gli amministratori delle imprese dotate di personalità giuridica sono tenuti ad acquisire i dati e le informazioni riferite alla titolarità effettiva dell’impresa, riportati chiaramente all’articolo 4 dello schema, e a trasmetterli all’ufficio del Registro delle imprese entro il 15 marzo 2021, mediante la comunicazione unica d’impresa, affinchè gli stessi dati e informazioni siano registrati e archiviati nella sezione del Registro ad essi dedicata.
E’ stabilito che i dati e le informazioni sulla titolarità effettiva debbano essere comunicati tramite una dichiarazione sostitutiva, resa ai sensi degli articoli 46 e 47 del d.P.R. 28 dicembre 2000, n. 445, assieme ad ogni documentazione utile a comprova (art. 3, comma 7).
L’articolo 5 dello schema si riferisce invece all’accesso ai dati e alle informazioni sulla titolarità effettiva conservate nel Registro delle imprese, da parte delle autorità a ciò autorizzate (cfr. art. 21, comma 2, lettere a), b), c) e d) e comma 4 lettere a), b) e c) d.lgs. 231 del 2007), stabilendo che tale accesso avvenga per via del sistema messo a disposizione da Infocamere, che ne cura la tenuta e l’aggiornamento per conto delle Camere di commercio.
Il successivo articolo 6 si occupa dell’accreditamento e della consultazione da parte dei “soggetti obbligati" alla verifica dell’identità del cliente e delle loro operazioni, in ossequio all’articolo 3 del d.lgs. 231 del 2007. Tali soggetti sono tenuti ad informare il gestore su eventuali difformità tra le informazioni sulla titolarità effettiva estratte dalla consultazione del registro e quelle acquisite in sede di adeguata verifica della clientela (artt. 18 e 19 d.lgs. 231/2007, art. 6 dello schema).
Il pubblico, dietro pagamento dei diritti di segreteria e nel rispetto delle modalità riportate nell’allegato tecnico al decreto in esame, può avere accesso alle informazioni sulla titolarità effettiva di imprese dotate di personalità giuridica e di persone giuridiche private, conservate nel Registro delle imprese. Le informazioni a cui il pubblico può accedere sono: il nome, il cognome, il mese e l'anno di nascita, il paese di residenza e la cittadinanza del titolare effettivo e le condizioni da cui deriva lo status di titolare effettivo, ai sensi dell'articolo 20 del d.lgs. 231 del 2007.
Inoltre, si stabilisce che l'Agenzia delle Entrate e gli Uffici Territoriali del Governo provvedono a comunicare ad Infocamere le anagrafiche, comprendenti i codici fiscali delle persone giuridiche di diritto privato, dei trust e degli istituti giuridici affini al trust, di cui siano in possesso; le modalità attuative di tale comunicazione verranno regolate da apposite convenzioni stipulate dai predetti soggetti con Unioncamere.
Concludendo, gli articoli 9 e 10 dello schema regolamentano le modalità di dialogo con il sistema di interconnessione dei registri e le misure tecniche e organizzative di sicurezza per il trattamento dei dati ai sensi dell’art. 32 del Regolamento n. 679/2016. Tali misure, come richiesto dal Garante, verranno descritte in apposito disciplinare tecnico, redatto dal gestore per conto del titolare del trattamento dei dati personali che sarà sottoposto a previo controllo del Garante.
Il Garante, pertanto, accoglie lo schema di decreto, sebbene suggerisce di chiarire nell’informativa da rendere agli interessati ex art. 13 del Regolamento n. 679/2016 che rispetto alla previsione secondo cui, “a comprova” dei dati e delle informazioni resi a mezzo dichiarazione sostituiva, sia resa altresì “ogni documentazione utile”, debba essere inviata solo la documentazione strettamente necessaria alla “comprova” e non altra documentazione e questo in conformità al principio di minimizzazione dei dati, per scongiurare che si raccolgano dati non necessari al perseguimento delle finalità di cui al decreto esaminato.