Nell’ambito del contrasto al riciclaggio di denaro e al finanziamento del terrorismo, gli Stati membri UE devono assicurare che le società e gli altri soggetti giuridici costituiti nel loro territorio ottengano e mantengano informazioni adeguate, accurate e aggiornate sui propri titolari effettivi. Ma questo implica un trattamento di dati personali. Il Garante europeo per la protezione dei dati chiede più privacy.
Sommario
- La normativa antiriciclaggio
- La titolarità effettiva
- Ma chi sono i titolari effettivi (detti anche UBO, Ultimate Beneficial Owner)?
- Il Garante Europeo chiede più privacy
La normativa antiriciclaggio
La normativa di prevenzione e di contrasto al riciclaggio e al finanziamento del terrorismo internazionale si compone di leggi internazionali e nazionali. Le fonti internazionali sono tratte da standard internazionali, norme europee e convenzioni internazionali tra le quali si possono ricordare:
- Le Raccomandazioni del GAFI
- Le norme europee
- La normativa nazionale
Le Raccomandazioni del GAFI
Gli International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation, elaborati dal GAFI (Gruppo d’Azione Finanziaria Internazionale) in 40 Raccomandazioni, costituiscono i principi fondamentali per la prevenzione e il contrasto del riciclaggio e del finanziamento del terrorismo. Principi che gli Stati devono recepire nei rispettivi ordinamenti giuridici, amministrativi e finanziari.
Nelle Raccomandazioni sono raccolti i frutti dell’esperienza maturata nell’applicazione degli standard nel corso degli anni, delle criticità riscontrate nelle valutazioni dei sistemi antiriciclaggio nazionali e dell’evoluzione dei rischi. In particolare, alla base di tale approccio c’è l’accurata valutazione del rischio (risk assessment) nazionale su base periodica.
Le norme europee
La legislazione dell’Unione Europea inizia negli anni ’90 e si è sviluppata in 5 Direttive.
La quinta Direttiva UE/2018/843, attualmente in vigore, apporta al quadro normativo dell’Unione modifiche mirate su alcune materie specifiche, completando le previsioni introdotte dalla quarta Direttiva UE/2015/849.
Da evidenziare subito, per sottolineare la stretta interdisciplinarità tra le norme di contrasto al riciclaggio e quelle sulla protezione dei dati personali, che entrambe le Direttive (come si legge nei rispettivi Considerando) sono state emanate dopo la consultazione del Garante europeo della protezione dei dati.
La quarta e la quinta Direttiva antiriciclaggio potenziano il sistema di prevenzione degli Stati membri in virtù delle Raccomandazioni del GAFI del 2012 (aggiornate al 2020) e valorizzano, come sopra indicato, l’approccio basato sul rischio (risk-based approach) per la valutazione e la conseguente gradazione dei presidi preventivi e dei controlli.
Come si può notare è lo stesso metodo che si adotta nella fase della accountability da parte del Titolare del trattamento dei dati personali allorquando questi deve provvedere alla valutazione dei rischi prima di procedere, by design e by default, al trattamento stesso.
Venendo all’argomento della newsletter si sottolinea che la quinta Direttiva, tra l’altro, estende le misure di trasparenza della titolarità effettiva di società e trust prevedendo l’istituzione di registri nazionali ampiamente accessibili e interconnessi con una piattaforma comune per lo scambio di informazioni contenute nei diversi registri per l’individuazione di rapporti finanziari nell’intera Unione stessa.
La normativa nazionale
La cornice legislativa antiriciclaggio è oggi rappresentata dal D.Lgs. 21 novembre 2007, n. 231, da ultimo modificato dal D.lgs.125/2019 e dalle relative disposizioni di attuazione emanate dal Ministro dell’economia e delle finanze, dall’Unità di Informazione Finanziaria per l’Italia e dalle Autorità di vigilanza di settore (con la così detta normativa secondaria).
La titolarità effettiva
Per proseguire il nostro approfondimento è necessario ricordare chi sono, per la normativa in oggetto, i titolari effettivi.
Lo stesso GAFI sopra ricordato nelle sue Raccomandazioni del 2012 evidenzia l’indispensabile – per la trasparenza – conoscenza delle persone fisiche che hanno la titolarità effettiva delle persone giuridiche. Per i trust dedica un apposito paragrafo dopo quello per le società.
Anche la quinta Direttiva (la 843 del 2018) ai Considerando e agli articoli richiama la necessità per la quale gli Stati membri devono adottare sistemi con i quali si possa conoscere la titolarità effettiva delle società e dei trust. Si legge nel Considerando 25 che “con un sistema finanziario che presenta interconnessioni su scala globale è possibile nascondere e trasferire fondi in tutto il mondo, e i soggetti che riciclano denaro, finanziano il terrorismo o commettono altri crimini sfruttano questa possibilità in misura crescente”.
Ecco perché “…gli Stati membri devono assicurare che le società e gli altri soggetti giuridici costituiti nel loro territorio ottengano e mantengano informazioni adeguate, accurate e aggiornate sui propri titolari effettivi. La necessità di informazioni accurate e aggiornate sul titolare effettivo è un elemento fondamentale per rintracciare criminali che potrebbero altrimenti riuscire a occultare la propria identità dietro una struttura societaria”.
E con le modifiche all’articolo 30 della IV Direttiva (informazioni sulla titolarità effettiva), tra l’altro, si afferma: “gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva siano accessibili in ogni caso:
a) alle autorità competenti e alle FIU (per l’Italia è la UIF, Unità di Informazione Finanziaria), senza alcuna restrizione;
b) ai soggetti obbligati, nel quadro dell’adeguata verifica della clientela;
c) al pubblico”.
E ancora: “Le persone di cui alla lettera c) hanno accesso almeno al nome, al mese e anno di nascita, al paese di residenza e alla cittadinanza del titolare effettivo così come alla natura ed entità dell’interesse beneficiario detenuto.
Gli Stati membri possono, alle condizioni stabilite dal diritto nazionale, garantire l’accesso a informazioni aggiuntive che consentano l’identificazione del titolare effettivo. Tali informazioni aggiuntive includono almeno la data di nascita o le informazioni di contatto, conformemente alle norme sulla protezione dei dati”.
Si comprende come l’impatto sui dati personali dei titolari effettivi (conservati in appositi registri) è davvero ragguardevole e da presidiare con attenta accuratezza.
Ma chi sono i titolari effettivi (detti anche UBO, Ultimate Beneficial Owner)?
I titolari effettivi sono coloro che risultano essere i beneficiari finali, nell’interesse dei quali il rapporto continuativo è instaurato, la prestazione è resa o l’operazione è eseguita.
La loro individuazione ha rappresentato diverse difficoltà nel tempo. Oggi, con i D.Lgs. 90 del 2017 e 125 del 2019 (come già ricordato sono quelli di recepimento, rispettivamente, della IV e V Direttiva) si afferma che “Il titolare effettivo di clienti diversi dalle persone fisiche coincide con la persona fisica o le persone fisiche cui, in ultima istanza, è attribuibile la proprietà diretta o indiretta dell’ente ovvero il relativo controllo”.
E la norma prosegue indicando i criteri da seguire per la loro determinazione che resta non sempre di immediata soluzione.
In poche parole: per la prevenzione e il contrasto al riciclaggio si deve individuare, al termine della due diligence, le persone fisiche che otterranno i benefici dall’operazione chiesta ad un intermediario, ad un professionista, ad altri soggetti obbligati.
Ma passiamo all’argomento specifico, i trust.
Il Garante europeo chiede più privacy. Il caso dei trust.
L’articolo 31 dellaDirettiva UE 2015/849 (nota come IV Direttiva antiriciclaggio) impone ai trust e alle persone che ricoprono una posizione equivalente in un istituto giuridico affine di:
- Ottenere e mantenere informazioni adeguate, accurate e attuali sulla titolarità effettiva dell’istituto.
- Rendere noto il proprio stato e fornire prontamente ai soggetti obbligati (i.e. banche, intermediaria, professionisti, ecc.) le informazioni relative alla titolarità effettiva dell’istituto.
- Inviare informazioni sulla titolarità effettiva dell’istituto al registro centrale dei titolari effettivi istituito nel Paese in cui è stabilito o risiede il trustee, oppure nel Paese in cui l’istituto avvia rapporti d’affari o acquisisce proprietà immobiliari laddove il trustee sia stabilito o risieda al di fuori dell’UE.
- Fornire una prova della registrazione nel registro centrale dei titolari effettivi o un estratto della stessa laddove intenda avviare rapporti d’affari in un altro Stato membro.
In attuazione di quanto previsto dal citato articolo l’Italia, con i suddetti decreti 90/17 e 125/19, ha modificato e integrato il citato decreto legislativo 231/2007 prevedendo, all’articolo 21, comma 5, che sia il Ministro dell’Economia e delle Finanze, di concerto con il Ministro dello Sviluppo Economico, sentito il Garante per la protezione dei dati personali, a stabilire, con decreto, le disposizioni in materia di alimentazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti a fini fiscali e istituti giuridici affini al trust per finalità di prevenzione e contrasto dell’uso del sistema economico e finanziario a scopo di riciclaggio e di finanziamento del terrorismo.
Nello febbraio 2020 il Ministero dell’Economia e delle Finanze ha posto in pubblica consultazione la bozza del citato decreto strutturato in 11 articoli declinandone, tra l’altro, le modalità di consultazione e accesso da parte delle pubbliche Autorità, da parte dei soggetti obbligati agli adempimenti antiriciclaggio e da parte di altri soggetti.
Nelle more dell’emanazione del citato decreto è però intervenuto un importante Parere del Garante europeo della protezione dei dati. In tale documento, datato 23 luglio 2020, il Garante Europeo formula una serie di raccomandazioni nei confronti della Commissione europea per una politica integrata dell’Unione in materia di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo.
Il Garante Europeo chiede alla Commissione, nell’ambito dell’attuazione del quadro esistente in materia di antiriciclaggio e contrasto del finanziamento del terrorismo, di garantire il rispetto della normativa a tutela della privacy (GDPR) e del quadro in materia di protezione dei dati.
Ciò è particolarmente importante per i lavori sull’interconnessione dei registri centralizzati dei conti bancari e dei registri sulla titolarità effettiva. Tale raccomandazione non potrà certo passare inosservata ai tecnici del Ministero dell’Economia che stanno mettendo a punto il decreto attuativo del menzionato articolo 21 del D.Lgs. 231/07 con il quale si prevede l’istituzione del registro dei titolari effettivi di società, trust ed istituti affini. Sarà, evidentemente, il Garante Privacy italiano a dover valutare la compatibilità delle regole contenute nel citato decreto con le sopra citate raccomandazioni fatte dal Garante Europeo nella sua Opinion 5/2020.
Massima attenzione alla tutela della privacy viene richiesta anche alle banche, agli intermediari ed in generale a tutti i soggetti chiamati ad effettuare l’adeguata verifica della clientela in adempimento a quanto previsto dalla normativa antiriciclaggio. Il Garante Europeo per la protezione dei dati raccomanda, infatti, di mantenere le garanzie previste nella legislazione proposta per garantire il diritto dei clienti a essere informati della raccolta dei loro dati e circa le finalità per le quali i dati sono richiesti e saranno trattati, nonché per assicurare il rispetto dei principi di minimizzazione dei dati, limitazione delle finalità e protezione dei dati fin dalla progettazione, e i limiti del processo decisionale automatizzato relativo alle persone fisiche.
Il tema della “co-abitazione” della tutela dei dati personali e della raccolta e gestione dei dati nell’ambito degli adempimenti previsti dalla normativa di contrasto al riciclaggio e dell’evasione fiscale di tipo internazionale è anche stato oggetto della Petizione n. 1088/2016 fatta al Parlamento Europeo e sulla quale quest’ultimo è chiamato ad assumere delle decisioni proprio nel corrente mese di novembre.
Insomma, un’altra prova con la quale è dimostrata la centralità della legislazione sulla protezione dei dati personali con le altre diverse normative come quella oggetto del presente articolo.
E appare naturale terminare questo scritto ricordando, quindi, la obbligatoria condivisione di questo tema, per la sua attuazione concreta, tra il Responsabile della Funzione antiriciclaggio (e/o quello della funzione Compliance) e il collega Responsabile della protezione dei dati personali, il DPO (Data Protection Officer), che si tradurrà in scambi informativi, in proposte e suggerimenti da ambo le parti e nei controlli dovuti in base alle rispettive competenze (riguardo la delicatezza delle attività che saranno poste in essere si evidenzia che potrebbero essere trattati anche dati personali di incapaci o di minori).
Si pensi poi al DPO che deve obbligatoriamente essere nominato presso le Camere di Commercio (e di Infocamere gestore della piattaforma) dove saranno custoditi, alimentati e consultati i registri dei titolari effettivi. O al Responsabile AML quando dovrà valutare la qualità di una adeguata verifica effettuata dal soggetto obbligato alla normativa antiriciclaggio.
Sarà ancora una occasione per trovare (grazie alle capacità e alla sensibilità degli attori in gioco – a cominciare dagli Organi pubblici istituzionali) quel punto prezioso di bilanciamento degli interessi: nel nostro caso, tra gli interessi pubblici del contrasto alla criminalità nazionale e sovranazionale, la tutela del libero e trasparente mercato nella globalizzazione e gli interessi alla protezione delle persone e dei loro dati.
Articolo a cura del Gruppo Privato del Comitato Scientifico ASSO DPO