Privacy e antiriciclaggio. Convivenza messa a dura prova dal registro dei titolari effettivi

Articolo header

Privacy e antiriciclaggio. Convivenza messa a dura prova dal registro dei titolari effettivi.


Protezione dei dati personali e normativa antiriciclaggio

I destinatari della normativa antiriciclaggio e di contrasto al finanziamento del terrorismo, di cui al d.lgs.  231/2007, novellato dai d.lgs. 90/1017 e 125/2019, sono chiamati a predisporre presidi volti non soltanto ad intercettare fattispecie concrete di chi immette denaro o altre utilità derivanti da proventi illeciti nel circuito economico, finanziario o imprenditoriale, quanto piuttosto ad evitare in via preventiva che tali casistiche si concretizzino ponendo quindi attenzione anche a semplici situazioni oggettivamente anomale ed elusive.

Il più grande strumento di prevenzione di cui i soggetti obbligati dispongono e possono avvalersi consiste nella procedura di adeguata verifica della clientela che deve essere utilizzata da tutti gli operatori al fine di poter identificare, verificare, certificare chi sia il cliente ed individuare il tipo di operazione o prestazione richiesta. 

In ogni caso, il corretto assolvimento degli obblighi di adeguata verifica presuppone un approccio basato sul rischio tale da determinare una classe di rischio che risulterà tanto più elevata quanto maggiore risulti essere il grado di opacità riscontrato nelle informazioni richieste e da questi fornite (che si tratti di dati anagrafici piuttosto che dell’indicazione circa l’origine dei fondi o ancora di dati economico-reddituali o ancor più dell’origine storica del patrimonio). 

La procedura in questione non si esaurisce, tuttavia, in un’unica misura ma in base alle risultanze del profilo di rischio calcolato si pondera la profondità degli ulteriori approfondimenti e la tipologia dei dati da raccogliere (documenti di approfondimento della posizione o inerenti più propriamente l’operazione in sé). 

L’adeguata verifica della clientela costituisce, infatti, uno dei basilari e fondamentali punti cardine in materia antiriciclaggio, gravante sui soggetti obbligati affinché entrino in possesso di tutti quegli elementi che possano consentire di “pesare” il cliente ed intercettare la presenza di un eventuale rischio di riciclaggio. Il summenzionato processo, quindi, avviene non solo al momento del censimento o di instaurazione del rapporto d’affari con la clientela ma anche in costanza di relazione. 

Tali misure come anche le informazioni che vengono acquisite devono in ogni caso rispettare le garanzie stabilite dalla normativa in materia di protezione dei dati personali. Al quesito sulla liceità della raccolta dei suddetti dati, del loro utilizzo e del relativo trattamento risponde il Regolamento UE 2016/679 dettato in materia di protezione dei dati personali, in particolare all’art. 6 rubricato “base giuridica del trattamento”, in virtù del quale la base giuridica del trattamento risulta lecita nella misura in cui si prospetti “almeno una” delle condizioni espressamente elencate dalla medesima norma, ovvero:

  1. vi sia il consenso dell’interessato
  2. il trattamento risulta necessario per l’esecuzione di un contratto
  3. il trattamento è necessario per l’adempimento di un “obbligo legale”
  4. il trattamento è necessario per salvaguardare “gli interessi vitali dell’interessato”
  5. il trattamento è necessario per l’esecuzione di un compito di “interesse pubblico” o connesso a “pubblici poteri”
  6. il trattamento è necessario per il perseguimento del “legittimo interesse” del titolare del trattamento. 

Si precisa che (come viene definito dall’art. 4, 1°paragrafo, punto 7 del GDPR) per Titolare del trattamento si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, identificandosi quindi con il soggetto obbligato così come individuato dalla normativa antiriciclaggio. 

Ebbene per espressa disposizione normativa (articolo 2, comma 6-bis, del decreto legislativo 231/07) il trattamento dei dati personali effettuato per le finalità di contrasto del riciclaggio e del terrorismo internazionale è considerato di interesse pubblico ai sensi del regolamento UE 2016/679, del Parlamento europeo e del Consiglio e della relativa normativa nazionale di attuazione. 

Ne consegue che è la stessa normativa sulla protezione dei dati personali che individua una base giuridica lecita nell’obbligo di legge o nel perseguimento del pubblico interesse della normativa di contrasto del riciclaggio e del finanziamento del terrorismo dando luogo ad una deroga sul consenso, con la precisazione che tale deroga sussiste unicamente sul solo “trattamento dei dati”, così da comportarne l’assoggettamento della normativa in oggetto agli altri principi e obblighi previsti dal GDPR. 

Ciò obbliga il destinatario della normativa AML/CTF (Anti Money Laundering/Counter Terrorist Financing), tra le altre cose, alla raccolta dei dati ritenuti necessari commisurando il relativo adempimento al grado di rischiosità associato al cliente o all’operazione o prestazione professionale richiesta prestando attenzione a non confluire in quelle circostanze che rendano inopportuno o eccedente un controllo così approfondito. 

Allo stesso modo i dati raccolti dovranno comunque essere trattati esclusivamente ai fini antiriciclaggio, dovrà essere garantita la sicurezza degli stessi, gestirne il relativo accesso ed il mantenimento in un apposito repository per un arco temporale necessario ed adeguato. Tanto è vero che, alla luce dell’art. 5 del Regolamento UE 2016/679, in cui viene sancito il principio della limitazione della conservazione, i dati personali vanno “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. 

Il Registro dei titolari effettivi

L’istituendo registro dei titolari effettivi non si sottrae certo a queste regole, anzi forse più ancora degli altri adempimenti previsti dalla normativa antiriciclaggio espone banche, intermediari e amministratori di società e trust a significativi rischi di contestazioni per una possibile violazione delle norme di tutela della privacy. 

È lo stesso Garante europeo della protezione dei dati personali (EDPS) a chiedere agli Stati chiamati a istituire e regolare il citato registro dei titolari effettivi e dei trust ad assicurare che il loro funzionamento venga ispirato ai principi della minimizzazione dei dati, dell’esattezza e della tutela della vita privata fin dalla progettazione e per impostazione predefinita. L’EDPS ha raccomandato alla Commissione di vigilare sull’effettiva attuazione del quadro esistente in materia di antiriciclaggio e di contrasto del finanziamento del terrorismo, garantendo al contempo il rispetto della normativa a tutela della privacy e del quadro in materia di protezione dei dati. Tali aspetti assumono un’importanza ancora maggiore in considerazione della prevista interconnessione che dovrà esserci tra i registri sulla titolarità effettiva dei diversi Stati europei (cosiddetto sistema Boris). 

Il 23 dicembre 2019, poco più di due anni fa quindi, il Ministero dell’Economia e delle Finanze italiano, di concerto con il Ministero dello Sviluppo Economico, ha predisposto uno schema di Regolamento ministeriale relativo all’istituzione del Registro della titolarità effettiva delle imprese dotate di personalità giuridica, delle persone giuridiche private, dei trust e degli istituti e soggetti giuridici affini ai sensi art. 21, comma 5, d.lgs. n. 231/07. Lo schema di decreto prevedeva l’istituzione del registro dei titolari effettivi presso le Camere di Commercio (individuate quale Titolare del trattamento dei dati personali) con lo scopo di facilitare la verifica del dato di chi è il titolare effettivo di una determinata società anche da parte di soggetti interessati (ossia che presentano un legittimo interesse ad accedere a quel dato) e non soltanto, quindi, da quelli obbligati al rispetto della normativa antiriciclaggio (ad es. gli intermediari finanziari) o dalle autorità di vigilanza.

Vengono individuati quali soggetti obbligati alla comunicazione al registro le imprese dotate di personalità giuridica, le persone giuridiche private tenute all'iscrizione nel Registro delle persone giuridiche private nonché i trust produttivi di effetti giuridici rilevanti a fini fiscali ed istituti affini.

Tali soggetti dovranno comunicare i dati sui titolari effettivi ovvero della persona o delle persone fisiche che, in ultima istanza, possiedono o controllano il cliente nonché la persona fisica per conto della quale è realizzata un’operazione o un’attività (in tal senso si veda la definizione contenuta nell’articolo 1, comma 2, lett. u), del decreto legislativo n. 231 del 2007).

Registro dei titolati effettivi, il Garante per la protezione dei dati personali e il Consiglio di Stato

Lo schema di decreto è stato trasmesso dal MEF al Garante della Privacy per ottenere il parere di sua competenza. Il Garante con provvedimento n.2 del 14 gennaio 2021 dà atto del fatto che lo schema di decreto costituisce il risultato di diverse interlocuzioni avvenute tra il MEF e l’Ufficio del Garante e si sofferma poi su questi due aspetti:

  • l’accesso al registro dei titolari effettivi da parte del pubblico o di portatori di interessi giuridici rilevanti e differenziati;
  • la protezione dell’anonimato del soggetto che effettua una segnalazione di difformità.

Per quanto riguarda il primo aspetto, ai sensi dell’articolo 7 dello schema viene sancito che le informazioni sulla titolarità effettiva saranno accessibili al pubblico, dietro pagamento dei diritti di segreteria, e i dati accessibili comprenderanno il nome, il cognome, il mese e l'anno di nascita, il Paese di residenza e la cittadinanza del titolare effettivo, oltre alle condizioni da cui deriva lo status di titolare effettivo. 

Al riguardo il Garante ha ottenuto l’introduzione nel decreto di una procedura ad hoc secondo la quale – in seguito ad una prima valutazione positiva – verranno coinvolti anche i controinteressati nel procedimento di valutazione relativo all’ostensione o meno dei dati richiesti (art.7, comma 4 dello schema). È stata inoltre eliminata la possibilità di un accesso massivo alle informazioni conservate nel Registro.

Per quanto riguarda il secondo aspetto, attiene all’articolo 6 comma 4 dello schema: i soggetti obbligati, infatti, devono comunicare tempestivamente al gestore del Registro le eventuali difformità tra le informazioni sulla titolarità effettiva ottenute per effetto della consultazione del registro e quelle acquisite in sede di adeguata verifica della clientela. Dovrà perciò essere sempre garantito l’anonimato del soggetto che ha effettuato tale segnalazione.

Nonostante il parere sostanzialmente positivo del Garante Privacy, lo schema di decreto incontra però una sostanziale bocciatura da parte del Consiglio di Stato con un parere interlocutorio del 19 marzo 2021.

Con parere n. 1835 del 6 dicembre 2021, il Consiglio di Stato ha dato il via libera allo schema di decreto (nel frattempo riproposto dal MEF sulla scorta appunto del parere del 19 marzo dello stesso Consiglio), in materia di comunicazione accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust e istituti giuridici affini al trust. 

Sembra così superata la battuta d’arresto imposta alla prima bozza del decreto sul Registro dei titolari effettivi: riprende il percorso verso la corretta identificazione della clientela, necessaria per garantire uno strumento fondamentale ai fini del contrasto al riciclaggio. 

Anche se probabilmente il Registro rappresenterà una mera guida nelle articolate fasi dell’adeguata verifica ai fini dell’identificazione dei titolari effettivi in quanto resta fermo il principio dell’approccio basato sul rischio per rispettare gli obblighi dell’adeguata verifica della clientela, la sua pubblicazione nella Gazzetta Ufficiale permetterà non solo al nostro Paese di eliminare l’attuale situazione di ritardo sulla operatività del Registro ma consentirà anche la possibilità degli scambi informativi tra gli Stati membri previsti dal Regolamento di esecuzione UE della Commissione 2021/369 sui beneficial owner. 

Il Regolamento ha, infatti, oggetto "il sistema di interconnessione dei registri dei titolari effettivi («BORIS») è istituito come sistema decentrato che interconnette i registri centrali nazionali dei titolari effettivi e il portale europeo della giustizia elettronica attraverso la piattaforma centrale europea. Il BORIS funge da servizio centrale di ricerca che mette a disposizione tutte le informazioni relative alla titolarità effettiva, in linea con le disposizioni della direttiva (UE) 2015/849". 

Il nuovo schema di decreto è composto da undici articoli, suddivisi in tre sezioni:

  • la prima contiene le disposizioni generali;
  • la seconda disciplina l'accesso al registro dei titolari effettivi e a quello sui trust da parte delle autorità, da parte dei soggetti obbligati e da parte di altri soggetti;
  • la terza sezione regola i rapporti con l'Agenzia delle entrate e con gli altri uffici territoriali del Governo e vengono dettate disposizioni per il trattamento e la sicurezza dei dati.

Resta confermato che l'obbligo di comunicazione all'istituendo registro dei titolari effettivi ricade sugli amministratori di società a responsabilità limitata, sulle società per azioni, sulle società in accomandita per azioni, sulle società cooperative, sulle associazioni, sulle fondazioni e le altre istituzioni di carattere privato che acquistano la personalità giuridica mediante il riconoscimento determinato dall'iscrizione nel registro delle persone giuridiche istituito presso le Prefetture.

Nuova risulta invece essere la formulazione proposta con riguardo all'articolo 4, comma 1, lettera e) nella quale si prevede ora che la comunicazione che l'amministratore deve fare al registro dei titolari effettivi deve non solo contenere l'eventuale indicazione delle circostanze eccezionali che giustificherebbero la non ostensione del dato ai terzi ma anche l'indicazione di un indirizzo di posta elettronica al quale inviare eventuali richieste al controinteressato.

Tale specificazione risulta di fondamentale importanza al fine di consentire ai titolari effettivi di limitare il più possibile l'accesso ai loro dati da parte di soggetti diversi dalle Autorità di Vigilanza o da coloro che ne prendono visione per adempiere ad obblighi antiriciclaggio.

Allorché, infatti, nella comunicazione inviata al registro dei titolari effettivi a cura dell'amministratore della società, risulti presente l'indicazione di un contro interesse all'ostensione del dato a terzi, la Camera di Commercio dovrà trasmettere la richiesta di accesso al controinteressato mediante comunicazione all'indirizzo di posta elettronica certificata comunicato dall'amministratore all’atto della comunicazione fata al registro dei titolari effettivi.

Entro dieci giorni dalla ricezione della predetta comunicazione, il controinteressato all'accesso (si pensi al fiduciante che attraverso una fiduciaria controlla una società o ai beneficiari di un trust) può trasmettere, a mezzo posta elettronica certificata, una motivata opposizione. 

La Camera di Commercio valuterà caso per caso le circostanze eccezionali che giustificano in tutto o in parte il diniego all'accesso differenziato, concreto ed attuale dedotto con la richiesta. 

L'accesso ai dati contenuti nel registro dei titolari effettivi e dei trust da parte di terzi può essere escluso in tutto o in parte all'esito della valutazione della Camera di Commercio territorialmente competente, delle circostanze eccezionali rappresentate dal controinteressato.

Il diniego motivato dell'accesso è comunicato al richiedente, a mezzo posta elettronica certificata, entro venti giorni dalla richiesta di accesso. In mancanza di comunicazione entro il già menzionato termine l'accesso si intende respinto.

Avverso il diniego dell'accesso il richiedente può presentare ricorso al tribunale amministrativo regionale.

Qualche sintetica riflessione finale

Fatta questa breve illustrazione sull’istituendo Registro dei titolati effettivi si può già ora immaginare che i rispettivi Responsabili della protezione dei dati personali, cioè quelli degli enti che dovranno trasmettere i dati alle competenti Camere di Commercio e quelli nominati presso le Camere stesse, saranno ancora una volta chiamati al lavoro per contribuire all’esatto trattamento dei dati oggetto delle corrispondenti comunicazioni tra i soggetti in campo. 

Non pare ci siano dubbi che i DPO dovranno tenere sempre a mente il bilanciamento definito a monte dallo stesso legislatore allorquando quest’ultimo ha stabilito quali dati personali debbono essere comunicati e con quali presupposti alcuni soggetti potranno avere accesso a tali dati e ciò per svolgere al meglio le sue attività previste dal GDPR sia quelle concernenti i pareri sia quelle relative ai controlli.  

Trasparenza e tutela dei mercati finanziari, contrasto al riciclaggio e al finanziamento del terrorismo, protezione dei dati personali. In altre parole: sicurezza economico/finanziaria e la protezione dei dati delle persone coinvolte. 

Non pare ci debbano esserci ancora dubbi sulla accountability che dovrà permeare soprattutto quegli uffici delle Camere di Commercio che saranno deputate alla tutela dei dati personali pervenuti, archiviati, custoditi e conservati in specifiche banche dati con tutte, quindi, le garanzie di sicurezza dei sistemi telematici ed informatici messi in opera.

Gli stessi DPO (è appena il caso di ricordare che per le Camere di Commercio è obbligatoria la nomina del RPD) saranno chiamati anche al controllo delle comunicazioni tra portale (della giustizia elettronica), piattaforma (centrale europea) e i Registri nazionali di ciascun Paese dell’Unione europea e per tali attività saranno prese, come base, le norme minime di sicurezza informatica previste al punto 6 dell’Allegato al citato Regolamento 369.   

Responsabilizzazione che non potrà che basarsi sulla conoscenza interdisciplinare, non bastando quella sul GDPR. Qui, infatti, oltre al Regolamento sulla protezione dei dati e la libera circolazione di essi, si interconnettono le norme della IV Direttiva UE 2015/849 e V Direttiva UE 2018/843, del D.lgs. 231 del 2007 con tutti i suoi aggiornamenti di recepimento delle numerose Direttive europee sulla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e il Regolamento di esecuzione UE n.369 del 2021. 

In conclusione di questa veloce carrellata sul Registro dei titolari effettivi che a breve andrà a regime anche in Italia, per i DPO leggere negli articoli 30 e 31 della Direttiva europea n.849 che le informazioni sulle persone fisiche (perché solo queste sono i beneficial owner) devono essere “adeguate”, “accurate” e “attuali” non rappresenterà certamente una novità avendo bene a mente, quali appunto Responsabili della protezione dei dati, quanto dispone il GDPR sui dati personali con l’art.5 (“adeguati”, “pertinenti”, “limitati”, “esatti”). 

Appuntamento alla prossima newsletter che seguirà l’emanazione dell’atteso Decreto interministeriale (MEF e MISE) nella quale saranno approfonditi i temi della liceità dei trattamenti, della Titolarità dei trattamenti dei dati personali oggetto delle comunicazioni che alimenteranno il Registro con attenzione particolare ai ruoli eventuali di Responsabili (ex art. 28 del GDPR) e di Contitolari (ex art. 26 del GDPR) e senza dimenticare sia che tra i dati delle persone fisiche ci saranno (soprattutto) anche quelli finanziari sia alla prevista possibilità degli accessi al Registro, quindi ai dati, di più soggetti, pubblici e privati.

Articolo a cura del Gruppo Settore Privato del Comitato Scientifico di ASSO DPO.

Altre news