Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere su uno schema di decreto del MEF, di concerto con il MISE in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti ai fini fiscali e di istituti giuridici affini al trust - 14 gennaio 2021 [9541019]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9541019
Data:
14/01/21
Argomenti:
Imprese , Pubblici registri , Antiriciclaggio
Tipologia:
Parere del Garante

[doc. web n. 9541019]

Parere su uno schema di decreto del MEF, di concerto con il MISE in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti ai fini fiscali e di istituti giuridici affini al trust - 14 gennaio 2021

Registro dei provvedimenti
n. 2 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la richiesta di parere del Ministero dell’economia e delle finanze;

Vista la documentazione in atti;

Viste le osservazioni del vice segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il Ministero dell’economia e delle finanze ha trasmesso a questa Autorità, per il prescritto parere di competenza ai sensi dell’articolo 36, par. 4, del Regolamento, uno schema di regolamento, da adottarsi di concerto con il Ministro dello sviluppo economico, recante disposizioni in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti ai fini fiscali e di istituti giuridici affini al trust.

Il decreto - volto a dare attuazione alla Direttiva UE 2018/843 (c.d. “V Direttiva Antiriciclaggio”), che modifica la Direttiva UE 2015/849 (c.d. “IV Direttiva Antiriciclaggio”), relativa alla prevenzione dell’uso del sistema finanziario ai fini di riciclaggio o finanziamento del terrorismo – è adottato ai sensi dell’articolo 21, comma 5, del decreto legislativo 21 novembre 2007, n. 231, come modificato dai decreti legislativi 25 maggio 2017 n. 90 e 4 ottobre 2019, n. 125.

RILEVATO

2. Lo schema di regolamento - che si compone di 11 articoli – detta disposizioni in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relative alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti a fini fiscali e istituti giuridici affini al trust per finalità di prevenzione e contrasto dell'uso del sistema economico e finanziario a scopo di riciclaggio e di finanziamento  del terrorismo.

Lo schema tiene conto della definizione di titolare effettivo presente all’articolo 1, comma 2, lett. u), del citato decreto legislativo n. 231 del 2007, ossia “la persona o le persone fisiche che, in ultima istanza, possiedono o controllano il cliente nonché la persona fisica per conto della quale è realizzata un’operazione o un’attività”.

Al suo articolo 2 lo schema prevede che le modalità di rilascio di certificati e copie relativi alle informazioni sulla titolarità effettiva consultabili nell'apposita sezione del Registro delle imprese siano disciplinate ai sensi dell'articolo 18 della legge 29 dicembre 1993, n. 580 e dell'articolo 24 del decreto del Presidente della Repubblica 7 dicembre 1995, n. 581 (art. 2, comma 1) e che la comunicazione dei dati al medesimo Registro avvenga con le modalità e nei termini di cui all’unito allegato tecnico. I dati comunicati al Registro sono resi disponibili, per un periodo di 10 anni, in apposite sezioni del medesimo (comma 2).

Titolare del trattamento dei dati personali viene espressamente indicata la Camera di commercio competente a ricevere la comunicazione dei dati e delle informazioni sulla titolarità effettiva (art. 2, comma 3).

All’articolo 3 è stabilito che gli amministratori delle imprese dotate di personalità giuridica acquisiscano i dati e le informazioni inerenti alla titolarità effettiva dell’impresa – indicati espressamente all’articolo 4 dell’articolato – e li comunichino all’ufficio del Registro delle imprese entro il 15 marzo 2021, attraverso la comunicazione unica d'impresa, per la loro iscrizione e conservazione nella pertinente sezione del Registro.

E’ previsto che i dati e le informazioni sulla titolarità effettiva siano resi mediante dichiarazione sostitutiva, ai sensi degli articoli 46 e 47 del d.P.R. 28 dicembre 2000, n. 445 e ogni documentazione utile a comprova (art. 3, comma 7).

L’articolo 5 dello schema disciplina l’accesso ai dati e alle informazioni sulla titolarità effettiva presenti nel Registro delle imprese, da parte delle autorità a ciò legittimate (cfr. art. 21, comma 2, lettere a), b), c) e d) e comma 4 lettere a), b) e c) d.lgs. 231 del 2007), prevedendo che esso avvenga attraverso il sistema reso disponibile da Infocamere, che lo gestisce per conto delle Camere di commercio.

L’articolo 6 disciplina, invece, l’accreditamento e la consultazione da parte dei “soggetti obbligati" alla verifica dell’identità del cliente e delle loro operazioni, ai sensi dell’articolo 3 del d.lgs. 231 del 2007. Questi ultimi sono tenuti a riferire al gestore le possibili difformità tra le informazioni sulla titolarità effettiva ricavate dalla consultazione del registro e quelle ottenute in sede di adeguata verifica della clientela (artt. 18 e 19 d.lgs. 231/2007, art. 6 dello schema).

Si prevede, infine, che le informazioni sulla titolarità effettiva di imprese dotate di personalità giuridica e di persone giuridiche private, presenti nel registro delle imprese, siano accessibili al pubblico dietro pagamento dei diritti di segreteria, secondo le modalità indicate nell'allegato tecnico. L'accesso ha ad oggetto il nome, il cognome, il mese e l'anno di nascita, il paese di residenza e la cittadinanza del titolare effettivo e le condizioni da cui deriva lo status di titolare effettivo, ai sensi dell'articolo 20 del d.lgs. 231 del 2007.

L’articolo 8 dello schema prevede che l'Agenzia delle Entrate e gli Uffici Territoriali del Governo, forniscono a Infocamere le anagrafiche, comprensive di codici fiscali delle persone giuridiche di diritto privato, dei trust e degli istituti giuridici affini al trust, di cui siano in possesso in forza degli adempimenti prescritti dall’ordinamento vigente, rimandando le modalità attuative dello stesso ad apposite convenzioni stipulate dai predetti soggetti con Unioncamere.

Con gli articoli 9 e 10 dello schema, infine, vengono disciplinate rispettivamente le modalità di dialogo con il sistema di interconnessione dei registri e le misure di sicurezza del trattamento dei dati. Con apposito disciplinare tecnico, predisposto dal gestore per conto del titolare del trattamento dei dati personali, vengono definite le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'articolo 32 del Regolamento. Detto disciplinare tecnico è sottoposto alla verifica preventiva del Garante.

RITENUTO

3. Il testo su cui si esprime il parere - aggiornato dal Ministero rispetto ad una versione originariamente trasmessa - tiene conto delle indicazioni rese dall’Ufficio nel corso di alcune interlocuzioni intercorse con rappresentanti di quel dicastero, anche su aspetti di particolare rilevanza, al fine di conformare il regolamento alle garanzie previste dalla normativa europea e nazionale di protezione dati.

In particolare, tali indicazioni hanno riguardato i seguenti profili:

a) il rispetto del principio di limitazione della conservazione dei dati, di cui all’articolo 5, par. 1, lett. e), del Regolamento, rispetto al dies a quo di decorrenza del termine di 10 anni durante i quali le informazioni sono rese disponibili dal Registro delle imprese (art. 2, comma 2, dello schema di decreto), tenendo conto che la conferma delle stesse informazioni, a cadenza annuale, ne assicura l’esattezza e l’aggiornamento, nel rispetto dell’articolo 5, par. 1, lett. d), del Regolamento;

b) la corretta individuazione delle tipologie di dati trattati nell’ambito delle informazioni da comunicare al Registro delle imprese, con riferimento alla posizione dei titolari effettivi che potrebbero trovarsi nelle c.d. circostanze eccezionali indicate dagli articoli 21, commi 2, lett. f), e 4, lett. d)-bis, del d.lgs. 231/2007 (cioè coloro che potrebbero essere esposti ad un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione ovvero quando si tratta di persone incapaci o minori d’età), con la specificazione che potrebbero esservi anche categorie particolari di dati personali o dati personali relativi a condanne penali e reati, di cui agli articoli 9 e 10 del Regolamento (art. 4, comma 1, lett. e), dello schema);

c) la previsione di misure appropriate, nel rispetto degli artt. 2-sexies e 2-octies del Codice, per il trattamento dei predetti dati “particolari” o “giudiziari”, e cioè:  la conservazione separata di tali informazioni; l’adozione di specifiche misure tecniche e organizzative volte ad assicurare accessi selettivi ai dati personali da parte dei soli soggetti autorizzati dalle Camere di commercio a valutare le istanze di accesso da parte del pubblico o di portatori di interessi giuridici rilevanti e differenziati, nonché a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi attraverso l’adozione di tecniche crittografiche (art. 10, comma 3, dello schema);

d) l’introduzione di una procedura nei casi di accesso da parte del pubblico o di portatori di interessi giuridici rilevanti e differenziati ai dati dei titolari effettivi che potrebbero trovarsi nelle richiamate circostanze eccezionali, secondo la quale, ove all’esito di una prima valutazione si ritenga di consentire l’accesso, i controinteressati siano coinvolti nel procedimento di valutazione circa l’ostensione o meno dei dati richiesti (art. 7, comma 4, dello schema);

e) l’eliminazione della previsione relativa alle richieste di accesso massivo e periodico alle informazioni sulla titolarità effettiva conservate nel Registro delle imprese (art. 7 dello schema);

f) la sicurezza complessiva del trattamento in esame, con la previsione che il gestore del Registro delle imprese: predisponga, prima del trattamento, un disciplinare tecnico volto a definire misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi dell’articolo 32 del Regolamento, da sottoporre poi alla verifica preventiva del Garante (art. 10, commi 1 e 2);

g) la precisazione che, in caso di segnalazione di difformità da parte di un soggetto obbligato, debba essere assicurato l’anonimato del segnalante, fatte salve le specifiche previsioni relative all’accesso da parte delle autorità di controllo preposte (parte VI dell’allegato allo schema), quale ulteriore misura a protezione dei segnalanti.

Per tali motivi, pertanto, l’articolato non presenta, nel suo complesso, criticità.

4. Residua, soltanto, l’esigenza di richiamare l’attenzione dell’Amministrazione sulla necessità di applicare il disposto dell’articolo 3, comma 7, dello schema in conformità al principio di minimizzazione dei dati, rispetto alla previsione secondo cui, “a comprova” dei dati e delle informazioni resi a mezzo dichiarazione sostituiva, ai sensi degli artt. 46 e 47 del d.P.R. 28 dicembre 2000, n. 445, sia resa altresì “ogni documentazione utile”. In tal senso, nell’informativa da rendere agli interessati, potrebbe chiarirsi che deve essere trasmessa solo la documentazione assolutamente necessaria alla prevista “comprova”, al fine di evitare l’acquisizione, presso il Registro, di dati personali non necessari al perseguimento delle finalità previste dalla disciplina in oggetto.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole, ai sensi dell’articolo 36, par. 4, del Regolamento, sullo schema di regolamento del Ministro dell’economia e delle finanze, recante disposizioni in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese e altri soggetti, di attuazione dell’articolo 21, comma 5, del decreto legislativo n. 231 del 2007.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei