[doc. web n. 9938499]

Parere a InfoCamere sullo schema di "Addendum consultazione" al disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva - 14 settembre 2023

Registro dei provvedimenti
n. 397 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTA la direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio del 20 maggio 2015 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione, come successivamente modificata dalla Direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio del 30 maggio 2018;

VISTO l’art. 21, comma 5, del decreto legislativo 21 novembre 2007, n. 231, attuativo della predetta direttiva, ai sensi del quale la disciplina normativa in merito alla comunicazione e all’accesso, per finalità di antiriciclaggio, alle informazioni relative alle persone fisiche che risultano titolari effettivi di persone giuridiche e trust viene rimessa a un decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro dello sviluppo economico, sentito il Garante;

VISTO il “Regolamento recante disposizioni in materia di comunicazione, accesso e consultazione dei dati e delle informazioni relativi alla titolarità effettiva di imprese dotate di personalità giuridica, di persone giuridiche private, di trust produttivi di effetti giuridici rilevanti ai fini fiscali e di istituti giuridici affini al trust”, adottato, ai sensi del richiamato art. 21, comma 5, del d.lgs. 231/2007, con decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro dello sviluppo economico, 11 marzo 2022, n. 55, su cui il Garante ha espresso parere favorevole con provv. n. 2 del 14 gennaio 2021 (disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 9541019);

VISTO, in particolare, l’art. 7, comma 1, del predetto reg. 55/2022, secondo cui, in attuazione dell’art. 21, comma 2, lett. f), e comma 4, lett. d-bis, del menzionato d.lgs. 231/2007, “i dati e le informazioni sulla titolarità effettiva delle imprese dotate di personalità giuridica e delle persone giuridiche private, presenti nella sezione autonoma del registro delle imprese, sono accessibili al pubblico a richiesta e senza limitazioni, salvo che nella comunicazione di cui all'articolo 4 risulti l'indicazione di cui al comma 1, lettera e), dello stesso articolo. L'accesso del pubblico ha ad oggetto il nome, il cognome, il mese e l'anno di nascita, il paese di residenza e la cittadinanza del titolare effettivo e le condizioni da cui deriva lo status di titolare effettivo, ai sensi dell'articolo 20 del decreto antiriciclaggio”;

VISTO, altresì, il successivo art. 11, comma 3, ai sensi del quale InfoCamere S.C.p.A. (di seguito, InfoCamere), in qualità di gestore (ai sensi dell’art. 1, comma 2, lett. e), del medesimo decreto), per conto delle Camere di commercio, industria, artigianato e agricoltura, titolari del trattamento, “predispone un disciplinare tecnico, sottoposto alla verifica preventiva del Garante per la protezione dei dati personali, volto a definire misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'articolo 32 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e della vigente normativa nazionale in materia di protezione dei dati personali”;

VISTO lo schema di “Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva”, predisposto da InfoCamere ai sensi del menzionato art. 11, comma 3, del reg. 55/2022, su cui il Garante ha espresso parere favorevole con provv. n. 316 del 6 ottobre 2022 (doc. web n. 9817361);

RILEVATO che, con riferimento alla consultazione di dati e informazioni relativi alla titolarità effettiva da parte dei soggetti di cui agli artt. 6 e 7 del reg. 55/2022 (ossia, soggetti obbligati, pubblico e qualunque persona fisica e giuridica, compresa quella portatrice di interessi diffusi), il menzionato schema di disciplinare tecnico richiama l’art. 8 del citato reg. 55/2022, laddove rinvia ad appositi decreti ministeriali la definizione dei “diritti di segreteria che definisce gli importi, con riferimento ai diversi canali di accesso” e dei “contenuti informativi nella loro forma certificativa”, precisando che “il presente documento dovrà essere adeguato successivamente alla loro adozione, per riportare le misure di sicurezza relative alla consultazione” (cfr. par. 3.6, concernente “Consultazione di dati e informazioni relativi alla Titolarità Effettiva”);

CONSIDERATO che, alla luce di ciò, con il menzionato provv. n. 316 del 6 ottobre 2022, il Garante, sulla base di quanto stabilito dall’art. 11, comma 3, del reg. 55/2022, si è riservato di valutare le misure tecniche e organizzative da individuare, integrando il disciplinare tecnico, sulla base dei decreti che il Ministero dello sviluppo economico (oggi Ministero delle imprese e del made in Italy) deve adottare ai sensi dell’art. 8 del citato reg. 55/2022, anche tenendo conto della questione pregiudiziale all’epoca pendente dinanzi alla Corte di giustizia dell’UE concernente, nel contesto della disciplina sulla prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, l’accesso alle informazioni sulla titolarità effettiva (cause riunite C-37/20 e C-601/20);

VISTA l’intervenuta sentenza della Corte di giustizia del 22 novembre 2022 sulle menzionate cause riunite C-37/20 e C-601/20, che, al riguardo, ha stabilito che “l’articolo 1, punto 15, lettera c), della direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018, che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE, è invalido in quanto esso ha modificato l’articolo 30, paragrafo 5, primo comma, lettera c), della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione, nel senso che detto articolo 30, paragrafo 5, primo comma, lettera c), prevede, nella sua versione così modificata, che gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva delle società e delle altre entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico”;

VISTI il decreto del Ministero delle imprese e del made in Italy del 16 marzo 2023, recante Approvazione dei modelli per il rilascio di certificati e copie anche digitali relativi alle informazioni sulla titolarità effettiva, e il decreto del Ministero delle imprese e del made in Italy del 20 aprile 2023, recante Approvazione degli importi dei diritti di segreteria di cui all’articolo 8, comma 1, del decreto 11 marzo 2022, n. 55, adottati ai sensi dell’art. 8 del reg. 55/2022 e pubblicati nella Gazzetta ufficiale del 28 giugno 2023, che tengono conto di quanto stabilito dalla richiamata pronuncia della Corte di giustizia;

RILEVATO, in particolare, che entrambi tali decreti, nelle rispettive premesse, “alla luce di quanto statuito dalla Corte di giustizia dell’Unione europea e nelle more dell’intervento legislativo necessario a dare compiuta attuazione alla pronuncia”, danno atto della disapplicazione della disposizione di cui all’art. 7, comma 1, del reg. 55/2022, ritenendo di dover “limitare la consultazione dei dati sulla titolarità effettiva delle imprese con personalità giuridica e delle persone giuridiche private, trust e istituti giuridici affini ai soggetti di cui agli articoli 5 [(autorità quali il Ministero dell'economia e delle finanze, le autorità di vigilanza di settore, l'Unità di informazione finanziaria per l'Italia, la Direzione investigativa antimafia, la Guardia di finanza, il Nucleo speciale polizia valutaria, la Direzione nazionale antimafia e antiterrorismo, l'autorità  giudiziaria, le autorità preposte al  contrasto  dell'evasione  fiscale)] e 6 [(i soggetti obbligati, quali, ad esempio, gli intermediari bancari e finanziari, e tutti gli altri soggetti indicati dall’art. 3 del d.lgs. 231/2007)] del ridetto decreto 11 marzo 2022, n. 55, nonché ai soggetti che siano stati ritenuti detenere un interesse giuridico rilevante e differenziato ai sensi dell’art. 7, comma 2, del medesimo decreto”;

VISTA la richiesta di parere pervenuta, da ultimo, in data 9 agosto 2023, con la quale InfoCamere, tenuto conto di quanto sopra, ha sottoposto all’Autorità lo schema di Addendum consultazione al Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva, ai sensi dell’art. 11, comma 3, del reg. 55/2022;

RILEVATO che il suddetto schema di Addendum consultazione  – nel premettere che solo a seguito dell’adozione dei due richiamati decreti del Ministero delle imprese e del made in Italy, adottati anche “in ottemperanza alla sentenza della Corte di giustizia dell’Unione europea 22 novembre 2022, cause riunite C-37/20 e C-601/20”, si è reso possibile “conoscere nel dettaglio i contenuti informativi relativi alla Titolarità Effettiva nonché le modalità tramite cui i soggetti indicati dalla normativa antiriciclaggio possono estrarre i relativi Output TE e, conseguentemente, ha consentito l’individuazione delle misure tecniche e organizzative da adottarsi nell’ambito dell’accesso a dati e alle informazioni sulla Titolarità Effettiva da parte dei Soggetti Obbligati e dei Soggetti Legittimati” –  “intende integrare il Disciplinare con le misure di sicurezza applicate ai processi e alle applicazioni software inerenti la consultazione di cui agli articoli 6 e 7 del Regolamento”, come richiesto dal provv. del Garante n. 316 del 6 ottobre 2022;

RILEVATO, pertanto, che lo schema di Addendum consultazione definisce, in particolare:

- due categorie di informazioni consultabili da parte dei soggetti che ne hanno titolo, in base alla citata normativa, con l’individuazione, per ciascuna categoria, delle tipologie di dati personali comprese: gli “Output TE Completi”, accessibili ai soggetti obbligati, e gli “Output TE Ridotti”, accessibili ai soggetti legittimati (ossia, coloro che siano stati riconosciuti “dalla Camera di Commercio territorialmente competente come [titolari] di un interesse giuridico rilevante e differenziato che ne legittimi l’accesso ai dati e alle informazioni sulla Titolarità Effettiva […] in ottemperanza alla sentenza della Corte di giustizia dell’Unione europea 22 novembre 2022, cause riunite C-37/20 e C-601/20 […]”);

- le modalità di accesso agli “Output TE Completi” e agli “Output TE Ridotti” da parte, rispettivamente, dei soggetti obbligati e dei soggetti legittimati, individuando altresì le relative misure tecniche e organizzative, anche di sicurezza;

- il tracciamento e la conservazione, per 24 mesi, da parte del Gestore, dei file di log riferiti a tutte le attività finalizzate all'erogazione dei contenuti informativi, individuando altresì le informazioni oggetto di tracciamento;

CONSIDERATO che la versione dello schema di disciplinare tecnico in esame tiene conto delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse al fine di rendere conformi, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, che hanno riguardato, nello specifico:

- un coordinamento delle previsioni concernenti l’accesso alle informazioni sulla titolarità effettiva da parte dei diversi dalle autorità e dai soggetti obbligati (ossia i soggetti legittimati), che garantisca, a tutela degli interessati, quanto stabilito dalla sentenza della Corte di giustizia del 22 novembre 2022, limitando in maniera più chiara l’ambito di accesso ai titolari di un interesse giuridico rilevante e differenziato, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei (art. 5, par. 1, lett. a) e c), del Regolamento);

- una più puntuale individuazione delle tipologie di dati personali oggetto di consultazione sia da parte dei soggetti obbligati che da parte dei soggetti legittimati, nel rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei (art. 5, par. 1, lett. a) e c), del Regolamento);

- la definizione dei tempi di conservazione dei log delle operazioni finalizzate all'erogazione dei contenuti informativi in maniera proporzionata alle finalità per le quali essi sono trattati, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);

- la precisazione di taluni profili inerenti le misure tecniche e organizzative adeguate ad assicurare la tutela dei dati personali, quali quelli relativi al formato non elaborabile degli “Output TE” o l'accesso da parte di operatori appositamente istruiti e autorizzati, nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f)) nonché degli obblighi di cui agli artt. 29 e 32 del medesimo Regolamento;

RITENUTO, pertanto, che lo schema di Addendum consultazione in esame non presenti criticità in ordine ai profili di protezione dei dati personali;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di Addendum consultazione al Disciplinare tecnico sulla sicurezza del trattamento dei dati sulla titolarità effettiva, predisposto da InfoCamere S.C.p.A. ai sensi dell’art. 11, comma 3, del decreto del Ministro dell’economia e delle finanze, di concerto con il Ministro dello sviluppo economico, 11 marzo 2022, n. 55.

Roma, 14 settembre 2023

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi