Bilanciamento tra interesse alla trasparenza e protezione della sfera privata: sul tema interviene la recentissima sentenza della Corte di giustizia UE, cause riunite Sovim e WM C‑37/20 e C‑601/20, del 22 novembre 2022. La pronuncia è verosimilmente destinata a diventare un landmark case, non solo per il rilievo degli interessi, ma anche perché contiene un lucido compendio dei passaggi giuridici da percorrere quando si procede all’equilibrio tra diritti fondamentali.
Trasparenza e privacy, due diritti in equilibrio: ecco le norme italiane
Nella tensione tra sfera privata e trasparenza, la Corte si è espressa in favore della prima, e non era atteso, vista l’opinione sostanzialmente diversa dell’Avvocato generale. Sarebbe tuttavia improprio leggere l’esito come una sconfitta del principio di trasparenza. A risultare soccombente è in realtà l’idea, o più propriamente lo slogan dal forte sapore politico, che occorra tendere a una trasparenza totale, a una trasparenza a ogni costo, anche quando i benefici apportati, come osserva la Corte non compensino i vantaggi. Eppure, in alcuni commenti a caldo è stata lamentata una vittoria di interessi di lobby e il pregiudizio al giornalismo di inchiesta. Ma è veramente così?
In realtà la questione esaminata non riguardava l’accesso a informazioni sulla titolarità effettiva per ragioni di reportage ma l’accesso massivo e indiscriminato da parte di chiunque.
Va notato che la pronuncia marca una tendenza precisa della Corte, ponendosi in deliberata linea di continuità con due precedenti del giugno-agosto scorso, Vyriausioji tarnybinės etikos komisija, C‑184/20, e Ligue des droits humains, C‑817/19.
Il contesto
Innanzitutto, un po’ di contesto. Il titolare effettivo è il soggetto a cui in ultima istanza occorre ricondurre la proprietà o il controllo di una entità giuridica, che sia una società di capitali, una persona giuridica privata di cui al DPR 361/2000, un trust o affine istituto giuridico. Individuarlo permette di superare partizioni e membrane che opacizzano la comprensione dei reali rapporti economici. Sono infatti determinanti nella normativa antiriciclaggio (AML) e di contrasto al finanziamento del terrorismo (CFT) i profili sostanziali delle operazioni poste in essere. Di qui la necessità di costruire un meccanismo che permetta alle autorità preposte ai controlli di imputare in maniera rapida ed efficiente la titolarità effettiva.
Tuttavia – ed è questo il punto – le previsioni vigenti, costruito tale meccanismo, non ne hanno circoscritto la fruizione ai soggetti istituzionali. In particolare, la quarta direttiva AML, la 2015/849, permetteva, in materia di titolarità effettiva delle società e delle altre entità giuridiche, la fruizione di almeno una parte di tali informazioni “a qualunque persona od organizzazione che possa dimostrare un legittimo interesse” e la quinta direttiva, 2018/843, ha poi esteso tale accesso “al pubblico” in generale, ossia indiscriminatamente, eliminando qualsiasi riferimento al legittimo interesse, sull’onda emotiva di alcune eclatanti vicende, come i Panama Paper. Vuol dire in sostanza rendere consultabili i dati di migliaia di persone in collegamento con elementi patrimoniali rilevanti, per ragioni che possono tuttavia essere del tutto estranee alle finalità di antiriciclaggio e contrasto al terrorismo, ossia alla ragione alla base della normativa.
Inoltre, una volta che le informazioni siano rese accessibili al grande pubblico, si prestano a utilizzo ulteriore (secondary use) senza che sia più possibile alcun controllo da parte dell’interessato. Evidente l’area di collisione con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione. Proprio dalla possibilità di accesso omnibus è sorto il contenzioso che dal Lussemburgo è poi approdato ai due procedimenti riuniti che ci occupano.
Trasparenza PA e privacy: le indicazioni della Corte di Giustizia Ue alla luce del GDPR
La questione giuridica
Si pone dunque da subito una questione che è innanzitutto logica e che costituisce il nucleo del ragionamento della Corte: qual è infatti il rapporto di coerenza tra un accesso generalizzato e la finalità antiriclaggio? In realtà infatti, “la lotta contro il riciclaggio di denaro e il finanziamento del terrorismo spetta prioritariamente alle autorità pubbliche nonché alle entità, quali gli enti creditizi o gli istituti finanziari, che, in ragione delle loro attività, sono assoggettate ad obblighi specifici in tale materia” (§ 83 della sentenza WM e Sovim).
Il tema è, a ben vedere, di ramificazione applicativa più ampia e anche questo fa della pronuncia WM-Sovim un punto di riferimento. Ad esempio, domande analoghe sulla coerenza fra trattamento dei dati e finalità sono state poste da alcuni giuristi, anche su questa rivista digitale, a proposito dei certificati digitali verdi. Anche in quel caso venivano in considerazione trattamenti di dati personali dal forte impatto politico ed emozionale, ma disarticolati da una finalità di interesse pubblico, finalità che peraltro, allora, il legislatore nazionale aveva ritenuto perfino superfluo individuare. Conforta dunque constatare che questo essenziale test di coerenza, che è innanzitutto un test di civiltà giuridica, si collochi al primo posto tra le verifiche che la Corte di Giustizia prescrive: “Occorre verificare, in primo luogo, se l’accesso del pubblico alle informazioni sulla titolarità effettiva sia idoneo a realizzare l’obiettivo di interesse generale perseguito” (§ 66). Declinazione dello stesso criterio di coerenza si trova all’art. 5.1.b) GDPR: è il ben noto, spesso trascurato, principio di “limitazione della finalità”.
Questione strettamente connessa alla precedente riguarda il tema del controllo e del riutilizzo delle informazioni. Mentre infatti l’accesso da parte delle autorità preposte permette di attendersi un uso dei dati conforme alla finalità, non altrettanto può evidentemente postularsi una volta aperta la consultazione delle informazioni al pubblico generico: “Un simile trattamento di dati personali può consentire anche a persone che, per ragioni estranee all’obiettivo perseguito da detta misura, cerchino di ottenere informazioni, in particolare, sulla situazione materiale e finanziaria del titolare effettivo, di accedere liberamente a tali dati […]. Inoltre, le potenziali conseguenze per le persone interessate derivanti da un eventuale uso abusivo dei loro dati personali sono aggravate dalla circostanza che, una volta messi a disposizione del pubblico, tali dati possono non solo essere liberamente consultati, ma altresì essere conservati e diffusi e che, in caso di simili trattamenti successivi, per tali persone diventa vieppiù difficile, se non addirittura illusorio, difendersi efficacemente dagli abusi” (§§ 42, 43).
La trasparenza è davvero in antitesi alla protezione dei dati personali?
Torniamo allo spunto di apertura, alla tensione cioè fra trasparenza e diritto alla protezione dei dati personali. Sia permessa una riflessione sul punto, per superare l’impressione diffusa che quest’ultima sovente si ponga come un intralcio artificioso alla prima.
La risposta è articolata e va cercata su più livelli. Certo, la tradizionale concezione della privacy come right to be let alone è quasi alla lettera in opposizione alla trasparenza, nel senso che interpone una cortina alla pretesa conoscitiva altrui, pubblica o privata. Su un piano più profondo, tuttavia, questa cortina è la condizione che permette quello sviluppo autonomo della sfera privata necessario alla partecipazione serena al dibattito pubblico, che è poi anche uno dei principali obiettivi dell’interesse alla trasparenza, cfr. per esempio sentenza citata, § 60: “Tale principio [di trasparenza] …consente una migliore partecipazione dei cittadini al processo decisionale”. In una società di vetro, dove tutto è esposto, sparisce anche l’individuo. A un livello più meditato privacy e trasparenza convergono dunque verso il medesimo fine, quello di porre (fra l’altro) condizioni che assicurino la partecipazione democratica, deve perciò esistere un punto di bilanciamento virtuoso.
Spostandoci poi dalla nozione di privacy a quella di protezione dei dati personali, intesa nel senso di controllo delle informazioni riconosciuto alla persona, la trasparenza è addirittura uno degli strumenti principali. Senza diritto di accesso (art. 15 GDPR), che è declinazione di una regola di trasparenza, sarebbe impossibile all’interessato aprire quelle finestre conoscitive che gli permettono il controllo sui propri dati. Senza le regole di cui agli artt. 12, 13 e 14 GDPR, che sono anch’esse espressioni di trasparenza, sarebbe difficile per l’interessato avere consapevolezza del trattamento dei propri dati.
Proprio la poliedricità del rapporto tra trasparenza, privacy, protezione dei dati personali è al centro della decisione della Corte in commento, che peraltro coglie l’occasione per precisare in che senso debba intendersi la pretesa conoscitiva dei consociati: la trasparenza nel senso di partecipazione va orientata cioè verso l’ambito pubblico e i soggetti che a vario titolo ne sono investiti, non verso i privati. Cfr. § 61: “Detto principio si concretizza anzitutto in requisiti di trasparenza istituzionale e procedurale riguardanti le attività di natura pubblica, ivi incluso l’impiego delle finanze pubbliche, un siffatto collegamento con le istituzioni pubbliche manca quando, come nel caso di specie, la misura in questione mira a rendere accessibili al pubblico i dati riguardanti l’identità di titolari effettivi privati nonché la natura e l’entità dell’interesse beneficiario da essi detenuto in società o in altre entità giuridiche”.
I passaggi fondamentali della sentenza
Senza pretese di commento giuridico esteso, che esorbiterebbero da questa sede, appare utile prendere nota di alcuni passaggi illuminanti nel ragionamento del Giudice dell’Unione. Non sono propriamente delle novità, ma giova rimarcarli perché segnano gli snodi essenziali del metodo da seguire in ogni bilanciamento di diritti.
Non basta dimostrare la coerenza tra misura adottata e finalità perseguita, ma occorrono altre due verifiche. Innanzitutto, va applicato il limite dello “stretto necessario” nella compressione di diritti antagonisti: in altre parole se una finalità può essere raggiunta “in modo altrettanto efficace ma con altri mezzi meno lesivi di tali diritti fondamentali delle persone interessate”, vanno scelti i mezzi meno lesivi. Ora la circostanza che l’accesso indiscriminato del pubblico alle informazioni sulla titolarità effettiva possa contribuire alla costruzione di un clima virtuoso, argomento effettivamente speso a supporto dell’accesso generalizzato, costituisce una motivazione generica che non regge allo scrutinio della stretta necessità (§ 75). Anche ammesso che l’argomento superi un’analisi rigorosa, la mera utilità non è stretta necessità. È una lezione che va tenuta a mente, per evitare derive argomentative.
Occorre infine, terzo passaggio, verificare se l’ingerenza su altri diritti, ancorché non efficacemente conseguibile con mezzi meno lesivi, risulti comunque sproporzionata. Qui la Corte, sviluppati vari efficaci rilievi, anche in merito ai requisiti di chiarezza e precisione della normativa, nota che l’obiettivo di contrasto ai fenomeni di finanziamento criminoso è già conseguito con la messa a disposizione delle informazioni sulla titolarità effettiva alle autorità competenti e alle unità di informazione finanziaria, dunque non appare proporzionato estenderlo al grande pubblico. Il passaggio che appare rilevante a chi scrive è quello in cui si evidenzia il rapporto costi-benefici, ossia l’osservazione che attraverso l’accesso generalizzato viene in considerazione “una lesione considerevolmente più grave dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, senza che tale aggravamento sia compensato dagli eventuali benefici”.
Preme notare che per vero l’ex Gruppo di lavoro 29, ossia l’organismo che riuniva le autorità di controllo dell’Unione (oggi EDPB), aveva a suo tempo già espresso severe perplessità nella lettera del 22 dicembre 2016 sulla quinta direttiva, anche in merito all’indebito allargamento della base dei fruitori delle informazioni rispetto alla finalità di contrasto al riciclaggio. Ugualmente l’EDPS aveva espresso rilievi particolarmente critici sulla violazione del principio di proporzionalità nell’opinione 1/2017 (ved. p. 3). Osservazioni evidentemente rimaste non coltivate, a più livelli.
E ora in Italia?
C’è da auspicare che la vicenda non segua la sorte della direttiva 2006/24 in materia di data retention, dichiarata invalida dalla Corte di giustizia con la storica sentenza cause riunite C-292/2012 e C-594/2012, Digital Rights Ireland, eppure sopravvissuta, con giustificazioni assai articolate e talvolta (sia permesso) capziose, nell’attuazione nazionale, ma che intervenga una correzione della normativa italiana primaria, come in seguito all’arresto C-746/18 Procuratuur (o H.K.) del 2 marzo 2021. Si rischia altrimenti l’impasse. Fino all’approvazione dei decreti attuativi, l’operatività del sistema di comunicazione della titolarità effettiva al Registro imprese e relativa consultazione previsto dall’art. 21 d.lgs. 231/2007 e dal DM 55/2022 infatti non sarà operativa, neppure per le autorità preposte ai controlli. Del resto, tali decreti attuativi, in quanto normativa secondaria, non potranno modificare le previsioni di rango primario del citato articolo 21 relative all’accesso generalizzato al registro, in ogni caso il problema non può essere affrontato linearmente in sede di normativa secondaria. Sotto altro profilo, in mancanza di interventi sul decreto antiriciclaggio, i soggetti tenuti alla comunicazione delle informazioni relative al titolare effettivo si troverebbero stretti tra due opposti obblighi: da un lato quello di dare corso alla normativa che permette l’istituzione del registro anche per i controlli istituzionali, dall’altro quello di osservare la normativa eurounitaria sulla protezione della sfera privata e l’art. 52 della Carta dei diritti fondamentali dell’Unione, secondo il richiamo operato dalla Corte di Giustizia.
Il fenomeno, del resto, non è solo italiano: si ha notizia di complesse valutazioni degli effetti dell’arresto citato in altri Stati membri. Non resta che comprendere nelle prossime settimane quali scelte saranno adottate.
