Corte di giustizia dell'Unione Europea
Grande Sezione
Sentenza 22 novembre 2022
«Rinvio pregiudiziale - Prevenzione dell'uso del sistema finanziario a fini di riciclaggio e di finanziamento del terrorismo - Direttiva (UE) 2018/843 che modifica la direttiva (UE) 2015/849 - Modifica apportata all'articolo 30, paragrafo 5, primo comma, lettera c), di quest'ultima direttiva - Accesso del pubblico alle informazioni sulla titolarità effettiva - Validità - Articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea - Rispetto della vita privata e familiare - Tutela dei dati personali».
Nelle cause riunite C-37/20 e C-601/20, aventi ad oggetto due domande di pronuncia pregiudiziale proposte alla Corte, ai sensi dell'articolo 267 TFUE, dal tribunal d'arrondissement de Luxembourg (Tribunale circoscrizionale di Lussemburgo, Lussemburgo), con decisioni del 24 gennaio 2020 e del 13 ottobre 2020, pervenute in cancelleria, rispettivamente, il 24 gennaio 2020 e il 13 novembre 2020, nei procedimenti WM (C-37/20), Sovim SA (C-601/20) contro Luxembourg Business Registers.
[...]
1. Le domande di pronuncia pregiudiziale vertono, in sostanza, sulla validità dell'articolo 1, punto 15, lettera c), della direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018, che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE (GU 2018, L 156, pag. 43), nella parte in cui tale disposizione ha modificato l'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU 2015, L 141, pag. 73), nonché sull'interpretazione, da un lato, dell'articolo 30, paragrafo 9, della direttiva 2015/849, come modificata dalla direttiva 2018/843 (in prosieguo: la «direttiva 2015/849 modificata»), e, dall'altro, dell'articolo 5, paragrafo 1, lettere da a) a c) e f), dell'articolo 25, paragrafo 2, nonché degli articoli da 44 a 50 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2. Tali domande sono state presentate nell'ambito di due controversie sorte, la prima, tra WM e il Luxembourg Business Registers (in prosieguo: l'«LBR») (causa C-37/20) e, la seconda, tra la Sovim SA e lo stesso LBR (causa C-601/20), in merito al rifiuto, da parte di quest'ultimo, di impedire l'accesso del pubblico alle informazioni relative, da un lato, alla qualità di WM come titolare effettivo di una società immobiliare, e, dall'altro, al titolare effettivo della Sovim.
Contesto normativo
Diritto dell'Unione
Direttive 2015/849, 2018/843 e 2015/849 modificata
3. I considerando 4, 30, 31, 34, 36 e 38 della direttiva 2018/843 enunciano:
«(4) [...] [O]ccorre accrescere ulteriormente la trasparenza generale del contesto economico e finanziario dell'Unione. La prevenzione del riciclaggio di denaro e del finanziamento del terrorismo può essere efficace solo se l'ambiente circostante è ostile ai criminali che cercano di proteggere le loro attività finanziarie attraverso strutture non trasparenti. L'integrità del sistema finanziario dell'Unione dipende dalla trasparenza delle società e di altri soggetti giuridici, trust e [istituti] giuridici affini. L'obiettivo della presente direttiva è non solo quello di individuare i casi di riciclaggio di denaro e di indagare al riguardo, ma anche di evitare che essi si verifichino. Il rafforzamento della trasparenza potrebbe essere un potente deterrente.
(...)
(30) L'accesso pubblico alle informazioni sulla titolarità effettiva consente alla società civile, anche attraverso le sue organizzazioni e la stampa, di effettuare una valutazione più accurata di queste informazioni e contribuisce a mantenere la fiducia nell'integrità delle operazioni commerciali e del sistema finanziario. Inoltre può contribuire a combattere l'uso improprio di società, altri soggetti giuridici e istituti giuridici per riciclare denaro e finanziare il terrorismo sia favorendo le indagini che per i suoi effetti in termini di reputazione, dato che tutti coloro che potrebbero effettuare operazioni sono a conoscenza dell'identità dei titolari effettivi. Ciò facilita anche la tempestiva ed efficiente messa a disposizione delle informazioni agli istituti finanziari e alle autorità, comprese quelle dei paesi terzi, che si occupano del contrasto di tali reati. L'accesso a tali informazioni gioverebbe inoltre alle indagini sul riciclaggio di denaro, sui reati presuppost[i] associati e sul finanziamento del terrorismo.
(31) La fiducia degli investitori e del grande pubblico nei mercati finanziari dipende in larga misura dall'esistenza di un preciso regime di comunicazione che offra trasparenza per quanto concerne la titolarità effettiva e le strutture di controllo delle società. (...) Il potenziale incremento della fiducia nei mercati finanziari dovrebbe essere considerato un effetto collaterale positivo e non lo scopo finale di una maggiore trasparenza, che è infatti quello di creare un ambiente meno suscettibile di essere utilizzato per le attività di riciclaggio e di finanziamento del terrorismo.
(...)
(34) In tutti i casi, per quanto riguarda sia le società e gli altri soggetti giuridici sia i trust e gli istituti giuridici affini, è opportuno in particolare ricercare un giusto equilibrio tra il pubblico interesse alla prevenzione del riciclaggio di denaro e del finanziamento del terrorismo e i diritti fondamentali delle persone interessate. L'insieme di dati da mettere a disposizione del pubblico dovrebbe essere limitato, definito in maniera chiara e tassativa e avere natura generale, in modo da ridurre al minimo il potenziale pregiudizio per i titolari effettivi. Allo stesso tempo le informazioni rese accessibili al pubblico non dovrebbero differire significativamente dai dati raccolti attualmente. Per limitare le ripercussioni sul diritto al rispetto della vita privata in generale e alla protezione dei dati personali in particolare, tali informazioni dovrebbero riguardare essenzialmente lo status dei titolari effettivi di società e altri soggetti giuridici nonché di trust e istituti giuridici affini e riferirsi rigorosamente alla loro sfera di attività economica. (...)
(...)
(36) Inoltre, allo scopo di garantire un approccio proporzionato ed equilibrato e di tutelare il diritto alla vita privata e alla protezione dei dati personali, gli Stati membri dovrebbero poter prevedere in circostanze eccezionali, qualora le informazioni espongano il titolare effettivo a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, deroghe alla comunicazione delle informazioni sulla titolarità effettiva attraverso i registri che contengono informazioni sulla titolarità effettiva e l'accesso a esse. Dovrebbe inoltre essere possibile per gli Stati membri prevedere la richiesta di registrazione online al fine di identificare tutte le persone che richiedano informazioni dal registro, come pure il pagamento di un corrispettivo per accedere alle informazioni contenute nel registro.
(...)
(38) Al trattamento dei dati personali nell'ambito della presente direttiva si applica il [RGPD]. Di conseguenza, le persone fisiche i cui dati personali sono conservati in registri nazionali come titolari effettivi dovrebbero esserne informate. Inoltre, dovrebbero essere resi disponibili solo dati personali aggiornati e che corrispondono realmente ai titolari effettivi, i quali dovrebbero essere informati dei loro diritti nell'ambito dell'attuale quadro giuridico dell'Unione in materia di protezione dei dati (...), nonché delle procedure applicabili per esercitarli. Inoltre, al fine di evitare l'abuso delle informazioni contenute nei registri e bilanciare i diritti dei proprietari effettivi, gli Stati membri potrebbero ritenere opportuno esaminare la possibilità di mettere altresì a disposizione del titolare effettivo le informazioni sul richiedente unitamente alla base giuridica della relativa richiesta».
4. L'articolo 1, paragrafo 1, della direttiva 2015/849 modificata dispone quanto segue:
«La presente direttiva mira a impedire l'utilizzo del sistema finanziario dell'Unione per fini di riciclaggio e di finanziamento del terrorismo».
5. L'articolo 3 della direttiva 2015/849 modificata è così formulato:
«Ai fini della presente direttiva si intende per:
(...)
6) "titolare effettivo": la persona o le persone fisiche che, in ultima istanza, possiedono o controllano il cliente e/o le persone fisiche per conto delle quali è realizzata un'operazione o un'attività e che comprende almeno:
a) in caso di società:
i) la persona fisica o le persone fisiche che, in ultima istanza, possiedono o controllano il soggetto giuridico attraverso il possesso, diretto o indiretto, di una percentuale sufficiente di azioni o diritti di voto o altra partecipazione in detta entità (...)
(...)
ii) se, dopo aver esperito tutti i mezzi possibili e purché non vi siano motivi di sospetto, non è individuata alcuna persona secondo i criteri di cui al punto i), o, in caso di dubbio circa il fatto che la persona o le persone individuate sia o siano i titolari effettivi, la persona fisica o le persone fisiche che occupano una posizione dirigenziale di alto livello[;] (...)
(...)».
6. L'articolo 30, paragrafi 1 e 3, della direttiva 2015/849 modificata prevede quanto segue:
«1. Gli Stati membri provvedono affinché le società e le altre entità giuridiche costituite nel loro territorio siano tenute a ottenere e conservare informazioni adeguate, accurate e attuali sulla loro titolarità effettiva, compresi i dettagli degli interessi beneficiari detenuti. (...)
(...)
3. Gli Stati membri provvedono affinché le informazioni di cui al paragrafo 1 siano custodite in un registro centrale in ciascuno Stato membro (...)
(...)».
7. Nella sua versione anteriore all'entrata in vigore della direttiva 2018/843, l'articolo 30, paragrafi 5 e 9, della direttiva 2015/849 era così formulato:
«5. Gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva siano accessibili in ogni caso:
a) alle autorità competenti e alle [Unità di informazione finanziaria], senza alcuna restrizione;
b) ai soggetti obbligati, nel quadro dell'adeguata verifica della clientela a norma del capo II;
c) a qualunque persona od organizzazione che possa dimostrare un legittimo interesse.
Le persone od organizzazioni di cui alla lettera c) hanno accesso almeno al nome, al mese ed anno di nascita, alla cittadinanza, al paese di residenza del titolare effettivo così come alla natura ed entità dell'interesse beneficiario detenuto.
(...)
9. Gli Stati membri possono prevedere una deroga per l'accesso di cui al paragrafo 5, lettere b) e c), a tutte o parte delle informazioni sulla titolarità effettiva, caso per caso in circostanze eccezionali, qualora tale accesso esponga il titolare effettivo al rischio di frode, rapimento, estorsione, violenza o intimidazione o qualora il titolare effettivo sia minore di età o altrimenti incapace. (...)».
8. L'articolo 1, punto 15, lettere c), d) e g), della direttiva 2018/843 ha, rispettivamente, modificato il paragrafo 5, inserito un paragrafo 5 bis e modificato il paragrafo 9 dell'articolo 30 della direttiva 2015/849. L'articolo 30, paragrafi 5, 5 bis e 9, della direttiva 2015/849 modificata enunciano:
«5. Gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva siano accessibili in ogni caso:
a) alle autorità competenti e alle [Unità di informazione finanziaria], senza alcuna restrizione;
b) ai soggetti obbligati, nel quadro dell'adeguata verifica della clientela a norma del capo II;
c) al pubblico.
Le persone di cui alla lettera c) hanno accesso almeno al nome, al mese e anno di nascita, al paese di residenza e alla cittadinanza del titolare effettivo così come alla natura ed entità dell'interesse beneficiario detenuto.
Gli Stati membri possono, alle condizioni stabilite dal diritto nazionale, garantire l'accesso a informazioni aggiuntive che consentano l'identificazione del titolare effettivo. Tali informazioni aggiuntive includono almeno la data di nascita o le informazioni di contatto, conformemente alle norme sulla protezione dei dati.
5 bis. Gli Stati membri possono decidere di rendere disponibili le informazioni contenute nei registri nazionali di cui al paragrafo 3, previa registrazione online e previo pagamento di una tassa che non superi i costi amministrativi volti a rendere l'informazione disponibile, compresi i costi di mantenimento e sviluppo del registro.
(...)
9. In circostanze eccezionali stabilite dal diritto nazionale, qualora l'accesso di cui al paragrafo 5, primo comma, lettere b) e c), esponga il titolare effettivo a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, o qualora il titolare effettivo sia minore di età o altrimenti incapace per la legge, gli Stati membri possono prevedere una deroga a tale accesso a tutte o parte delle informazioni sulla titolarità effettiva, caso per caso. Gli Stati membri assicurano che tali deroghe siano concesse previa una valutazione dettagliata della natura eccezionale delle circostanze. È garantito il diritto a un ricorso amministrativo contro la decisione di deroga nonché il diritto a un ricorso giurisdizionale effettivo. Gli Stati membri che concedono deroghe pubblicano dati statistici annuali circa il numero di deroghe concesse e le motivazioni fornite e comunicano i dati alla Commissione.
(...)».
9. L'articolo 41, paragrafo 1, della direttiva 2015/849 modificata dispone quanto segue:
«Il trattamento dei dati personali ai sensi della presente direttiva è soggetto alla direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], come recepita nel diritto nazionale. (...)».
RGPD
10. L'articolo 5 del RGPD, rubricato «Principi applicabili al trattamento di dati personali», dispone, al paragrafo 1, quanto segue:
«I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e trasparenza");
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...) ("limitazione della finalità");
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati");
(...)
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza")».
11. L'articolo 25 di tale regolamento, rubricato «Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita», prevede, al paragrafo 2, quanto segue:
«Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica».
12. Ai sensi dell'articolo 44 di detto regolamento, rubricato «Principio generale per il trasferimento»:
«Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato».
13. L'articolo 49 del RGPD, rubricato «Deroghe in specifiche situazioni», così prevede:
«1. In mancanza di una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell'articolo 46, comprese le norme vincolanti d'impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
(...)
g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell'Unione o degli Stati membri.
(...)».
14. A termini dell'articolo 94 del regolamento in parola:
«1. La direttiva 95/46/CE è abrogata a decorrere dal 25 maggio 2018.
2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. (...)».
Diritto lussemburghese
15. L'articolo 2 della loi du 13 janvier 2019 instituant un Registre des bénéficiaires effectifs (legge del 13 gennaio 2019 recante istituzione di un Registro dei titolari effettivi) (Mémorial A 2019, n. 15; in prosieguo: la «legge del 13 gennaio 2019») è del seguente tenore:
«È istituito sotto l'autorità del ministro competente per la Giustizia un registro denominato "Registro dei titolari effettivi", abbreviato in "RBE", che ha come finalità la conservazione e la messa a disposizione delle informazioni sui titolari effettivi degli enti registrati».
16. L'articolo 3, paragrafo 1, di tale legge dispone quanto segue:
«Devono essere iscritte e conservate nel Registro dei titolari effettivi le seguenti informazioni relative ai titolari effettivi degli enti registrati:
1° il cognome;
2° il(i) nome (i);
3° la (o le) cittadinanza (e);
4° la data di nascita;
5° il mese di nascita;
6° l'anno di nascita;
7° il luogo di nascita;
8° il paese di residenza;
9° l'indirizzo privato preciso o l'indirizzo professionale preciso (...)
(...)
10° per gli iscritti nell'anagrafe delle persone fisiche: il numero di identificazione (...);
11° per i non residenti non iscritti nell'anagrafe delle persone fisiche: un numero di identificazione estero;
12° la natura dell'interesse beneficiario detenuto;
13° l'entità dell'interesse beneficiario detenuto».
17. L'articolo 11, paragrafo 1, di tale legge enuncia:
«Nell'esercizio delle loro funzioni, le autorità nazionali hanno accesso alle informazioni di cui all'articolo 3».
18. L'articolo 12 della medesima legge prevede quanto segue:
«L'accesso alle informazioni di cui all'articolo 3, paragrafo 1, punti da 1º a 8º, 12º e 13º, è aperto a chiunque».
19. L'articolo 15, paragrafi 1 e 2, della legge del 13 gennaio 2019 stabilisce quanto segue:
«(1) Un ente registrato o un titolare effettivo possono chiedere, caso per caso e nelle circostanze eccezionali di seguito indicate, sulla base di una domanda debitamente motivata rivolta al gestore, di riservare l'accesso alle informazioni di cui all'articolo 3 alle sole autorità nazionali, agli istituti di credito e agli istituti finanziari nonché agli ufficiali giudiziari e ai notai che agiscono nella loro qualità di pubblico ufficiale, qualora tale accesso esponga il titolare effettivo a un rischio sproporzionato di frode, di rapimento, di ricatto, di estorsione, di molestia, di violenza o di intimidazione, o qualora il titolare effettivo sia minore di età o altrimenti incapace per legge.
(2) Il gestore riserva provvisoriamente l'accesso alle informazioni di cui all'articolo 3 alle sole autorità nazionali a decorrere dalla ricezione della richiesta e fino alla notifica della sua decisione e, in caso di rigetto della richiesta, per un ulteriore periodo di quindici giorni. In caso di ricorso contro una decisione di rigetto, la limitazione dell'accesso alle informazioni è mantenuta fino a quando la decisione di rigetto non sia più soggetta a impugnazione».
Procedimenti principali e questioni pregiudiziali
Causa C-37/20
20. La YO, una société civile immobilière (società di gestione di patrimoni immobiliari), ha presentato presso l'LBR una domanda ai sensi dell'articolo 15 della legge del 13 gennaio 2019, diretta ad ottenere che l'accesso alle informazioni riguardanti WM, suo titolare effettivo, che compariva nell'RBE, fosse riservato unicamente alle entità indicate in tale disposizione, con la motivazione che l'accesso del pubblico a tali informazioni avrebbe esposto quest'ultimo nonché la sua famiglia in modo grave, reale e attuale a un rischio sproporzionato e a un rischio di frode, di rapimento, di ricatto, di estorsione, di molestia, di violenza o di intimidazione. Tale richiesta è stata respinta con decisione del 20 novembre 2019.
21. Il 5 dicembre 2019 WM ha presentato ricorso dinanzi al tribunal d'arrondissement de Luxembourg (Tribunale circoscrizionale di Lussemburgo, Lussemburgo), giudice del rinvio, facendo valere che le sue qualità di dirigente e di titolare effettivo della YO e di un certo numero di società commerciali lo portano a recarsi spesso in paesi con regimi politici instabili ed esposti ad un elevato tasso di criminalità comune, il che determinerebbe a suo carico un grave rischio di rapimento, sequestro, violenze e perfino di morte.
22. L'LBR contesta tale argomento e sostiene che la situazione di WM non risponde ai requisiti di cui all'articolo 15 della legge del 13 gennaio 2019, giacché quest'ultimo non può avvalersi né di «circostanze eccezionali» né di alcuno dei rischi elencati da tale articolo.
23. A tal riguardo, il giudice del rinvio si interroga sull'interpretazione che occorre dare alle nozioni di «circostanze eccezionali», di «rischio» e di rischio «sproporzionato», ai sensi dell'articolo 30, paragrafo 9, della direttiva 2015/849 modificata.
24. In tali circostanze, il tribunal d'arrondissement de Luxembourg (Tribunale circoscrizionale di Lussemburgo) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Sulla nozione di "circostanze eccezionali"
a) Se l'articolo 30, paragrafo 9, della [direttiva 2015/849 modificata], nella parte in cui subordina la limitazione dell'accesso alle informazioni concernenti il titolare [effettivo] a "circostanze eccezionali stabilite dal diritto nazionale", possa essere interpretato nel senso che autorizza un ordinamento nazionale a definire la nozione di "circostanze eccezionali" soltanto come equivalente "a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione", nozioni che costituiscono già una condizione di applicazione della limitazione dell'accesso attraverso la formulazione dell'articolo 30, paragrafo 9, [della direttiva 2015/849 modificata].
b) In caso di risposta negativa alla questione n. 1 a), e nell'ipotesi in cui la normativa nazionale di trasposizione abbia definito la nozione di "circostanze eccezionali" soltanto mediante rinvio alle nozioni inoperanti di "[a] un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione", se l'articolo 30, paragrafo 9, [della direttiva 2015/849 modificata] vada interpretato nel senso che consente al giudice nazionale di ignorare la condizione delle "circostanze eccezionali", oppure detto giudice debba supplire alla carenza del legislatore nazionale determinando in via giurisprudenziale la portata della nozione di "circostanze eccezionali". In quest'ultima ipotesi, dal momento che, a termini dell'articolo 30, paragrafo 9, [della direttiva 2015/849 modificata], si tratta di una condizione il cui contenuto è determinato dal diritto nazionale, se la [Corte] possa guidare il giudice nazionale nell'assolvimento del suo compito. In caso di risposta affermativa a quest'ultima questione, quali siano gli orientamenti che devono guidare il giudice nazionale nella determinazione del contenuto della nozione di "circostanze eccezionali".
2) Sulla nozione di "rischio"
a) Se l'articolo 30, paragrafo 9, della [direttiva 2015/849 modificata], nella parte in cui subordina la limitazione dell'accesso alle informazioni relative ai titolari [effettivi] "à un risque disproportionné, à un risque de fraude, d'enlèvement, de chantage, d'extorsion, de harcèlement, de violence ou d'intimidation" ["a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione", nella corrispondente versione italiana], debba essere interpretato nel senso che rinvia a un insieme di otto ipotesi, la prima delle quali corrisponde a un rischio generico soggetto alla condizione della sproporzione e le sette successive corrispondono a rischi specifici sottratti alla condizione della sproporzione, oppure nel senso che esso rinvia a un insieme di sette ipotesi, ciascuna delle quali corrisponde a un rischio specifico soggetto alla condizione della sproporzione.
b) Se l'articolo 30, paragrafo 9, della [direttiva 2015/849 modificata], nella parte in cui subordina la limitazione dell'accesso alle informazioni relative ai beneficiari [effettivi] a "un rischio", debba essere interpretato nel senso che esso limita la valutazione dell'esistenza e dell'entità di tale rischio ai soli legami intrattenuti dal titolare [effettivo] con la persona giuridica in relazione alla quale quest'ultimo chiede specificamente che sia limitato l'accesso all'informazione concernente la sua qualità di titolare [effettivo], oppure nel senso che esso comporta la considerazione dei legami intrattenuti dal titolare [effettivo] di cui trattasi con altre persone giuridiche. Qualora si debba tenere conto dei legami con altre persone giuridiche, se si debba tenere conto unicamente della qualità di titolare [effettivo] in relazione ad altre persone giuridiche oppure se si debba tenere conto di qualsiasi legame intrattenuto con altre persone giuridiche. Qualora si debba tenere conto di qualsiasi legame con altre persone giuridiche, se la natura di tale legame influisca sulla valutazione dell'esistenza e dell'entità del rischio.
c) Se l'articolo 30, paragrafo 9, della [direttiva 2015/849 modificata], nella parte in cui subordina la limitazione dell'accesso alle informazioni relative ai titolari [effettivi] a "un rischio", debba essere interpretato nel senso che esso esclude il beneficio della tutela derivante da una limitazione dell'accesso allorché tali informazioni - per l'esattezza, altri elementi addotti dal titolare [effettivo] per dimostrare l'esistenza e l'entità del "rischio" -, siano facilmente accessibili ai terzi con altri mezzi di informazione.
3) Sulla nozione di rischio "sproporzionato"
Quali interessi divergenti debbano essere presi in considerazione nell'applicazione dell'articolo 30, paragrafo 9, della [direttiva 2015/849 modificata], nella parte in cui esso subordina la limitazione dell'accesso alle informazioni relative a un titolare [effettivo] ad un rischio "sproporzionato"».
Causa C-601/20
25. La Sovim ha presentato all'LBR una domanda ai sensi dell'articolo 15 della legge del 13 gennaio 2019, diretta ad ottenere che l'accesso alle informazioni iscritte nell'RBE relative al suo titolare effettivo fosse riservato unicamente alle entità indicate in tale disposizione. Tale domanda è stata respinta con decisione del 6 febbraio 2020.
26. Il 24 febbraio 2020 la Sovim ha presentato ricorso dinanzi al giudice del rinvio.
27. In via principale, tale società chiede che l'articolo 12 della legge del 13 gennaio 2019, secondo cui l'accesso a talune informazioni iscritte nell'RBE è aperto a «chiunque», e/o l'articolo 15 di tale legge siano disapplicati e che le informazioni da essa fornite in ottemperanza all'articolo 3 di detta legge non siano rese accessibili al pubblico.
28. A tal riguardo, la Sovim deduce, in primo luogo, che il fatto di accordare un accesso pubblico all'identità e ai dati personali del suo titolare effettivo violerebbe il diritto alla tutela della vita privata e familiare nonché il diritto alla protezione dei dati personali, sanciti rispettivamente agli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la «Carta»).
29. Ad avviso di detta società, infatti, la direttiva 2015/849 modificata, sulla base della quale è stata introdotta nella legislazione lussemburghese la legge del 13 gennaio 2019, è intesa ad identificare i titolari effettivi di società utilizzate a scopo di riciclaggio o di finanziamento del terrorismo, nonché a garantire la sicurezza delle relazioni commerciali e la fiducia nei mercati. Orbene, non sarebbe dimostrato in che modo l'accesso del pubblico, senza il minimo controllo, ai dati contenuti nell'RBE consentirebbe di raggiungere tali obiettivi.
30. In secondo luogo, la Sovim sostiene che l'accesso del pubblico ai dati personali contenuti nell'RBE costituisce una violazione di varie disposizioni del RGPD, in particolare di un certo numero di principi fondamentali enunciati all'articolo 5, paragrafo 1, di quest'ultimo.
31. In subordine, la Sovim chiede al giudice del rinvio di constatare l'esistenza, nel caso di specie, di un rischio sproporzionato ai sensi dell'articolo 15, paragrafo 1, della legge del 13 gennaio 2019 e, pertanto, di ordinare all'LBR di limitare l'accesso alle informazioni di cui all'articolo 3 di tale legge.
32. A tal riguardo, il giudice del rinvio osserva che l'articolo 15, paragrafo 1, della legge del 13 gennaio 2019 prevede che l'LBR deve procedere all'analisi, caso per caso, dell'esistenza di circostanze eccezionali atte a giustificare una restrizione dell'accesso all'RBE. Benché nel contesto di tale legge siano già state poste alla Corte diverse questioni nella causa C-37/20, riguardo all'interpretazione delle nozioni di «circostanze eccezionali», di «rischio» e di rischio «sproporzionato», il procedimento in parola solleverebbe anche ulteriori problematiche, in particolare la questione se l'accesso del pubblico ad alcuni dei dati contenuti nell'RBE sia compatibile con la Carta nonché con il RGPD.
33. In tali circostanze, il tribunal d'arrondissement de Luxembourg (Tribunale circoscrizionale di Lussemburgo) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l'articolo 1, punto 15, lettera c), della [direttiva 2018/843], il quale modifica l'articolo 30, paragrafo 5, primo comma, della [direttiva 2015/849] nel senso che impone agli Stati membri di rendere accessibili al pubblico in tutti i casi le informazioni sui titolari effettivi senza giustificazione di un interesse legittimo, sia valido
- alla luce del diritto al rispetto della vita privata e familiare garantito all'articolo 7 della Carta (...), interpretato conformemente all'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo, tenuto conto degli obiettivi enunciati in particolare ai considerando 30 e 31 della direttiva 2018/843 concernenti, in particolare, la lotta al riciclaggio e al finanziamento del terrorismo, e
- alla luce del diritto alla protezione dei dati personali garantito all'articolo 8 della Carta, in quanto mira segnatamente a garantire il trattamento dei dati personali in modo lecito, corretto e trasparente nei confronti dell'interessato, la limitazione delle finalità della raccolta e del trattamento e la minimizzazione dei dati.
2) a) Se l'articolo 1, punto 15, lettera g), della direttiva 2018/843 debba essere interpretato nel senso che le circostanze eccezionali, alle quali detta disposizione si riferisce, nelle quali gli Stati membri possono prevedere deroghe riguardo all'accesso a tutte o a parte delle informazioni sui titolari effettivi, quando l'accesso del pubblico esponga il titolare effettivo ad un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, possono essere constatate solo qualora venga fornita la prova di un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione che sia eccezionale, incomba effettivamente sulla persona specifica del titolare effettivo, e che sia grave, reale e attuale.
b) In caso di risposta in senso affermativo, se l'articolo 1, punto 15, lettera g), della direttiva 2018/843 interpretato in tal senso sia valido alla luce del diritto al rispetto della vita privata e familiare, garantito all'articolo 7 della Carta, e del diritto alla protezione dei dati personali, garantito all'articolo 8 della Carta.
3) a) Se l'articolo 5, paragrafo 1, lettera a), del [RGPD], secondo cui i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato, vada interpretato nel senso che esso non osta:
- a che i dati personali di un titolare effettivo iscritti in un registro di titolari effettivi, istituito a norma dell'articolo 30 della direttiva 2015/849, come modificato dall'articolo 1, punto 15, della direttiva 2018/843, siano accessibili al pubblico senza controllo né giustificazione e senza che l'interessato (titolare effettivo) possa sapere chi ha avuto accesso a tali dati personali che lo riguardano, né
- a che il responsabile del trattamento di tale registro di titolari effettivi accordi l'accesso ai dati personali dei titolari effettivi ad un numero illimitato e indeterminabile di persone.
b) Se l'articolo 5, paragrafo 1, lettera b), del [RGPD], che impone la limitazione delle finalità, debba essere interpretato nel senso che esso non osta a che i dati personali di un titolare effettivo iscritti in un registro di titolari effettivi, istituito a norma dell'articolo 30 della direttiva [2015/849 modificata], siano accessibili al pubblico senza che il responsabile del trattamento di tali dati possa garantire che essi siano utilizzati esclusivamente per la finalità per la quale sono stati raccolti, vale a dire, in sostanza, la lotta al riciclaggio e al finanziamento del terrorismo, finalità che non spetta al pubblico far rispettare.
c) Se l'articolo 5, paragrafo 1, lettera c), del [RGPD], che impone la minimizzazione dei dati, debba essere interpretato nel senso che esso non osta a che, attraverso un registro di titolari effettivi istituito a norma dell'articolo 30 della [direttiva 2015/849 modificata], il pubblico abbia accesso, oltre che al nome, al mese e all'anno di nascita, alla cittadinanza e al paese di residenza di un titolare effettivo, nonché alla natura e all'entità dell'interesse beneficiario detenuto dal medesimo, anche alla sua data di nascita e al suo luogo di nascita.
d) Se l'articolo 5, paragrafo 1, lettera f), del [RGPD], secondo cui il trattamento dei dati deve essere effettuato in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti, garantendo in tal modo l'integrità e la riservatezza di tali dati, non osti all'accesso illimitato e incondizionato, senza impegno alla riservatezza, ai dati personali di titolari effettivi disponibili nel registro dei titolari effettivi istituito a norma dell'articolo 30 della [direttiva 2015/849 modificata].
e) Se l'articolo 25, paragrafo 2, del [RGPD], che garantisce la protezione dei dati per impostazione predefinita, in forza del quale, segnatamente, per impostazione predefinita, non devono essere resi accessibili i dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica interessata, debba essere interpretato nel senso che esso non osta:
- a che un registro di titolari effettivi istituito a norma dell'articolo 30 della [direttiva 2015/849 modificata] non richieda l'iscrizione sul sito di detto registro delle persone del pubblico che consultano i dati personali di un titolare effettivo, né
- a che nessuna informazione relativa a una consultazione di dati personali di un titolare effettivo iscritti in un siffatto registro sia comunicata a detto titolare effettivo, né
- a che non sia applicabile alcuna restrizione quanto alla portata e all'accessibilità dei dati personali di cui trattasi riguardo alla finalità del loro trattamento.
f) Se gli articoli da 44 a 50 del [RGPD], che subordinano a condizioni rigorose il trasferimento di dati personali verso un paese terzo, debbano essere interpretati nel senso che essi non ostano a che tali dati di un titolare effettivo iscritti in un registro di titolari effettivi istituito a norma dell'articolo 30 della [direttiva 2015/849 modificata] siano in ogni caso accessibili al pubblico senza giustificazione di un interesse legittimo e senza limitazioni quanto all'ubicazione di tale pubblico».
Sulle questioni pregiudiziali
Sulla prima questione sollevata nella causa C-601/20
34. Con la prima questione sollevata nella causa C-601/20, il giudice del rinvio si interroga, in sostanza, sulla validità, alla luce degli articoli 7 e 8 della Carta, dell'articolo 1, punto 15, lettera c), della direttiva 2018/843, in quanto tale disposizione ha modificato l'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 nel senso che quest'ultimo prevede, nella sua versione così modificata, che gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva delle società e delle altre entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico.
Sull'ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta risultante dall'accesso del pubblico alle informazioni sulla titolarità effettiva
35. L'articolo 7 della Carta garantisce a ogni persona il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, mentre l'articolo 8, paragrafo 1, della Carta conferisce esplicitamente a ogni persona il diritto alla protezione dei dati di carattere personale che la riguardano.
36. Come risulta dall'articolo 30, paragrafi 1 e 3, della direttiva 2015/849 modificata, gli Stati membri provvedono affinché le società e le altre entità giuridiche costituite nel loro territorio siano tenute a ottenere e conservare informazioni adeguate, accurate e attuali sulla loro titolarità effettiva e che tali informazioni siano custodite in un registro centrale in ciascuno Stato membro. Ai sensi dell'articolo 3, punto 6, di tale direttiva, i titolari effettivi sono la persona o le persone fisiche che, in ultima istanza, possiedono o controllano il cliente e/o le persone fisiche per conto delle quali è realizzata un'operazione o un'attività.
37. L'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 modificata impone agli Stati membri di provvedere affinché le informazioni sulla titolarità effettiva siano accessibili in ogni caso «al pubblico», mentre il suo secondo comma precisa che le persone in tal modo indicate hanno «accesso almeno al nome, al mese e anno di nascita, al paese di residenza e alla cittadinanza del titolare effettivo così come alla natura ed entità dell'interesse beneficiario detenuto». Detto articolo 30, paragrafo 5, aggiunge, al suo terzo comma, che «gli Stati membri possono, alle condizioni stabilite dal diritto nazionale, garantire l'accesso a informazioni aggiuntive che consentano l'identificazione del titolare effettivo», le quali «includ[a]no almeno la data di nascita o le informazioni di contatto, conformemente alle norme sulla protezione dei dati».
38. A tal riguardo, occorre rilevare che, dal momento che i dati di cui al citato articolo 30, paragrafo 5, contengono informazioni su persone fisiche identificate, ossia i titolari effettivi delle società e delle altre entità giuridiche costituite nel territorio degli Stati membri, l'accesso del pubblico a queste ultime incide sul diritto fondamentale al rispetto della vita privata, garantito dall'articolo 7 della Carta (v., per analogia, sentenza del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punto 94 e giurisprudenza ivi citata), senza che rilevi, in tale contesto, la circostanza che i dati di cui trattasi possano attenere ad attività professionali (v., per analogia, sentenza del 9 novembre 2010, Volker und Markus Schecke ed Eifert, C-92/09 e C-93/09, EU:C:2010:662, punto 59). Inoltre, la messa a disposizione del pubblico di tali dati costituisce un trattamento di dati personali ai sensi dell'articolo 8 della Carta (v., per analogia, sentenza del 9 novembre 2010, Volker und Markus Schecke ed Eifert, C-92/09 e C-93/09, EU:C:2010:662, punti 52 e 60).
39. Occorre altresì rilevare che, come risulta da una giurisprudenza costante della Corte, mettere dati personali a disposizione di terzi costituisce un'ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, indipendentemente dall'uso successivo delle informazioni comunicate. A tal riguardo, poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno carattere delicato o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza (sentenza del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punto 96 e giurisprudenza ivi citata).
40. Pertanto, l'accesso del pubblico alle informazioni sulla titolarità effettiva, previsto all'articolo 30, paragrafo 5, della direttiva 2015/849 modificata, costituisce un'ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta.
41. Per quanto riguarda la gravità di tale ingerenza, occorre rilevare che le informazioni messe a disposizione del pubblico, nella misura in cui si riferiscono all'identità del titolare effettivo nonché alla natura e all'entità dell'interesse beneficiario detenuto in società o in altre entità giuridiche, sono tali da permettere di delineare un profilo riguardante taluni dati d'identificazione personale di natura più o meno estesa in funzione della configurazione del diritto nazionale, lo stato patrimoniale dell'interessato nonché i settori economici, i paesi e le imprese in cui quest'ultimo ha investito.
42. A ciò si aggiunge che è insito nel fatto di mettere tali informazioni a disposizione del pubblico che queste ultime siano allora accessibili ad un numero potenzialmente illimitato di persone, cosicché un simile trattamento di dati personali può consentire anche a persone che, per ragioni estranee all'obiettivo perseguito da detta misura, cerchino di ottenere informazioni, in particolare, sulla situazione materiale e finanziaria del titolare effettivo, di accedere liberamente a tali dati (v., per analogia, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punti 102 e 103). Tale possibilità risulta ancor più agevole quando, come avviene in Lussemburgo, i dati in questione possono essere consultati su Internet.
43. Inoltre, le potenziali conseguenze per le persone interessate derivanti da un eventuale uso abusivo dei loro dati personali sono aggravate dalla circostanza che, una volta messi a disposizione del pubblico, tali dati possono non solo essere liberamente consultati, ma altresì essere conservati e diffusi e che, in caso di simili trattamenti successivi, per tali persone diventa vieppiù difficile, se non addirittura illusorio, difendersi efficacemente dagli abusi.
44. Pertanto, l'accesso del pubblico alle informazioni sulla titolarità effettiva, previsto dall'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 modificata, costituisce una grave ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta (v., per analogia, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punto 105).
Sulla giustificazione dell'ingerenza risultante dall'accesso del pubblico alle informazioni sulla titolarità effettiva
45. I diritti fondamentali sanciti agli articoli 7 e 8 della Carta non appaiono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale (sentenza del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punto 112 e giurisprudenza ivi citata).
46. Ai sensi dell'articolo 52, paragrafo 1, prima frase, della Carta, eventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla stessa devono essere previste dalla legge e rispettare il loro contenuto essenziale. Secondo l'articolo 52, paragrafo 1, seconda frase, della Carta, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni a tali diritti e libertà solo qualora esse siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui. A tale riguardo, l'articolo 8, paragrafo 2, della Carta precisa che i dati personali devono, in particolare, essere trattati «per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».
- Sul rispetto del principio di legalità
47. Per quanto riguarda il requisito secondo cui qualsiasi limitazione nell'esercizio dei diritti fondamentali deve essere prevista dalla legge, quest'ultimo implica che l'atto che consente l'ingerenza in tali diritti deve definire, esso stesso, la portata della limitazione dell'esercizio del diritto considerato, fermo restando, da un lato, che tale requisito non esclude che la limitazione in questione sia formulata in termini sufficientemente ampi, in modo da potersi adattare a fattispecie diverse nonché ai cambiamenti di situazione, e, dall'altro, che la Corte può, se del caso, precisare, in via interpretativa, la portata concreta della limitazione in considerazione sia dei termini stessi della normativa dell'Unione di cui trattasi sia dell'impianto sistematico e agli obiettivi che essa persegue, come interpretati alla luce dei diritti fondamentali garantiti dalla Carta (sentenza del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punto 114 e giurisprudenza ivi citata).
48. In proposito, si deve rilevare che la limitazione dell'esercizio dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta risultante dall'accesso del pubblico alle informazioni sulla titolarità effettiva è prevista da un atto legislativo dell'Unione, ossia la direttiva 2015/849 modificata. Inoltre, l'articolo 30 di quest'ultima prevede, ai suoi paragrafi 1 e 5, da un lato, l'accesso del pubblico a dati relativi all'identificazione dei titolari effettivi e all'interesse beneficiario da essi detenuto, precisando che tali dati devono essere adeguati, accurati e attuali, ed elencando espressamente alcuni di tali dati ai quali il pubblico deve essere autorizzato ad accedere. Dall'altro, detto articolo 30 stabilisce, al suo paragrafo 9, le condizioni alle quali gli Stati membri possono prevedere deroghe a un simile accesso.
49. Ciò posto, si deve dichiarare che il principio di legalità è soddisfatto.
- Sul rispetto del contenuto essenziale dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta
50. Per quanto riguarda il rispetto del contenuto essenziale dei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, occorre rilevare che le informazioni alle quali fa espresso riferimento l'articolo 30, paragrafo 5, secondo comma, della direttiva 2015/849 modificata possono essere classificate in due categorie di dati distinti, la prima comprendente dati relativi all'identità del titolare effettivo (nome, mese e anno di nascita nonché cittadinanza) e, la seconda, dati di natura economica (natura ed entità dell'interesse beneficiario detenuto).
51. Inoltre, se è vero che l'articolo 30, paragrafo 5, secondo comma, della direttiva 2015/849 modificata non contiene, come risulta dall'utilizzo dell'espressione «almeno», un elenco tassativo dei dati ai quali il pubblico deve essere autorizzato ad accedere e che tale articolo 30, paragrafo 5, aggiunge, al terzo comma, che gli Stati membri sono autorizzati a dare accesso a informazioni aggiuntive, resta il fatto che, conformemente al suddetto articolo 30, paragrafo 1, solo informazioni «adeguate» sui titolari effettivi e sull'interesse beneficiario detenuto possono essere ottenute, conservate e, pertanto, potenzialmente rese accessibili al pubblico, ciò che esclude, in particolare, le informazioni che non abbiano una relazione adeguata con le finalità di tale direttiva.
52. Orbene, non risulta che la messa a disposizione del pubblico delle informazioni aventi una simile relazione arrecherebbe in qualche modo pregiudizio al contenuto essenziale dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta.
53. In tale contesto, occorre altresì rilevare che l'articolo 41, paragrafo 1, della direttiva 2015/849 modificata prevede espressamente che il trattamento dei dati personali ai sensi di quest'ultima è soggetto alla direttiva 95/46 e, pertanto, al RGPD, il cui articolo 94, paragrafo 2, precisa che i riferimenti a quest'ultima direttiva si intendono fatti a tale regolamento. È dunque pacifico che qualsiasi raccolta, conservazione e messa a disposizione di informazioni ai sensi della direttiva 2015/849 modificata debba essere pienamente conforme ai requisiti derivanti dal RGPD.
54. Ciò posto, l'ingerenza risultante dall'accesso del pubblico alle informazioni sulla titolarità effettiva previsto dall'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 modificata non pregiudica il contenuto essenziale dei diritti fondamentali sanciti agli articoli 7 e 8 della Carta.
- Sull'obiettivo di interesse generale riconosciuto dall'Unione
55. La direttiva 2015/849 modificata mira, secondo la formulazione stessa del suo articolo 1, paragrafo 1, a impedire l'utilizzo del sistema finanziario dell'Unione per fini di riciclaggio e di finanziamento del terrorismo. A tal riguardo, il considerando 4 della direttiva 2018/843 precisa che il perseguimento di tale obiettivo può essere efficace solo se l'ambiente circostante è ostile ai criminali e che il rafforzamento della trasparenza generale del contesto economico e finanziario dell'Unione potrebbe essere un potente deterrente.
56. Per quanto riguarda, più specificamente, l'obiettivo perseguito dall'accesso del pubblico alle informazioni sulla titolarità effettiva, introdotto dall'articolo 1, punto 15, lettera c), della direttiva 2018/843, il considerando 30 di tale direttiva enuncia che un simile accesso, anzitutto, «consente alla società civile, anche attraverso le sue organizzazioni e la stampa, di effettuare una valutazione più accurata di queste informazioni e contribuisce a mantenere la fiducia nell'integrità delle operazioni commerciali e del sistema finanziario». Inoltre, l'accesso in parola «può contribuire a combattere l'uso improprio di società, altri soggetti giuridici e istituti giuridici per riciclare denaro e finanziare il terrorismo sia favorendo le indagini che per i suoi effetti in termini di reputazione, dato che tutti coloro che potrebbero effettuare operazioni sono a conoscenza dell'identità dei titolari effettivi». Infine, tale accesso «facilita anche la tempestiva ed efficiente messa a disposizione delle informazioni agli istituti finanziari e alle autorità, comprese quelle dei paesi terzi, che si occupano del contrasto di tali reati» e «gioverebbe inoltre alle indagini sul riciclaggio di denaro, sui reati presuppost[i] associati e sul finanziamento del terrorismo».
57. Inoltre, il considerando 31 della direttiva 2018/843 precisa che «[i]l potenziale incremento della fiducia nei mercati finanziari dovrebbe essere considerato un effetto collaterale positivo e non lo scopo finale di una maggiore trasparenza, che è infatti quello di creare un ambiente meno suscettibile di essere utilizzato per le attività di riciclaggio e di finanziamento del terrorismo».
58. Ne consegue che, prevedendo l'accesso del pubblico alle informazioni sui titolari effettivi, il legislatore dell'Unione mira a prevenire il riciclaggio di denaro e il finanziamento del terrorismo creando, mediante il rafforzamento della trasparenza, un ambiente meno suscettibile di essere utilizzato a tali fini.
59. Ebbene, questa finalità costituisce un obiettivo di interesse generale che può giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta (v., in tal senso, sentenza del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punto 122 e giurisprudenza ivi citata).
60. Nei limiti in cui, in tale contesto, il Consiglio dell'Unione europea si riferisce inoltre esplicitamente al principio di trasparenza, quale risulta dagli articoli 1 e 10 TUE nonché dall'articolo 15 TFUE, occorre rilevare che tale principio, come sottolineato dalla stessa istituzione, consente una migliore partecipazione dei cittadini al processo decisionale e garantisce una maggiore legittimità, efficienza e responsabilità dell'amministrazione nei confronti dei cittadini in un sistema democratico (sentenza del 9 novembre 2010, Volker und Markus Schecke ed Eifert, C-92/09 e C-93/09, EU:C:2010:662, punto 68 e giurisprudenza ivi citata).
61. Orbene, se è vero che, a tale titolo, detto principio si concretizza anzitutto in requisiti di trasparenza istituzionale e procedurale riguardanti le attività di natura pubblica, ivi incluso l'impiego delle finanze pubbliche, un siffatto collegamento con le istituzioni pubbliche manca quando, come nel caso di specie, la misura in questione mira a rendere accessibili al pubblico i dati riguardanti l'identità di titolari effettivi privati nonché la natura e l'entità dell'interesse beneficiario da essi detenuto in società o in altre entità giuridiche.
62. Pertanto, il principio di trasparenza, quale risulta dagli articoli 1 e 10 TUE nonché dall'articolo 15 TFUE, non può essere considerato, in quanto tale, come un obiettivo di interesse generale idoneo a giustificare l'ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta derivante dall'accesso del pubblico alle informazioni sulla titolarità effettiva.
- Sul carattere idoneo, necessario e proporzionato dell'ingerenza di cui trattasi
63. Secondo una giurisprudenza costante, la proporzionalità di misure dalle quali risulti un'ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta richiede il rispetto dei requisiti di idoneità e di necessità nonché di quello relativo al carattere proporzionato di tali misure rispetto all'obiettivo perseguito (v., in tal senso, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C-140/20, EU:C:2022:258, punto 93).
64. Più specificamente, le deroghe alla protezione dei dati personali e le limitazioni di quest'ultima operano entro i limiti dello stretto necessario, fermo restando che, qualora sia possibile una scelta fra più misure appropriate al soddisfacimento dei legittimi obiettivi perseguiti, si deve ricorrere alla meno restrittiva. Inoltre, un obiettivo di interesse generale non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura, effettuando un contemperamento equilibrato tra, da un lato, l'obiettivo di interesse generale e, dall'altro, i diritti di cui trattasi, al fine di garantire che gli inconvenienti causati da tale misura non siano sproporzionati rispetto agli scopi perseguiti. Così, la possibilità per gli Stati membri di giustificare una limitazione ai diritti garantiti dagli articoli 7 e 8 della Carta deve essere valutata misurando la gravità dell'ingerenza che una limitazione siffatta comporta, e verificando che l'importanza dell'obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (v., in tal senso, sentenze del 26 aprile 2022, Polonia/Parlamento e Consiglio, C-401/19, EU:C:2022:297, punto 65, nonché del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punti 115 e 116 nonché giurisprudenza ivi citata).
65. Inoltre, per soddisfare il requisito di proporzionalità, la normativa di cui trattasi, che comporta l'ingerenza, deve altresì prevedere norme chiare e precise che disciplinino la portata e l'applicazione delle misure che essa prevede e che fissino requisiti minimi, cosicché le persone interessate dispongano di garanzie sufficienti, tali da permettere di proteggere efficacemente i loro dati personali contro i rischi di abuso. Essa deve in particolare indicare in quali circostanze e a quali condizioni una misura che prevede il trattamento di siffatti dati possa essere adottata, garantendo così che l'ingerenza sia limitata allo stretto necessario. La necessità di disporre di siffatte garanzie è tanto più importante allorché i dati personali siano resi accessibili al pubblico, e, quindi, a un numero potenzialmente illimitato di persone, e siano idonei a rivelare informazioni sensibili relative alle persone interessate (v., in tal senso, sentenza del 21 giugno 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, punto 117 e giurisprudenza ivi citata).
66. Conformemente a tale giurisprudenza, occorre verificare, in primo luogo, se l'accesso del pubblico alle informazioni sulla titolarità effettiva sia idoneo a realizzare l'obiettivo di interesse generale perseguito, in secondo luogo, se l'ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta risultante da un simile accesso sia limitata allo stretto necessario, nel senso che l'obiettivo non potrebbe ragionevolmente essere conseguito in modo altrettanto efficace con altri mezzi meno lesivi di tali diritti fondamentali delle persone interessate e, in terzo luogo, se siffatta ingerenza non sia sproporzionata rispetto a tale obiettivo, il che implica, in particolare, una ponderazione dell'importanza di quest'ultimo e della gravità di detta ingerenza.
67. In primo luogo, si deve ritenere che l'accesso del pubblico alle informazioni sulla titolarità effettiva sia atto a contribuire alla realizzazione dell'obiettivo di interesse generale, individuato al punto 58 della presente sentenza, di prevenire il riciclaggio di denaro e il finanziamento del terrorismo, in quanto il carattere pubblico di tale accesso e la maggiore trasparenza che ne deriva contribuiscono alla creazione di un ambiente meno suscettibile di essere utilizzato a tali fini.
68. In secondo luogo, al fine di dimostrare la stretta necessità dell'ingerenza risultante dall'accesso del pubblico alle informazioni sulla titolarità effettiva, il Consiglio e la Commissione si riferiscono alla valutazione d'impatto che accompagna la proposta di direttiva del Parlamento europeo e del Consiglio che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica la direttiva 2009/101/CE (COM/2016/0450 final), all'origine della direttiva 2018/843. Secondo tali istituzioni, mentre l'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849, nella sua versione anteriore alla sua modifica da parte della direttiva 2018/843, subordinava l'accesso di qualsiasi persona alle informazioni sulla titolarità effettiva alla condizione che tale persona fosse in grado di dimostrare un «legittimo interesse», detta valutazione d'impatto ha constatato che la mancanza di una definizione uniforme di tale nozione di «legittimo interesse» aveva posto difficoltà pratiche, cosicché si era ritenuto che la soluzione corretta consistesse nell'eliminare detta condizione.
69. Inoltre, nelle loro osservazioni scritte, il Parlamento, il Consiglio e la Commissione sottolineano, facendo segnatamente riferimento al considerando 30 della direttiva 2018/843, che l'accesso del pubblico alle informazioni sulla titolarità effettiva, quale previsto nella direttiva 2015/849 modificata, produce un effetto dissuasivo, permette un controllo accresciuto e facilita la conduzione delle indagini, ivi incluse quelle condotte dalle autorità di paesi terzi, e che siffatte conseguenze non potrebbero essere ottenute in altro modo.
70. Nel corso dell'udienza, la Commissione è stata invitata ad indicare se, per ovviare al rischio che l'obbligo per qualunque persona o organizzazione di dimostrare un «legittimo interesse», quale inizialmente previsto dalla direttiva 2015/849, conduca, a causa delle divergenze nella definizione di tale nozione negli Stati membri, a limitazioni eccessive dell'accesso alle informazioni sulla titolarità effettiva, essa avesse preso in considerazione la possibilità di proporre una definizione uniforme di detta nozione.
71. In risposta a tale quesito, la Commissione ha osservato che il criterio del «legittimo interesse» è un concetto che si presta difficilmente a una definizione giuridica e che, pur avendo preso in considerazione la possibilità di proporre una definizione uniforme di tale criterio, essa vi ha infine rinunciato, per il motivo che quest'ultimo, quand'anche provvisto di una definizione, resta difficile da attuare e che la sua applicazione potrebbe dar luogo a decisioni arbitrarie.
72. A tal riguardo, occorre considerare che l'eventuale esistenza di difficoltà nel definire con precisione le ipotesi e le condizioni in cui il pubblico può accedere alle informazioni sulla titolarità effettiva non può giustificare il fatto che il legislatore dell'Unione preveda l'accesso del pubblico a tali informazioni (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C-140/20, EU:C:2022:258, punto 84).
73. Inoltre, neppure gli effetti invocati e il riferimento fatto, in tale contesto, alle spiegazioni contenute nel considerando 30 della direttiva 2018/843 possono dimostrare la stretta necessità dell'ingerenza di cui trattasi.
74. Infatti, nella misura in cui tale considerando afferma che l'accesso del pubblico alle informazioni sulla titolarità effettiva consente un maggiore controllo delle informazioni da parte della società civile e in cui esso menziona espressamente, a detto titolo, la stampa e le organizzazioni della società civile, si deve rilevare che tanto la stampa quanto le organizzazioni della società civile che presentano un collegamento con la prevenzione e la lotta contro il riciclaggio di denaro e il finanziamento del terrorismo hanno un legittimo interesse ad accedere alle informazioni sulla titolarità effettiva. Lo stesso vale per i soggetti, parimenti menzionati nel suddetto considerando, che desiderino conoscere l'identità dei titolari effettivi di una società o di un'altra entità giuridica per il fatto che potrebbero effettuare operazioni con queste ultime, o ancora per le istituzioni finanziarie e autorità che si occupano del contrasto dei reati in materia di riciclaggio di denaro o di finanziamento del terrorismo, nella misura in cui queste ultime entità non abbiano già accesso alle informazioni in questione sulla base dell'articolo 30, paragrafo 5, primo comma, lettere a) e b), della direttiva 2015/849 modificata.
75. Del resto, e sebbene sia precisato, nel medesimo considerando, che l'accesso del pubblico alle informazioni sulla titolarità effettiva «può contribuire» a combattere l'uso improprio di società e di altri soggetti giuridici e che «gioverebbe inoltre» anche alle indagini penali, è inevitabile constatare che neppure simili considerazioni sono idonee a dimostrare che tale misura sia strettamente necessaria per prevenire il riciclaggio di denaro e il finanziamento del terrorismo.
76. Alla luce di quanto precede, non si può affermare che l'ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta risultante dall'accesso del pubblico alle informazioni sulla titolarità effettiva sia limitata allo stretto necessario.
77. In terzo luogo, per quanto riguarda gli elementi addotti per dimostrare il carattere proporzionato dell'ingerenza di cui è causa, nel senso che, in particolare, l'accesso del pubblico alle informazioni sulla titolarità effettiva, previsto dall'articolo 30, paragrafo 5, della direttiva 2015/849 modificata, si baserebbe su una ponderazione equilibrata fra, da un lato, l'obiettivo di interesse generale perseguito e, dall'altro, i diritti fondamentali interessati, e che esisterebbero sufficienti garanzie contro i rischi di abuso, occorre aggiungere quanto segue.
78. Anzitutto, la Commissione fa valere che, come risulta dal considerando 34 della direttiva 2018/843, il legislatore dell'Unione si è premurato di precisare che l'insieme dei dati messi a disposizione del pubblico deve essere limitato, definito in modo chiaro ed esaustivo, e avere natura generale, in modo da ridurre al minimo il potenziale pregiudizio per i titolari effettivi. È in tale contesto che, sulla base dell'articolo 30, paragrafo 5, della direttiva 2015/849 modificata, sarebbero accessibili al pubblico soltanto i dati strettamente necessari per identificare i titolari effettivi nonché la natura e l'entità dei loro interessi.
79. Inoltre, il Parlamento, il Consiglio e la Commissione sottolineano che si può derogare al principio dell'accesso del pubblico alle informazioni sulla titolarità effettiva, poiché l'articolo 30, paragrafo 9, della direttiva 2015/849 modificata enuncia che, «in circostanze eccezionali», «gli Stati membri possono prevedere una deroga a tale accesso a tutte o parte delle informazioni sulla titolarità effettiva, caso per caso» qualora l'accesso del pubblico a tali informazioni «esponga il titolare effettivo a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, o qualora il titolare effettivo sia minore di età o altrimenti incapace per la legge».
80. Infine, sia il Parlamento che la Commissione osservano che, come risulta dall'articolo 30, paragrafo 5 bis, della direttiva 2015/849 modificata, in combinato disposto con il considerando 36 della direttiva 2018/843, gli Stati membri possono subordinare la messa a disposizione delle informazioni sulla titolarità effettiva ad una registrazione online al fine di identificare tutte le persone che richiedano informazioni. Oltre a ciò, conformemente al considerando 38 di quest'ultima direttiva, al fine di evitare l'abuso delle informazioni sulla titolarità effettiva, gli Stati membri potrebbero mettere a disposizione dei titolari effettivi talune informazioni sul richiedente unitamente alla base giuridica della sua richiesta.
81. A tal riguardo, occorre rilevare che, come ricordato al punto 51 della presente sentenza, l'articolo 30, paragrafo 5, della direttiva 2015/849 modificata prevede, al suo secondo comma, che il pubblico ha accesso «almeno» ai dati indicati da tale disposizione e aggiunge, al suo terzo comma, che gli Stati membri possono garantire l'accesso ad «informazioni aggiuntive che consentano l'identificazione del titolare effettivo», comprese, «almeno», la data di nascita o le informazioni di contatto del titolare effettivo interessato.
82. Orbene, dall'utilizzo dell'espressione «almeno» si inferisce che tali disposizioni autorizzano la messa a disposizione del pubblico di dati che non sono sufficientemente definiti né identificabili. Di conseguenza, le norme sostanziali che disciplinano l'ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta non soddisfano i requisiti di chiarezza e di precisione di cui al punto 65 della presente sentenza [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 160].
83. Peraltro, per quanto riguarda il bilanciamento tra la gravità di tale ingerenza, rilevata ai punti da 41 a 44 della presente sentenza, e l'importanza dell'obiettivo di interesse generale di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, occorre considerare che, sebbene, tenuto conto della sua importanza, tale obiettivo sia, come constatato al punto 59 della presente sentenza, idoneo a giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, resta il fatto che, da un lato, la lotta contro il riciclaggio di denaro e il finanziamento del terrorismo spetta prioritariamente alle autorità pubbliche nonché alle entità, quali gli enti creditizi o gli istituti finanziari, che, in ragione delle loro attività, sono assoggettate ad obblighi specifici in tale materia.
84. Del resto, è per tale motivo che l'articolo 30, paragrafo 5, primo comma, lettere a) e b), della direttiva 2015/849 modificata prevede che le informazioni sulla titolarità effettiva debbano essere accessibili, in ogni caso, alle autorità competenti e alle unità di informazione finanziaria, senza alcuna restrizione, nonché ai soggetti obbligati, nell'ambito dell'adeguata verifica della clientela.
85. D'altra parte, rispetto a un regime come quello dell'articolo 30, paragrafo 5, della direttiva 2015/849 nella versione precedente all'entrata in vigore della direttiva 2018/843, che prevedeva, oltre all'accesso da parte delle autorità competenti e di determinate entità, quello da parte di qualunque persona od organizzazione che potesse dimostrare un legittimo interesse, il regime introdotto da quest'ultima direttiva, che prevede l'accesso del pubblico alle informazioni sulla titolarità effettiva, rappresenta una lesione considerevolmente più grave dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, senza che tale aggravamento sia compensato dagli eventuali benefici che potrebbero derivare da quest'ultimo regime rispetto al primo, sotto il profilo della lotta contro il riciclaggio di denaro e il finanziamento del terrorismo (v., per analogia, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punto 112).
86. In tali circostanze, le disposizioni facoltative di cui all'articolo 30, paragrafi 5 bis e 9, della direttiva 2015/849 modificata, che consentono agli Stati membri, rispettivamente, di subordinare la messa a disposizione delle informazioni sulla titolarità effettiva ad una registrazione online e di prevedere, in circostanze eccezionali, talune deroghe all'accesso del pubblico a tali informazioni, non sono, di per sé, idonee a dimostrare né una ponderazione equilibrata tra l'obiettivo di interesse generale perseguito e i diritti fondamentali sanciti agli articoli 7 e 8 della Carta, né l'esistenza di sufficienti garanzie che consentano alle persone interessate di tutelare efficacemente i loro dati personali contro i rischi di abusi.
87. Del resto, è irrilevante, in tale contesto, il riferimento operato dalla Commissione alla sentenza del 9 marzo 2017, Manni (C-398/15, EU:C:2017:197), concernente la pubblicità obbligatoria relativa alle società, nonché ai loro rappresentanti legali, prevista dalla prima direttiva 68/151/CEE del Consiglio, del 9 marzo 1968, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati membri, alle società a mente dell'articolo 58, secondo comma, del Trattato per proteggere gli interessi dei soci e dei terzi (GU 1968, L 65, pag. 8), come modificata dalla direttiva 2003/58/CE, del Parlamento europeo e del Consiglio, del 15 luglio 2003 (GU 2003, L 221, pag. 13). Infatti, la pubblicità obbligatoria prevista da tale direttiva, da un lato, e l'accesso del pubblico alle informazioni sulla titolarità effettiva previsto dalla direttiva 2015/849 modificata, dall'altro, differiscono sia per le loro rispettive finalità sia per la loro portata in termini di dati personali coperti.
88. Alla luce di tutte le considerazioni che precedono, alla prima questione sollevata nella causa C-601/20 occorre rispondere dichiarando che l'articolo 1, punto 15, lettera c), della direttiva 2018/843 è invalido in quanto esso ha modificato l'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva 2015/849 nel senso che quest'ultimo prevede, nella sua versione così modificata, che gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva delle società e delle altre entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico.
Sulla seconda e sulla terza questione sollevate nella causa C-601/20 nonché sulle questioni sollevate nella causa C-37/20
89. Per quanto riguarda la seconda questione sollevata nella causa C-601/20 e le questioni sollevate nella causa C-37/20, esse si basano sulla premessa della validità dell'articolo 30, paragrafo 5, della direttiva 2015/849 modificata, in quanto esso prevede l'accesso pubblico alle informazioni sulla titolarità effettiva.
90. Orbene, tenuto conto della risposta fornita alla prima questione sollevata nella causa C-601/20, non vi è luogo ad esaminare tali questioni.
91. Inoltre, alla luce di questa stessa risposta, non occorre nemmeno pronunciarsi sulla terza questione sollevata nella causa C-601/20.
Sulle spese
92. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Grande Sezione) dichiara:
L'articolo 1, punto 15, lettera c), della direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018, che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE, è invalido in quanto esso ha modificato l'articolo 30, paragrafo 5, primo comma, lettera c), della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione, nel senso che detto articolo 30, paragrafo 5, primo comma, lettera c), prevede, nella sua versione così modificata, che gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva delle società e delle altre entità giuridiche costituite nel loro territorio siano accessibili in ogni caso al pubblico.