Negli ultimi anni, il rafforzamento delle normative sulla protezione dei dati personali, come il Regolamento Generale sulla Protezione dei Dati (GDPR) in ambito europeo e la Legge Federale sulla Protezione dei Dati (LPD) in Svizzera, ha introdotto regole rigorose per la raccolta, il trattamento e la condivisione di dati personali.
Queste tutele, fondate su principi di limitazione della finalità, della proporzionalità e della trasparenza verso la persona interessata, ossia la persona fisica i cui dati personali sono oggetto di trattamento, si confrontano con una serie crescente di obblighi internazionali di trasparenza, quali il FATCA[1] e/o i registri dei titolari effettivi, introdotti in ambiti cruciali come la lotta contro il riciclaggio di denaro, il finanziamento del terrorismo e l’evasione fiscale.
Tali strumenti, che impongono agli Stati e agli intermediari finanziari obblighi di trasmissione e pubblicazione di dati personali per finalità di cooperazione amministrativa e prevenzione degli abusi, si scontrano con i diritti fondamentali alla vita privata e alla protezione dei dati a carattere personale
I trattamenti effettuati nell’ambito di FATCA, dei registri dei titolari effettivi o dello scambio automatico di informazioni, spesso prevedono la raccolta e la trasmissione generalizzata e sistematica di dati personali, senza un filtro effettivo sulla loro necessità caso per caso. Ciò contrasta con il principio di proporzionalità, che richiede che i dati siano trattati solo se “adeguati, pertinenti e limitati a quanto necessario”.
I dati personali trattati (identità, legami patrimoniali, natura del controllo, conti bancari) possono rivelare aspetti rilevanti della sfera economica e privata degli individui, specialmente quando coinvolgono alcune strutture e veicoli patrimoniali familiari.
In merito, la Corte di Giustizia dell’Unione Europea (CGUE) nella sua Sentenza sul registro dei beneficiari effettivi (Causa C-37/20 e C-601/20)[2] ha stabilito che l'accesso generalizzato del pubblico ai dati contenuti nei registri dei beneficiari effettivi, come previsto dalla V Direttiva antiriciclaggio, costituisce un'interferenza grave e sproporzionata con i diritti fondamentali alla vita privata (art. 7) e alla protezione dei dati personali (art. 8) della Carta dei diritti fondamentali dell’UE.
Le motivazioni della Corte, in particolare, sottolineano che la trasparenza non può prevalere indiscriminatamente sui diritti fondamentali sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE in quanto non si può affermare che l’accesso del pubblico alle informazioni sulla titolarità effettiva sia limitato allo stretto necessario (punto 77 della sentenza) e non preveda sufficienti salvaguardie per prevenire usi impropri o abusi.
Questa sentenza ha avuto effetti diretti in Lussemburgo, dove l'accesso al registro è stato ristretto.
Dal lato Svizzero, anche l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) ha espresso riserve sostanziali in merito alla creazione di un registro federale elettronico, la cui creazione è prevista dal disegno di Legge sulla Trasparenza delle Persone Giuridiche (LTPG)[3] in deliberazione presso la Commissione degli affari giuridici del Consiglio Nazionale, che dovrà contenere le informazioni aggiornate sugli aventi economicamente diritto delle entità giuridiche.
Sebbene il registro elettronico “svizzero” dei beneficiari effettivi non preveda un accesso generalizzato al pubblico, l’IFPDT, nel suo rapporto d’attività 2023/2024[4] ha evidenziato infatti alcune criticità ed, in particolare, il fatto che ogni accesso al registro da parte di un’autorità pubblica deve essere riconducibile ad uno scopo chiaro e proporzionato.
Nel contesto della trasmissione di dati a fini di cooperazione fiscale internazionale, come nel caso del FATCA, le persone interessate non sono sempre adeguatamente informate circa il trattamento dei loro dati personali.
Sul punto, in una recente decisione n. 79/2025[1] del 24 aprile 2025, l’Autorità belga per la protezione dei dati (APD) ha confermato e rafforzato la propria posizione[2] rilevando che l’amministrazione fiscale belga (Service Public Federal Finances – SPF Finances) ha violato gli obblighi di trasparenza previsti dagli articoli 14 e 12 del GDPR, non fornendo informazioni chiare e accessibili inerenti al trasferimento dei dati personali nell’ambito dell’accordo FATCA alle persone interessate.
Il trasferimento di dati personali verso paesi terzi è lecito solo se il paese destinatario garantisce un livello di protezione adeguato (decisione di adeguatezza), oppure se il trasferimento è fondato su garanzie appropriate e a condizione che le persone interessate dispongono di diritti e mezzi di ricorsi effettivi. Il trasferimento dei dati nell’ambito dell’accordo FATCA non è coperto dalla decisione di adeguatezza adottata dalla Commissione Europea in data 10 luglio 2023 [3]. Questa decisione di adeguatezza riconosce il livello di protezione adeguato solo per i trasferimenti verso organizzazione statunitensi autocertificate ai sensi del EU – U.S. Data Privacy Framework. Stesso ragionamento va effettuato per quanto riguarda il Swiss - U.S. Data Privacy Framework.
Come sottolineato dall’APD belga, i trasferimenti di dati personali verso autorità di paesi terzi, nel caso specifico il fisco statunitense (Internal Revenue Service - l’IRS), richiedono una valutazione separata e l’adozione di garanzie adeguate al fine di garantire un livello di protezione equiparato a quello richiesto dal diritto dell’UE. Tali garanzie dovrebbero essere incluse negli accordi internazionali come da raccomandazioni dell’European Data Protection Board (EDPB) nelle sue line guide Linee guida 2/2020 sull'articolo 46, paragrafo 2, lettera a), e paragrafo 3, lettera b), del regolamento 2016/679 per i trasferimenti di dati personali tra autorità ed organismi pubblici del SEE e di paesi non appartenenti al SEE. [4]
Pertanto, in assenza di garanzie adeguate, il trasferimento di dati personali verso paesi terzi con livello di protezione non adeguato (ossia in assenza di decisione di adeguatezza o per quanto riguarda la Svizzera esclusi dalla lista dei paesi indicati all’allegato 1 dell’ordinanza sulla protezione dei dati) sono da considerarsi illeciti.
Come dimostrato dal caso belga sul FATCA e dalla giurisprudenza della CGUE sul registro dei beneficiari economici, anche misure adottate in nome della trasparenza possono essere ritenute sproporzionate se non accompagnate da garanzie adeguate ai sensi della normativa sulla protezione dei dati.
In definitiva, la trasparenza non può essere perseguita a scapito della protezione dei diritti fondamentali. Un trattamento dei dati conforme richiede basi legali chiare, garanzie tecniche e organizzative adeguate e, soprattutto, una valutazione costante della proporzionalità degli obblighi di comunicazione rispetto ai diritti degli individui coinvolti.
Vedremo quale sarà il futuro del registro svizzero dei beneficiari effettivi ed, in particolare, la comunicazione dei dati trasmessi alle autorità estere nell’ambito dell’assistenza amministrativa, la quale dovrebbe comportare una vigilanza costante sulla compatibilità con la normativa sulla protezione dei dati.
Questo articolo è stato redatto da Isabel Costa, Manager Privacy di Fidinam & Partners.
Clicca qui per contattarci e rivolgerci domande specifiche sulla tematica in oggetto.
[1] L’accordo intergovernativo FATCA (“Foreign Account Tax Compliance Act”) prevede la comunicazione di dati relativi agli americani residenti all’estero all’autorità fiscale americana ai fini del contrasto alle frodi fiscali. Gli istituti finanziari sono quindi tenuti a trasmettere questi dati all'autorità fiscale dei paesi di residenza che, in base all'accordo, trasferisce a sua volta i dati alla competente autorità statunitense.
[2] Sentenza della CGUE al seguente link: https://curia.europa.eu/juris/document/document.jsf?text=&docid=268059&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=8766626
[3] Disegno di legge al seguente link: https://www.fedlex.admin.ch/eli/fga/2024/1608/it
[4] Rapporto di attività IFPDT 2023/2024 al seguente link: https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2024/11/29/dd06a5ad-a172-4c0e-94b7-88a457de884b.pdf