O decizie CJUE din 2022
Spre finele anului 2022, CJUE aborda validitatea dispoziției din Directiva (UE) 2018/843, care permitea accesul publicului larg la informații despre beneficiarii reali. CJUE a concluzionat atunci că această prevedere este invalidă în contextul Cartei drepturilor fundamentale a Uniunii Europene, deoarece constituie o ingerință gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. Curtea a argumentat că accesul nelimitat al publicului la aceste informații permite unui număr potențial nelimitat de persoane să se informeze despre situația materială și financiară a beneficiarilor reali, cu posibile consecințe negative datorate utilizării abuzive a datelor cu caracter personal.
Practic, hotărârea CJUE în cauzele conexate C-37/20 Luxembourg Business Registers și C-601/20 Sovim a echilibrat drepturile la viață privată și protecția datelor cu transparența registrelor de beneficiari reali, în favoarea vieții private și a protecției datelor beneficiarilor reali ai entităților corporative, ale căror drepturi fundamentale au fost încălcate de una dintre prevederile dreptului secundar al UE. Din perspectiva Curții, accesul nelimitat al oricărui membru al publicului larg la diverse informații privind beneficiarii reali (cel puțin numele, luna și anul nașterii, țara de rezidență și naționalitatea beneficiarului, precum și natura și întinderea interesului deținut, dar statele membre pot să ofere acces la informații suplimentare) constituie o interferență gravă cu drepturile fundamentale ale beneficiarilor reali, care nu este limitată strict la ceea ce este necesar și nu este proporțională cu obiectivul urmărit.
Ne amintim că beneficiarul real este acea persoană fizică (ori mai multe persoane fizice) care, în ultimă instanță, deține sau controlează o entitate juridică prin deținerea directă sau indirectă a unui procent suficient din acțiuni ori drepturi de vot în acea entitate. Identificarea beneficiarilor reali este una dintre măsurile obligatorii de diligență aplicate clienților de către de entitățile obligate (în special instituțiile financiare, dar nu numai) și un element important al investigațiilor financiare efectuate de autoritățile publice relevante. Cu toate acestea, directiva europeană în discuție a prevăzut accesul public la registrele cu beneficiarii reali și l-a prevăzut ca un instrument pentru creșterea transparenței mediului economic și financiar al Uniunii. Iar dacă inițial se prevăzuse accesul la registru pentru oricine demonstra un interes legitim, ulterior, norma europeană a fost modificată pentru extinderea accesului pentru „orice membru al publicului larg”.
Potrivit Curții, „aceste informații sunt capabile să permită crearea unui profil referitor la anumite date de identificare personale mai mult sau mai puțin extinse în funcție de configurarea dreptului național, averea persoanei și sectoarele economice, țările și întreprinderile specifice în care a investit”. CJUE a argumentat că scopul putea fi urmărit la fel de bine și dacă în directivă rămânea valabil doar accesul în baza unui interes legitim, fără să fie necesară extinderea către accesul general.
La noi, chestiunea în discuție se regăsește transpusă în Legea nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului (vezi art. 19), unde se prevede că accesul la registrele de beneficiari reali ținute de Registrul Comerțului și de Ministerul Justiției este asigurat, în conformitate cu normele privind protecţia datelor cu caracter personal, printre altele, oricărei persoane fizice sau juridice, iar accesul la registrul ținut de ANAF (cel cu fiduciile) e asigurat oricărei persoane fizice sau juridice care poate demonstra un interes legitim. În toate cazurile însă, accesul la cele trei registre se face cu condiţia înregistrării online şi plăţii unei taxe/unui tarif administrativ (e) stabilit (e) de autorităţile ce țin aceste registre, care nu trebuie să depăşească costurile administrative asociate punerii la dispoziţie a informaţiilor, inclusiv costurile de întreţinere şi dezvoltare a registrului. Instituirea acestei condiții respectă întocmai cele sugerate prin directivă, unde statelor membre li s-a pus în vedere, dacă vor, să condiționeze cererile de acces.
Relevanța acestei decizii dincolo de registrele cu beneficiarii reali
Până să avem obligația de a avea aceste registre la nivel național, cu accesul permis în condițiile menționate mai sus, ne amintim că destul de multe date personale ale asociaților se regăsesc oricum la Registrul Comerțului, așa cum cere legea. Desigur, accesul la acest registru nu este liber.
Accesorie faptului de a înregistra diverse acte la registru este obligația de publicitate a acestora în Monitorul Oficial. Astfel, dacă deschide partea a IV-a a fiecărui Monitor, vom vedea acolo diverse publicări ce conțin datele personale ale celor care dețin societăți. Când e vorba de persoane fizice, conform Legii societăților, datele de identificare cerute pe hârtie sunt: numele, prenumele, codul numeric personal şi, dacă este cazul, echivalentul acestuia, potrivit legislaţiei naţionale aplicabile, locul şi data naşterii, domiciliul/reşedinţa şi cetăţenia, actul de identitate/paşaportul, seria, numărul, emitentul, data eliberării și perioada de valabilitate.
În unele cazuri, din prea mult exces de zel, probabil, cei ce redactează actele constitutive ori diversele hotărâri AGA pun și date pe care nici măcar legea nu le cere - cum ar fi, în exemplul de mai jos, numele părinților asociatului:
Desigur, cu dezideratul protecției datelor personale în minte, ne întrebăm dacă e necesar ca atât de multe date personale să apară în fiecare zi în Monitorul Oficial și de ce nu ar fi suficient pentru atingerea scopului, respectiv publicității față de terți, ca numai o parte dintre date să figureze în Monitor și restul să fie anonimizate? Doar că cei de la Monitorul Oficial publică date exact așa cum le primesc - corecte, greșite, multe sau puține - întrucât aceasta este atribuția legal conferită.
Jurnalul Oficial al unui stat membru este operator de date cu caracter personal
CJUE a fost solicitată să clarifice dacă Jurnalul Oficial al unui stat membru poate fi considerat operator de date, în conformitate cu prevederile GDPR, iar răspunsul său a fost afirmativ.
La baza cauzei C‑231/22, soluționată la început de 2024, se află o dispută între statul belgian și Autoritatea de Protecție a Datelor din Belgia, în legătură cu publicarea în Jurnalul Oficial belgian (Moniteur belge) a unor date personale care nu trebuiau, de fapt, făcute publice. O persoană fizică a solicitat ștergerea acestor date, dar solicitarea a fost refuzată de autorități.
Pe scurt: X, persoană fizică, deținea majoritatea părților sociale la o societate privată cu răspundere limitată. Întrucât asociații societății au decis reducerea capitalului, statutul societății a fost modificat printr‑o decizie a adunării extraordinare a acesteia. Urmând litera legii, un extras al deciziei a fost pregătit de notarul lui X înainte ca acesta să îl comunice grefei instanței competente, trimis tribunalului și tribunalul a comunicat acest extras spre publicare Direcției Moniteur belge. Extrasul a fost publicat ca atare, adică fără un control al conținutului, în anexele la Moniteur belge, așa cum prevede legea belgiană, însă problema e că extrasul conținea un pasaj în care erau indicate numele celor doi asociați ai societății, inclusiv cel al lui X, sumele care le‑au fost restituite, precum și numerele lor de cont bancar. După ce a constatat că notarul său săvârșise o eroare prin includerea în extrasul menționat a pasajului în discuție, deși acest lucru nu era impus prin lege, X a inițiat, prin intermediul notarului și al responsabilului cu protecția datelor al acestuia din urmă, demersuri pentru a obține eliminarea acestui pasaj, în conformitate cu dreptul său la ștergerea datelor prevăzut la articolul 17 din GDPR.
În cazul Moniteur belge, CJUE a stabilit că, chiar dacă jurnalul oficial nu are personalitate juridică și nu poate controla conținutul publicațiilor pe care le primește pentru publicare, totuși, poate fi considerat operator de date în sensul GDPR. Acest lucru se datorează faptului că dreptul intern belgian stabilește scopurile și mijloacele de prelucrare a datelor de către Moniteur belge.
CJUE a clarificat că Moniteur belge este responsabil pentru respectarea principiilor de protecție a datelor pentru operațiunile pe care le efectuează. Cu toate acestea, dacă dreptul intern indică o responsabilitate comună cu alte entități pentru aceleași operațiuni de prelucrare, atunci responsabilitatea este împărțită.
Cu alte cuvinte, dacă dreptul intern desemnează mai mulți operatori asociați care stabilesc împreună scopurile și mijloacele prelucrării datelor, atunci fiecare operator este responsabil pentru partea sa de prelucrare.
Așa cum ne anunță de pe site-ul său, Monitorul Oficial al României este operator de date cu caracter personal, indicându-ne care sunt datele prelucrate, scopurile și baza legală de prelucrare. „Datele dumneavoastră cu caracter personal sunt prelucrate pentru îndeplinirea obligațiilor legale care îi revin operatorului (Regia Autonomă „Monitorul Oficial”), conform articolului 6 din GDPR”. Art. 6 din GDPR ne enumeră însă toate temeiurile de prelucrare.
„Regia Autonomă „Monitorul Oficial” prin serviciile/birourile/compartimentele colectează date personale direct de la dumneavoastră sau de la terți (cum ar fi alte instituții ori entități care se adresează Regiei ori alte persoane vizate) sau din documente publice.
În cazul în care trebuie să prelucrăm date cu caracter personal obținute de la terți persoane juridice, aceștia din urmă au obligația de a vă furniza informațiile necesare cu privire la utilizarea datelor cu caracter personal transmise”, mai informează cei de la Monitorul Oficial.
Acum, revenind la întrebarea ridicată mai sus: oare e necesară publicarea în Monitorul Oficial a atât de multor date personale ale asociaților - a adresei lor complete, de exemplu? Accesul la aceste date ar trebui să fie posibil oricărei persoane interesate, fără a trebui să dovedească un interes legitim?
În ce măsură datele ar trebui să plece de la registrul comerțului în parte anonimizate? Dacă ne uităm la decizia CJUE din 2022 privind registrele beneficiarilor reali, ar părea că merită să reanalizăm cadrul legislativ privind publicitatea față de terți.