Civile

La banca dati centralizzata a scopo antiriciclaggio è compliance privacy

Lo stabilisce il Garante per la protezione dei dati personali che ha espresso parere favorevole all'istituzione di una banca dati centralizzata ed informatizzata con finalità di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo

di Elisa Chizzola

Il neo costituendo database informatico centralizzato con scopi antiriciclaggio è in linea con il General data protection regulation (GDPR).

Lo stabilisce il Garante per la protezione dei dati personali che ha espresso parere favorevole all'istituzione di una banca dati centralizzata ed informatizzata con finalità di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

In particolare, oggetto del parere del Garante privacy sono state le disposizioni volte a novellare il dlgs 231/2007, che mirano ad istituire, presso gli organismi di autoregolamentazione, una banca dati centrale per le suddette finalità di prevenzione antiriciclaggio e antiterrorismo.

Si ricorda che si definisce "organismo di autoregolamentazione" l'ente esponenziale, rappresentativo di una categoria professionale, ivi comprese le sue articolazioni territoriali e i consigli di disciplina cui l'ordinamento vigente attribuisce poteri di regolamentazione, di controllo della categoria, di verifica del rispetto delle norme che disciplinano l'esercizio della professione e di irrogazione, attraverso gli organi all'uopo predisposti, delle sanzioni previste per la loro violazione.

Nello specifico, il Legislatore è in procinto di inserire, all'interno del Capo II, Sezione III, Titolo II del dlgs 231/2007, relativo agli obblighi di conservazione, una disposizione (articolo 34-bis), rubricata appunto "Banche dati informatiche presso gli organismi di autoregolamentazione", che nel disporre l'istituzione di tali archivi, prevede che essi siano alimentati dagli atti ricevuti dai professionisti (commercialisti, avvocati, notai, consulenti del lavoro) nell'esercizio della rispettiva attività, utili ai fini delle valutazioni del rischio di riciclaggio cui sono tenuti.

Tale novità lagislativa è funzionale, come sottolinea la Relazione tecnica che accompagna lo schema di articolato, sottoposto dal Ministero dell'economia e delle finanze al Garante privacy, ad una duplice finalità.

Da un lato, la costituenda banca dati costituirebbe "un patrimonio informativo di rilievo" per le attività di analisi e indagini delle autorità competenti (Mef, Unità di informazione finanziaria per l'Italia - Uif, Polizia valutaria della Guardia di Finanza, Direzione investigativa antimafia) per lo svolgimento delle proprie funzioni e secondo le rispettive attribuzioni istituzionali, in particolare per l'effettuazione di analisi ed indagini su operazioni di riciclaggio o di finanziamento del terrorismo.

Inoltre, la Relazione illustrativa sottolinea come la banca dati centralizzata possa rappresentare un efficace strumento di ausilio per i singoli professionisti nell'adempimento dell'obbligo di segnalazione di operazioni sospette alle autorità competenti, cui essi stessi sono tenuti ai sensi dell'articolo 35 del dlgs 231/2007. L'avviso prodotto dal sistema al ricorrere di determinati presupposti, espressivi di una potenziale rischiosità dell'operazione, consentirebbe infatti di garantire maggiore uniformità, da parte dei professionisti, nelle modalità di adempimento degli obblighi antiriciclaggio.

Lo schema recepisce molte delle indicazioni fornite dall'Autorità di controllo privacy nel corso delle interlocuzioni con il Mef.

Innanzitutto, è stata recepita il suggerimento relativo alla limitazione dell'oggetto del database ai soli dati (ex articolo 31, dlgs 231/2007) per i quali già vige, in capo ai soggetti obbligati, una prescrizione di conservazione decennale.
In tal modo, circoscrivendo l'oggetto della conservazione in banca dati, non si determina un obbligo di conservazione diverso per contenuto né per termine, indubbiamente migliorando la proposta legislativa iniziale sotto il profilo della proporzionalità.

Tuttavia, nel suo Parere il Garante dice qualcosa in più, suggerendo ulteriormente di valutare l'opportunità (giustificandone la scelta, almeno in Relazione) di novellare l'articolo 31, comma 3, dlgs 231/2007, imponendo la conservazione nella banca dati centralizzata quale esclusiva modalità di assolvimento dell'obbligo conservativo, così da evitare duplicazioni di archivi. Si potrebbe, in particolare, prevedere che per i professionisti i cui organismi di autoregolamentazione abbiano deciso d'istituire l'archivio, l'obbligo di conservazione di cui all'articolo 31 s'intenda assolto con la modalità centralizzata, legittimando in quest'ultimo caso il professionista a consultare, ove necessario, i documenti dallo stesso versati, con la previsione di adeguate garanzie di selettività nell'accesso.

L'Autorità di controllo privacy, inoltre, suggerisce che andrebbe garantita la conformità del processo di conservazione dei documenti, dei dati e delle informazioni acquisiti dal professionista, in formato analogico tanto quanto informatico, ai requisiti previsti dall'articolo 32, comma 2, del dlgs 231/2007 e dalle "Linee guida sulla formazione, gestione e conservazione dei documenti informatici", adottate dall'AgID con determinazione n. 407/2020.

In tal modo, sottolinea l'Autorità di controllo, si eviterebbe la possibilità di costituzione di due archivi diversi solo per titolarità soggettiva e centralizzazione, ma analoghi per contenuto, finalità e termine di conservazione.

Anche il suggerimento del Garante privacy legato alla necessaria definizione della tassatività dei soggetti legittimati all'accesso al database è stato recepito dal Mef. Infatti, la novella legislativa stabilisce il carattere tassativo dell'elenco dei soggetti che possono accedere alla banca dati centralizzata. In particolare, sono legittimati ad accedere alle banche dati in oggetto, eventualmente istituite presso gli organismi di autoregolamentazione, il Ministero dell'economia e delle finanze, l'Unità di informazione finanziaria per l'Italia, il Nucleo speciale di polizia valutaria della Guardia di Finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo, a supporto dello svolgimento delle rispettive funzioni istituzionali, come individuate dallo stesso dlgs 231/2007. La disciplina delle modalità tecniche ed operative dell'accesso è demandata ad apposita convenzione, sottoscritta da ciascuna autorità con l'organismo di autoregolamentazione, nella qualità di gestore della banca dati e titolare del relativo trattamento dei dati, previo parere conforme del Garante per la protezione dei dati personali. Si chiarisce espressamente che all'accesso non sono legittimati i singoli professionisti.

In linea con i criteri cardine del GDPR e, nello specifico, con il principio di limitazione delle finalità del trattamento dei dati personali (ex articolo 5, GDPR), si pone il divieto, per gli organismi di autoregolamentazione, di trattare i dati e le informazioni ricevuti attraverso il database per finalità diverse da quelle espressamente indicate. Tale divieto è, peraltro, funzionale a precludere ogni possibilità di monitoraggio dell'esercizio della professione, anche attraverso un'indiretta profilazione degli interessati.

L'aspetto del più delicato, lato privacy, del data base centralizzato in questione è rappresentato dalla funzionalità legata alla generazione dell'avviso utile a supportare le valutazioni del professionista, in ragione dell'idoneità, almeno potenzialmente, profilativa dell'analisi funzionale all'elaborazione dell'alert. In pratica, nel caso di operazioni potenzialmente rischiose, il sistema genererebbe un avviso in grado di garantire maggiore uniformità, da parte dei professionisti, nelle modalità di adempimento degli obblighi antiriciclaggio.

Sul punto, la modifica legislativa del dlgs 231/2007 proposta introduce un opportuno riferimento alla possibilità di utilizzo di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, per minimizzare il rischio di errori, distorsioni o discriminazioni.

Tuttavia, in questo ambito, per quanto riguarda la generazione dell'avviso, che prevede appunto la possibilità di utilizzare sistemi automatizzati, il Garante per la protezione dei dati personali ha chiesto al Ministero di demandare a una norma almeno di natura regolamentare la descrizione delle modalità di elaborazione dell'alert e la previsione delle relative garanzie per gli interessati. L'avviso potrebbe, infatti, sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti condanne penali o reati, a contenuto altamente profilativo.

Per saperne di piùRiproduzione riservata ©