L’Autorità Garante per la Protezione dei Dati Personali ha espresso parere favorevole sulla proposta del Ministero dell’economia e delle finanze (MEF) di modifica del d.lgs. 231 del 2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, volto all’istituzione di una banca dati centralizzata, presso gli organismi di autoregolamentazione.
Il contesto di riferimento
Il parere del Garante è stato reso su di uno schema di articolato aveva già recepito molte delle indicazioni fornite dall’Autorità, nell’ambito di numerose interlocuzioni tra gli Uffici del Garante e del MEF, volte a coniugare nel modo migliore l’esigenza di centralizzazione delle informazioni trasmesse dai professionisti con la tutela dei diritti e delle libertà degli interessati. Tra le istruzioni più rilevanti, quelle concernenti la limitazione dell’oggetto del database ai soli dati per i quali vige, in capo ai soggetti obbligati, una prescrizione di conservazione decennale, oltre alla tassatività dell’elenco dei soggetti deputati all’accesso.
La proposta di modifica
Con l’introduzione dell’art. 34-bis, ciascun organismo di autoregolamentazione potrà istituire -previo parere dell’Autorità - una banca dati informatica centralizzata, alimentata dalla documentazione ricevuta dai professionisti del settore di riferimento nell’esercizio della rispettiva attività, utile ai fini delle valutazioni del rischio di riciclaggio e ai relativi adempimenti.
A tal fine, è espressamente prevista la facoltà per i professionisti di trasmettere alla banca dati le informazioni relative alle caratteristiche, all’entità e alla natura delle operazioni stesse, nonché i dati acquisiti nell'adempimento degli obblighi di adeguata verifica della clientela. Il comma 7 dell’articolo – in conformità al principio di limitazione della finalità – sancisce il divieto, per gli organismi di autoregolamentazione, di trattare i dati e le informazioni ricevuti per finalità diverse da quelle espressamente indicate, con l’obiettivo di precludere l’eventualità di monitoraggio dell’esercizio della professione, anche attraverso un’indiretta profilazione degli interessati.
È stata, inoltre, stabilita la legittimazione esclusiva di accesso alle banche dati per il MEF, l’Unità di Informazione Finanziaria per l’Italia (“UIF”), il Nucleo speciale di polizia valutaria della Guardia di Finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo.
Lo schema di articolato interviene, inoltre, modificando l’articolo 37 del d.lgs. in esame, con l’obiettivo di legittimare i professionisti ad avvalersi “indirettamente” della banca dati informatica ai fini della valutazione degli obblighi di segnalazione delle operazioni sospette. In concreto, questo significa che, nel caso di operazioni potenzialmente rischiose, il sistema genera un avviso in grado di garantire maggiore uniformità, da parte dei professionisti, nelle modalità di adempimento degli obblighi antiriciclaggio.
Quali obiettivi?
L’istituzione di banche dati centralizzate risponde ad un duplice obiettivo: a) le autorità legittimate potranno sfruttare un patrimonio conoscitivo costantemente attualizzato e completo; b) i professionisti sono agevolati nell’adempimento delle proprie obbligazioni in materia antiriciclaggio.
Le osservazioni del Garante
Il MEF, in conformità ai suggerimenti del Garante, ha deciso di circoscrivere l’oggetto delle banche dati – limitando l’oggetto delle banche dati non si determinerebbe un obbligo di conservazione diverso per contenuto né per termine – ai soli dati e informazioni utili a prevenire, individuare o accertare eventuali attività di riciclaggio o di finanziamento del terrorismo (ex art. 31) per i quali già vige, in capo ai soggetti obbligati, una prescrizione di conservazione decennale. L’Autorità, al fine di evitare duplicazioni di archivi, ha invitato a valutare l’opportunità di imporre l’obbligo di conservazione in capo agli organismi di autoregolamentazione che abbiano deciso di istituire l’archivio, liberando dal relativo onere i singoli professionisti che potranno consultare i documenti dagli stessi depositati, con la previsione di adeguate garanzie di selettività nell’accesso.
Nel corso delle interlocuzioni, l’Autorità ha, inoltre, evidenziato una potenziale criticità in relazione alla generazione dell’alert, che potrebbe sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti a condanne penali o reati, a contenuto altamente profilativo. Per queste ragioni, considerato che l’organismo di autoregolamentazione è titolare del trattamento dei dati personali realizzato attraverso la banca dati, è necessaria l’adozione di misure tecniche e organizzative idonee a garantire l’integrità, la non alterabilità, nonché la riservatezza dei dati, “previo parere favorevole” del Garante.
Avv. Rossella Bucca e Dott. Lorenzo Pinci
