ISSN 2784-9635

L’intrinseco rapporto fra la normativa Antiriciclaggio e il GDPR (Reg. UE 2016/679). Due normative a confronto

Giulia Alecce - 23/03/2021

Le tecnologie innovative si fanno strada non solo nella protezione del dato ma anche in materia di lotta al riciclaggio, soprattutto relativamente alla verifica della clientela. Tuttavia, adottare sistemi che siano affidabili e che garantiscano una conformità alle nuove disposizioni contenute all’interno del Provvedimento emanato dalla Banca d’Italia, il 30 luglio 2019, in materia di adeguata verifica, e alla normativa pro tempore vigente in materia di tutela e protezione del dato – Regolamento Ue 679/2016, cd. GDPR, e del D.Lgs. 101/2018 che contiene disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento – non è così agevole e facile come sembri.

Invero, la Banca d’Italia ha recentemente emanato, come appunto anticipato sopra, delle disposizioni in materia di “Adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo”[1], con l’obiettivo ultimo di introdurre nel sistema delle tecnologie sempre più innovative che possano individuare e riconoscere la clientela nel modo più rapido ed efficiente possibile. Sarà permesso alle Banche, alle Società di intermediazione mobiliare (SIM), alle società di gestione del risparmio (SGR), alle società di investimento a capitale variabile (SICAV), agli intermediari iscritti nell’albo previsto dall’art. 106 del TUB, agli IMEL e agli istituti di pagamento acquisire i dati identificativi della clientela, oltre che con i canali utilizzati fin d’ora, altresì, mediante soluzioni tecnologiche innovative, quale ad esempio il riconoscimento biometrico, purché tali metodologie siano affidabili. Difatti, questi nuovi strumenti tecnologici devono essere assistiti da robusti presidi di sicurezza e devono essere correttamente individuati all’interno del documento di policy Antiriciclaggio, è altresì necessario che la funzione Antiriciclaggio compia valutazioni circa i profili di rischio che caratterizzano ciascuno di questi strumenti.

Vi è di più. L’allegato III del suddetto Provvedimento prevede la possibilità di identificare il cliente anche mediante delle procedure da remoto, attraverso delle registrazioni audio e/o video. Ovviamente, è facile comprendere che qualora l’identificazione del cliente potesse avvenire a distanza, mediante procedure da remoto, sarebbe sempre più importante la tutela e la protezione dei dati personali.

Invero, benché non si rinvengano espressi rimandi al GDPR, oltre i richiami che si ritrovano in modo generico in materia di tutela e protezione del dato all’interno del D.Lgs. 231/2007, come modificato dal D.lgs. 90/2017, parliamo pur sempre di dati identificativi, come il nome, il cognome ovvero il codice fiscale e, perciò, dati personali che inevitabilmente per loro natura ricadono all’interno delle disposizioni in materia di tutela e protezione del dato, senza contare l’eventuale trattamento di categorie di dati particolari a norma dell’art. 9 del GDPR.

Pertanto non vi è dubbio circa le implicazioni privacy, alla luce del GDPR, ai fini di una corretta dimostrazione dell’avvenuta esecuzione degli obblighi di adeguata verifica, in tema di Antiriciclaggio e di contrasto al finanziamento del terrorismo.

Un ulteriore aspetto di contatto fra le normative attiene alla corretta conservazione dei dati personali. Orbene il D.lgs. 231/2007, così come modificato dal D.lgs. 90/2017, prevede, agli artt. 31 e 32, che tutte le scritture e i documenti devono essere conservati per dieci anni dall’ultimazione della prestazione. I dati, i documenti e le informazioni sono continuamente aggiornati a seguito del controllo costante del cliente e della prestazione che il professionista è chiamato a svolgere in base all’indice di rischio attribuito. Tale attività di conservazione è talmente fondamentale che l’organo di autoregolamentazione del Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili, nelle ultime disposizioni del 23 gennaio 2019, ha individuato una precisa regola tecnica (la numero III), nella quale si afferma che tutti i dati e le informazioni devono inserirsi in sistemi di conservazione idonei ad evitarne la perdita, con il fine di conservare nel tempo la leggibilità e la reperibilità di tutto quello che è stato acquisito in sede di adeguata verifica della clientela. Vero è che ciascun professionista può, discrezionalmente, scegliere la modalità di conservazione delle informazioni, nella duplice visione della conservazione cartacea ovvero informatica, purché assolvano alle predette finalità.

Il GDPR pone una evidente attenzione alla sicurezza dei dati personali, ed indica in maniera chiara e prescrittiva le misure da impiegare. Ciò vuol dire che i professionisti e tutti i destinatari della normativa, nella procedura di profilazione del cliente, devono assumersi la responsabilità di decidere le misure idonee di sicurezza, tenendo conto della propria organizzazione, della natura delle informazioni ricevute, delle finalità perseguite mediante il trattamento dei dati. Difatti, il GDPR, tutela la disponibilità dei dati e salvaguarda il patrimonio informativo acquisito; ma non solo, esso garantisce l’integrità dei dati e la riservatezza informatica, con l’obiettivo ultimo di evitare qualsivoglia forma di “data breach”.

Inoltre un trattamento di dati personali deve sempre avere una specifica base giuridica che, ai sensi dell’art. 6 del GDPR, può rinvenirsi nella manifestazione di un consenso, nell’adempimento di un obbligo contrattuale, nell’adempimento di un obbligo di legge, in un legittimo interesse a carattere prevalente, o sulla base di un interesse pubblico ovvero nell’esercizio di un pubblico potere. Nell’ipotesi in questione è assolutamente evidente che il trattamento dei dati personali, per finalità Antiriciclaggio, trovi il suo fondamento nell’adempimento di un obbligo previsto dalla legge, determinandone la completa liceità, a fronte, altresì, della mancanza di consenso.

Per ragioni di completezza, merita essere menzionata la premessa dello schema di decreto legislativo recante attuazione della direttiva UE 2015/849, nella quale si evidenzia che il trattamento dei dati personali, per scopi Antiriciclaggio, è lecito in quanto la relativa base giuridica può rinvenirsi nell’interesse pubblico dell’economia. Come testualmente riportato nella premessa del decreto attuativo, “le ragioni del nuovo intervento riguardano la necessità di rafforzare il mercato interno riducendo la complessità transfrontaliera, di contribuire alla stabilità finanziaria tutelando la solidità, il funzionamento regolare e l’integrità del sistema finanziario e di salvaguardare la prosperità economica dell’Unione europea assicurando un efficiente contesto imprenditoriale”. Tuttavia è sempre opportuno che i destinatari della normativa Antiriciclaggio abbiamo ben chiara la commisurazione del grado di controllo – sui dati personali – al profilo di rischio del cliente ovvero all’operazione richiesta.

Ciò non toglie che i titolari del trattamento dei dati personali, nel corretto adempimento della normativa Antiriciclaggio, debbano sempre evitare forme di “data breach”; pertanto è necessario ridurre al minimo i rischi di distruzione o perdita dei dati e, oltretutto, i dati raccolti devono essere trattati esclusivamente ai fini Antiriciclaggio, evitando forme di “intrusione” nell’accesso ai dati da parte di tutti coloro che non sono autorizzati al trattamento.

In conclusione appare evidente come ciascun professionista debba definire un modello integrato, e organizzato, in virtù del quale sia possibile governare le molteplici sfaccettature di un’unica operazione, poiché i rischi che si celano sono davvero insidiosi. Solo così è possibile, per ciascun destinatario delle normative in esame, in apparenza così distanti fra loro, coglierne l’intrinseco rapporto.

È opportuno rammentare, infine, che i danni economici e reputazionali sono davvero dietro l’angolo, e pertanto è impensabile non prendere in considerazione entrambe le discipline. Ponendo ancora una volta le due normative a confronto notiamo come nel D.Lgs. 231/2007, l’irregolare conservazione del dato è sanzionata con una sanzione amministrativa di 2.000 euro e che, invece, in caso di violazioni gravi, ripetute, sistematiche o plurime è aumentata da un minimo di 2.500 euro ad un massimo di 300.000 euro. Relativamente al GDPR, l’art. 83 impone l’applicazione di sanzioni amministrative e/o penali, proporzionate al grado di violazione della normativa[2]. Dunque, da un punto di visto sanzionatorio, ancora una volta, siamo di fronte a degli evidenti punti di contatto.

In considerazione di quanto esposto, ad oggi, risulta opportuno, per il corretto trattamento, e per la relativa gestione e conservazione dei dati personali per finalità Antiriciclaggio, un coinvolgimento di tutti i soggetti nel processo di valutazione dei rischi, in ottemperanza alle normative di riferimento, e al più generale principio di “accountability”, auspicando, in futuro, ad una ricongiunzione espressa tra le normative in materia di protezione e tutela del dato personale e quelle in materia Antiriciclaggio.

 

[1] Trombani S., La banca e la privacy, Ecra, 2019.

[2] “Sistema integrato per la sicurezza delle informazioni ed il GDPR. Guida operativa” di Ponti Chiara e Castroreale Renato, EPC Libri, 2021.