Il Garante per la Protezione dei Dati Personali,nella riunione del 7 luglio 2022, ha espresso parere favorevole su uno <<schema di articolato>> volto a modificare il d.lgs. n. 231 del 2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, per mezzo dell’istituzione di una banca dati centralizzata presso gli organismi di autoregolamentazione, avente le medesime finalità del decreto.
Lo schema è stato sottoposto all’Autorità all’esito di numerose interlocuzioni con il Ministero dell’Economia e delle Finanze e, di fatto, recepisce numerose indicazioni fornite in precedenza dal Garante stesso.
Contenuto e finalità dello schema di articolato
Come anticipato, lo schema sottoposto dal MEF al parere del Garante è finalizzato a novellare il d.lgs. 231/07:
- introducendo tra gli obblighi di conservazione l’art. 34-bis rubricato <<Banche dati informatiche presso gli organismi di autoregolamentazione>>;
- modificando l’art. 37 con un’autonoma previsione relativa alle <<Modalità di segnalazione da parte dei professionisti>>.
Il duplice vantaggio derivante dall’istituzione di tale database consiste nella realizzazione di:
- <<un patrimonio informativo di rilievo>> suscettibile di accesso da parte delle autorità competenti in ambito antiriciclaggio;
- un efficace strumento di ausilio ai professionisti soggetti alla normativa Antiriciclaggio nell’adempimento dell’obbligo di segnalazione di operazioni sospette (S.O.S.).
La banca dati istituita, previo parere del Garante, presso ciascun organismo di autoregolamentazione sarà alimentata dagli atti, utili ai fini del rischio di riciclaggio, inviati senza ritardo dai professionisti (commercialisti, avvocati, notai, consulenti del lavoro) nell’esercizio della propria attività e per i quali è previsto l’obbligo di conservazione decennale ai sensi dell’art. 31 del decreto.
Il contenuto della banca dati sarà comunque oggetto di valutazione da parte degli organismi di autoregolamentazione.
L’avviso in caso di operazioni sospette
Come anticipato, uno degli scopi dell’istituzione della banca dati informatica è quello di aiutare il professionista nell’adempimento dell’obbligo di S.O.S. A tal fine, quindi, lo schema di modifica ha previsto l’invio al professionista che abbia trasmesso i dati, da parte del database, di un avviso della rischiosità dell’operazione <<qualora emerga […] un potenziale rischio di riciclaggio o finanziamento del terrorismo>> (art. 34-bis, c. 4).
Le indicazioni fornite dal Garante
Molte delle indicazioni fornite dall’Autorità nelle precedenti interlocuzioni sono state recepite nello schema. In particolare, con la previsione dei commi da 7 a 12 dell’art. 34-bis che dispongono:
- in conformità al principio di limitazione della finalità, il divieto per gli organismi di trattare i dati e le informazioni ricevuti per finalità diverse da quelle espressamente indicate al fine anche di scongiurare ogni possibilità di monitoraggio dell’esercizio della professione <<attraverso un’indiretta profilazione degli interessati>> (cc. 7 e 10);
- la legittimazione all’accesso ai database esclusivamente in favore delle Autorità <<a supporto dello svolgimento delle rispettive funzioni istituzionali, come individuate dallo stesso d.lgs. 231 del 2007. La disciplina delle modalità tecniche ed operative dell’accesso è demandata ad apposita convenzione, sottoscritta da ciascuna autorità con l’organismo di autoregolamentazione, nella qualità di gestore della banca dati e titolare del relativo trattamento dei dati, previo parere conforme del Garante>> (cc. 8 e 9);
- l’obbligo per ciascun organismo in qualità di titolare del trattamento dei dati, di adozione di misure tecnico organizzative idonee a garantire l’integrità, la non alterabilità, nonché la riservatezza dei dati. Tra le misure, sono previste il tracciamento e l’autorizzazione degli accessi ai database << ai soli soggetti autorizzati dagli organismi>> (c. 11);
- la previsione di un limite decennale alla conservazione dei documenti, dei dati e delle informazioni contenuti nella banca dati (c. 12);
- Il dovere, in capo agli organismi, di promuovere e controllare gli obblighi di trasmissione da parte dei professionisti (c. 14).
Modifica dell’art. 37
Al fine di agevolare i professionisti nella valutazione delle operazioni ex art. 35 finalizzate all’adempimento degli obblighi di S.O.S., lo schema di articolato ha modificato l’art. 37 introducendo un’autonoma previsione che legittima i professionisti ad avvalersi del database centralizzato.
Il parere del Garante
Il Garante, quindi, chiamato a esprimere il proprio parere circa la proposta di modifica della normativa Antiriciclaggio nei termini su descritti, ha ritenuto di rilasciare il proprio nulla osta.
Il parere favorevole dell’Autorità è motivato, in primis, dal recepimento da parte del MEF di molte delle indicazioni fornite in precedenza dal Garante circa:
- la limitazione dell’oggetto del database ai soli dati di cui all’art. 31 del d.lgs. n. 231/07, che prevede la prescrizione di conservazione decennale <<migliorando la proposta iniziale sotto il profilo della proporzionalità>> ed evita la coesistenza di obblighi di conservazione diversi per contenuto e per termine. A tal proposito, l’Autorità suggerisce, altresì, per evitare una duplicazione di archivi:
- la novella del c. 3 dell’art. 31, con l’introduzione dell’obbligo di conservazione nella banca dati centralizzata <<quale esclusiva modalità di assolvimento dell’obbligo conservativo>>;
- l’assolvimento di tale obbligo di conservazione ex art. 31 <<con modalità centralizzata>>, per professionisti i cui organi di autoregolamentazione abbiano istituito il database;
- la legittimazione del professionista a consultare i documenti che ha versato, con previsione di adeguate garanzie di selettività degli accessi;
- la conformità del processo di conservazione dei dati ai requisiti previsti dall’art. 32, c. 2, del d.lgs. n. 231/07 e dalle linee guida AGID;
- la collocazione sistematica della norma negli <<obblighi di conservazione>>;
- la tassatività dell’elenco dei soggetti legittimati all’accesso.
Le indicazioni aggiuntive in merito all’avviso in caso di operazioni sospette
Con specifico riferimento all’avviso generato dal database in caso di operazione sospetta, per mezzo di sistemi automatizzati potenzialmente profilativi dell’analisi funzionale all’elaborazione dell’alert, il Garante invita il MEF a una riflessione ulteriore.
Difatti, ritenendo che tali sistemi possano <<sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti a condanne penali o reati, a contenuto altamente profilativo>>, suggerisce di compiere un’ulteriore valutazione circa le modalità di elaborazione dell’avviso e l’adozione di:
- misure tecnico-organizzative da parte degli organismi, previso parere conforme dell’Autorità;
- una normazione di secondo livello (non essendo sufficiente il parere del Garante).
Gli accessi
Circa la disciplina dell’accesso ai database da parte delle Autorità, pur ribadendo l’opportunità di un’unica fonte regolamentare valida per tutti gli organismi, il Garante reputa <<adeguata>> la scelta del MEF di rinviare tale disciplina <<alla fonte convenzionale, previo parere conforme del Garante, secondo il paradigma dell’articolo 47 del d.lgs. 51 del 2018. […]>> in ragione:
- <<delle garanzie connesse alla previsione del parere conforme del Garante e all’espressa previsione della necessaria assicurazione della selettività degli accessi alla banca dati stessa>>;
- delle <<rilevanti integrazioni>> dell’articolo 34-bis (commi 7, 8, 9, 10, 11 e 12) <<tali da assicurare il rispetto dei principi di limitazione della finalità del trattamento, sicurezza, limitazione della conservazione>>.
Ulteriori suggerimenti
L’Autorità conclude, infine, il suo parere consigliando ulteriormente al MEF di perfezionare la proposta di modifica del testo dell’art. 37 – nella parte in cui disciplina la facoltà, per i professionisti, di <<avvalersi della banca dati>> – chiarendo che <<tale facoltà non comporta l’accesso all’intera banca dati ma soltanto la possibilità di ricevere l’avviso>>. Per ulteriori approfondimenti, si rinvia al parere dell’Autorità.