g-docweb-display Portlet

Parere sulla proposta di modifica del d.lgs. 231 del 2007 in materia di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, volto all’istituzione di una banca dati centralizzata, presso gli organismi di autoregolamentazione - 7 luglio 2022 [9799609]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 1° SETTEMBRE 2022

 

[doc. web n. 9799609]

Parere sulla proposta di modifica del d.lgs. 231 del 2007 in materia di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, volto all’istituzione di una banca dati centralizzata, presso gli organismi di autoregolamentazione - 7 luglio 2022

Registro dei provvedimenti
n. 241 del 7 luglio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero dell’economia e delle finanze;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero dell’economia e delle finanze ha richiesto il parere del Garante su di uno schema di articolato volto a novellare il decreto legislativo 21 novembre 2007, n. 231, in materia di prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. L’oggetto principale della novella è l'istituzione, presso gli organismi di autoregolamentazione (come definiti dall’articolo 1, comma 2, lett. aa) d.lgs. 231 del 2007), di una banca dati informatica centralizzata per le suddette finalità di prevenzione.

In particolare, l’articolato introduce, all’interno del Capo II, Sezione III, Titolo II del d.lgs. 231 del 2007, relativo agli obblighi di conservazione, una disposizione (art.34-bis), rubricata appunto "Banche dati informatiche presso gli organismi di autoregolamentazione", che nel disporre l’istituzione di tali archivi, prevede che essi siano alimentati dagli atti ricevuti dai professionisti nell’esercizio della rispettiva attività, utili ai fini delle valutazioni del rischio di riciclaggio cui sono tenuti.

Il provvedimento modifica, inoltre, l'articolo 37 del d.lgs. 21 novembre 2007, n. 231, introducendovi un’autonoma previsione relativa alle “Modalità di segnalazione da parte dei professionisti”.

Tale innovazione è funzionale – come si evince dalla Relazione illustrativa allegata all’articolato – ad un duplice fine. Da un lato, infatti, la costituenda banca dati costituirebbe “un patrimonio informativo di rilievo” suscettibile di accesso da parte delle autorità competenti in ambito antiriciclaggio (Ministero dell’economia e delle finanze, Unità di informazione finanziaria per l’Italia, Nucleo speciale di polizia valutaria della Guardia di Finanza, Direzione investigativa antimafia e Direzione nazionale antimafia e antiterrorismo), per lo svolgimento delle proprie funzioni e secondo le rispettive attribuzioni istituzionali, in particolare per l’effettuazione di analisi ed indagini su operazioni di riciclaggio o di finanziamento del terrorismo.

Inoltre, la Relazione illustrativa sottolinea come la banca dati centralizzata possa rappresentare un efficace strumento di ausilio per i singoli professionisti nell’adempimento dell’obbligo di segnalazione di operazioni sospette alle autorità competenti, cui essi stessi sono tenuti ai sensi dell’articolo 35 del d.lgs. n. 231 del 2007. L’avviso prodotto dal sistema al ricorrere di determinati presupposti, espressivi di una potenziale rischiosità dell’operazione, consentirebbe infatti – come si evince dalla Relazione - di garantire maggiore uniformità, da parte dei professionisti, nelle modalità di adempimento degli obblighi antiriciclaggio.

RILEVATO

Lo schema di articolato, novellando il dl.gs. 231 del 2007 con l’introduzione di un apposito articolo (il 34-bis), legittima ciascun organismo di autoregolamentazione ad istituire -previo parere del Garante- una banca dati informatica centralizzata, alimentata dai professionisti del settore di riferimento. Essi, in particolare, dovranno trasmettere, senza ritardo, i documenti, i dati e le informazioni relativi ai rapporti e alle operazioni eseguite nello svolgimento della propria attività professionale che, ai sensi dell’articolo 31, hanno l’obbligo di conservare per dieci anni in quanto “utili a prevenire,  individuare  o  accertare  eventuali attività di riciclaggio  o  di  finanziamento  del  terrorismo  e  a consentire lo svolgimento delle analisi effettuate, nell'ambito delle rispettive attribuzioni, dalla UIF o da altra Autorità competente”.

Il patrimonio informativo della banca dati potrà essere utilizzato dai professionisti a supporto delle valutazioni del rischio di riciclaggio, cui gli stessi sono tenuti, nell'adempimento dell'obbligo di segnalazione di operazioni sospette ai sensi dell'articolo 35 (art. 34-bis, comma 3). A tal fine, si prevede la facoltà per i professionisti di trasmettere alla banca dati le informazioni relative alle caratteristiche, all’entità e alla natura delle operazioni stesse, nonché i dati acquisiti nell'adempimento degli obblighi di adeguata verifica della clientela.

In tal caso, nonché nelle ipotesi in cui il professionista abbia trasmesso i dati alla banca dati informatica, qualora emerga, con riferimento alle operazioni i cui dati siano stati trasmessi, un potenziale rischio di riciclaggio o finanziamento del terrorismo, il professionista stesso riceve dalla banca dati un avviso della rischiosità dell’operazione, a supporto dell’adempimento dell’obbligo di segnalazione delle operazioni sospette (art. 34-bis, comma 4).

I documenti, i dati e le informazioni contenuti nella banca dati sono oggetto di valutazione, da parte degli organismi di autoregolamentazione, ai fini dell’informativa che essi sono tenuti a fornire all’Unità di informazione finanziaria per l’Italia (UIF) [art. 34-bis, comma 6].

Il comma 7 dell’articolo – in conformità al principio di limitazione della finalità- sancisce il divieto, per gli organismi di autoregolamentazione, di trattare i dati e le informazioni ricevuti per finalità diverse da quelle espressamente indicate. Tale divieto è funzionale, in particolare, a precludere ogni possibilità di monitoraggio dell’esercizio della professione, anche attraverso un’indiretta profilazione degli interessati.

I commi 8 e 9 legittimano ad accedere alle banche dati- eventualmente istituite presso gli organismi di autoregolamentazione- il Ministero dell’economia e delle finanze, l’UIF, il Nucleo speciale di polizia valutaria della Guardia di Finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo, a supporto dello svolgimento delle rispettive funzioni istituzionali, come individuate dallo stesso d.lgs. 231 del 2007. La disciplina delle modalità tecniche ed operative dell’accesso è demandata ad apposita convenzione, sottoscritta da ciascuna autorità con l’organismo di autoregolamentazione, nella qualità di gestore della banca dati e titolare del relativo trattamento dei dati, previo parere conforme del Garante. Si chiarisce peraltro che all’accesso non sono legittimati i singoli professionisti. 

Il comma 10 riafferma il principio di limitazione della finalità rispetto al trattamento dei dati personali contenuti nella banca dati.

Il comma 11 invece, dopo avere designato- quale titolare del trattamento dei dati personali realizzato attraverso la banca dati- l’organismo di autoregolamentazione, demanda a ciascuno di essi l’adozione di misure tecniche e organizzative idonee a garantire l’integrità, la non alterabilità, nonché la riservatezza dei dati, “previo parere favorevole” del Garante.

Tali misure di carattere tecnico e organizzativo devono, peraltro assicurare che gli accessi ai dati personali contenuti nel sistema informativo siano tracciati e consentiti ai soli soggetti autorizzati dagli organismi di autoregolamentazione. Infine, le stesse misure dovranno “definire le modalità tecniche di elaborazione, trasmissione e comunicazione” al professionista dell’avviso di rischiosità dell’operazione. 

Il comma 12 prevede, quale limite temporale della conservazione dei documenti, dei dati e delle informazioni contenuti nella banca dati, il termine di dieci anni (decorrenti, evidentemente, dalla trasmissione al sistema informativo), analogamente dunque a quanto previsto dall’articolo 31 del d.lgs. 231 del 2007.

Il comma 14 sancisce, in capo agli organismi di autoregolamentazione i quali abbiano istituito la banca dati, il dovere di promuovere e controllare l'osservanza, da parte dei professionisti, degli obblighi di trasmissione, in conformità a quanto disposto dall'articolo 11, comma 1, del d.lgs. 231 del 2007.

Lo schema di articolato modifica, inoltre, l'articolo 37 del d.lgs. 231 del 2007, per legittimare i professionisti ad avvalersi della banca dati informatica centralizzata, eventualmente istituita presso il proprio organismo di autoregolamentazione, ai fini della valutazione delle operazioni ai sensi dell'articolo 35, per l'adempimento degli obblighi di segnalazione delle operazioni sospette

RITENUTO

L’odierno parere è reso su di un articolato che già recepisce molte delle indicazioni fornite dall’Autorità, nell’ambito di numerose interlocuzioni tra gli Uffici del Garante e del Ministero, volte a coniugare nel modo migliore l’esigenza di centralizzazione delle informazioni trasmesse dai professionisti con il diritto alla protezione dei dati personali.

La principale innovazione del testo sottoposto al parere del Garante concerne la limitazione dell’oggetto della banca dati. Accogliendo una delle soluzioni ipotizzate dall’Autorità, infatti, la categoria delle informazioni da conservare nelle istituende banche dati è stata limitata ai soli dati di cui all’articolo 31 del d.lgs. 231 del 2007, per i quali già vige, in capo ai soggetti obbligati, una prescrizione di conservazione decennale.

In tal modo, circoscrivendo l’oggetto della conservazione in banca dati, non si determina un obbligo di conservazione diverso per contenuto né per termine, indubbiamente migliorando la proposta iniziale sotto il profilo della proporzionalità.

Si potrebbe, tuttavia, valutare ulteriormente l’opportunità (giustificandone la scelta, almeno in Relazione) di novellare l’articolo 31, comma 3, d. lgs. 231 del 2007, imponendo la conservazione nella banca dati centralizzata quale esclusiva modalità di assolvimento dell’obbligo conservativo, così da evitare duplicazioni di archivi (cfr. art. 34-bis, comma 5). Si potrebbe, in particolare, prevedere che per i professionisti i cui organismi di autoregolamentazione abbiano deciso d’istituire l’archivio, l’obbligo di conservazione di cui all’articolo 31 s’intenda assolto con la modalità centralizzata, legittimando in quest’ultimo caso il professionista a consultare, ove necessario, i documenti dallo stesso versati, con la previsione di adeguate garanzie di selettività nell’accesso. Andrebbe, inoltre, garantita la conformità del processo di conservazione dei documenti, dei dati e delle informazioni acquisiti dal professionista- in formato analogico tanto quanto informatico- ai requisiti previsti dall’articolo 32, comma 2, del d.lgs. 231 del 2007 e dalle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici”, adottate dall’AgID con determinazione n. 407 del 2020.

In tal modo, si eviterebbe la possibilità di costituzione di due archivi diversi solo per titolarità soggettiva e centralizzazione, ma analoghi per contenuto, finalità e termine di conservazione.

Coerentemente con la scelta compiuta e come già suggerito dall’Autorità, anche la collocazione sistematica della norma è stata correttamente ricondotta all’interno del Capo II, Sezione III, Titolo II del d.lgs. 231 del 2007, relativo appunto agli obblighi di conservazione.

E’ stato, inoltre, accolto il suggerimento di chiarire il carattere tassativo dell’elenco dei soggetti legittimati all’accesso.

Oggetto di rilievi da parte del Garante è stata anche la descrizione delle modalità di generazione dell’avviso utile a supportare le valutazioni del professionista (cfr. art. 34-bis, comma 4), in ragione dell’idoneità (almeno potenzialmente) profilativa dell’analisi funzionale all’elaborazione dell’alert.

Sul punto, il nuovo testo introduce un opportuno riferimento alla possibilità di utilizzo di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, per minimizzare il rischio di errori, distorsioni o discriminazioni (art. 34-bis, comma 4, secondo periodo). La scelta in ordine alle modalità di elaborazione dell’avviso è tuttavia demandata, come anticipato, all’adozione, da parte dagli organismi, previo parere conforme del Garante, delle misure tecniche e organizzative di cui all’articolo 34-bis, comma 11, lett. b), non essendo stato accolto il suggerimento dell’Autorità, volto a richiederne la previsione con norma regolamentare.

Tale soluzione merita una riflessione ulteriore, dal momento che il profilo inerente alle modalità di generazione dell’avviso, all’eventuale ricorso ad algoritmi specifici e alle relative garanzie da accordare agli interessati dev’essere oggetto di normazione, se non altro secondaria (cfr. artt. 22, comma 2, lett. b), del Regolamento; 8 d.lgs. 18 maggio 2018, n. 51), né il parere del Garante è in tal senso sufficiente a colmare l’inidoneità della fonte

Si ritiene, pertanto, di suggerire un’ulteriore valutazione nel senso auspicato da questa Autorità, potendo l’avviso sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti condanne penali o reati, a contenuto altamente profilativo.

Circa la disciplina dell’accesso del Ministero, dell’Unità di informazione finanziaria per l’Italia, del Nucleo speciale di polizia valutaria della Guardia di Finanza, della Direzione investigativa antimafia e della Direzione nazionale antimafia e antiterrorismo alle banche dati istituite presso gli organismi di autoregolamentazione, il nuovo testo rinvia alla fonte convenzionale, previo parere conforme del Garante, secondo il paradigma dell’articolo 47 del d.lgs. 51 del 2018. Tale scelta può considerarsi adeguata, in ragione delle garanzie connesse alla previsione del parere conforme del Garante e all’espressa previsione della necessaria assicurazione della selettività degli accessi alla banca dati stessa.

Rispetto alle versioni precedenti dell’articolato, l’Autorità aveva peraltro suggerito di rinviare a una fonte regolamentare la previsione di un quadro unitario, valido per tutti gli organismi, di garanzie minime per la costituzione e la gestione delle banche dati, demandando alle regole tecniche dei singoli organismi soltanto la disciplina particolare di dettaglio.

La nuova versione dell’articolato, pur non prevedendo tale rinvio alla fonte regolamentare, ha però introdotto, all’interno della stessa norma legislativa, alcune rilevanti integrazioni (in particolare ai commi 7, 8, 9, 10, 11 e 12 dell’articolo 34-bis), tali da assicurare il rispetto dei principi di limitazione della finalità del trattamento, sicurezza, limitazione della conservazione. Alla luce del nuovo testo, si può pertanto ammettere il rinvio alle scelte dei singoli organismi, sulle quali il Garante si esprimerà purché però, appunto, siano compiutamente delineate, almeno con fonte regolamentare, le modalità di funzionamento dell’avviso, come osservato poco sopra.

Inoltre, ai fini di un migliore coordinamento sistematico con la previsione dell’esclusione dei professionisti dal novero dei soggetti legittimati all’accesso alla banca dati- dalla quale tuttavia gli stessi possono ricevere l’avviso di rischiosità dell’operazione- sarebbe opportuno perfezionare il disposto del comma 2-bis, introdotto dal comma 2 dell’articolo 1 della proposta all’articolo 37 d.lgs. 231, nella parte in cui disciplina la facoltà, per i professionisti, di “avvalersi della banca dati”. Per chiarire che tale facoltà non comporta l’accesso all’intera banca dati ma soltanto la possibilità di ricevere l’avviso, è opportuno inserire, all’interno del comma, al primo periodo, dopo le parole: “autoregolamentazione”, le seguenti: “per poter ricevere, ricorrendone i presupposti, l’avviso di cui al comma 4 del medesimo articolo”.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4 del Regolamento, esprime parere favorevole sul proposto schema di articolato emendativo del d.lgs. 231 del 2007, con:

a) la condizione, esposta nel “Ritenuto”, volta a rappresentare l’esigenza di demandare ad una fonte, di natura almeno regolamentare, la descrizione delle modalità di elaborazione dell’avviso di cui al comma 4 dell’articolo 34-bis, con la previsione delle relative garanzie per gli interessati;

b) le osservazioni, esposte nel “Ritenuto”, volte a suggerire l’opportunità di:

1) prevedere che, per i professionisti i cui organismi di autoregolamentazione istituiscano l’archivio, l’obbligo di conservazione di cui all’articolo 31 del d.lgs. 231 del 2007 s’intenda assolto con la modalità centralizzata, legittimando in quest’ultimo caso il professionista a consultare, ove necessario, i documenti dallo stesso versati, con la previsione delle garanzie esposte in motivazione;

2) inserire, all’interno del comma 2-bis dell’articolo 37, al primo periodo, dopo le parole: “autoregolamentazione”, le seguenti: “per poter ricevere, ricorrendone i presupposti, l’avviso di cui al comma 4 del medesimo articolo”.

Roma, 7 luglio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei