La newsletter del 1° settembre dell’Autorità Garante per la Protezione dei Dati Personali si sofferma sul parere favorevole reso sulla proposta del MEF di modifica al D.lgs. 231 del 2007 volta all’istituzione di banche dati informatiche presso gli organismi di autoregolamentazione – come definiti dall’articolo 1, comma 2, lett. aa) D.lgs. 231 del 2007 – con finalità di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Pertanto, presso gli organismi di autoregolamentazione che ne faranno richiesta, potrà essere istituita una banca dati che sarà alimentata dagli atti, utili ai fini delle valutazioni del rischio di riciclaggio, che potranno essere inviati dai professionisti nell’esercizio della propria attività (commercialisti, avvocati, notai, consulenti del lavoro).
La proposta presentata dal MEF recepisce importanti indicazioni fornite dall’Autorità nel corso delle precedenti interlocuzioni.
E’ stato infatti previsto un elenco tassativo dei soggetti legittimati all’accesso alla banca dati; potranno accedere il Ministero dell’Economia e delle Finanze, l’UIF, il Nucleo speciale di polizia valutaria della Guardia di Finanza, la Direzione Investigativa Antimafia e la Direzione Nazionale Antimafia e Antiterrorismo, a supporto dello svolgimento delle rispettive funzioni istituzionali, come individuate dallo stesso D.lgs. 231 del 2007 (34 bis, ai commi 8 e 9). Dal novero sono quindi esclusi i singoli professionisti.
Sempre il linea con le indicazioni già rese dal Garante, si rileva che la categoria delle informazioni da conservare nel database dovrà essere limitata ai soli dati di cui all’articolo 31 del D.lgs. 231 del 2007, per i quali già vige, in capo ai soggetti obbligati, una prescrizione di conservazione decennale.
In base all’impianto attualmente delineato, l’Autorità ha correttamente riscontrato che si andrebbe a creare una moltiplicazione di archivi, diversi solo per titolarità soggettiva e centralizzazione (singolo professionista e organismo di autoregolamentazione), ma analoghi per contenuto, finalità e tempi di conservazione (decennale).
Al riguardo l’Autorità Garante suggerisce quindi di introdurre una ulteriore previsione per effetto della quale l’obbligo di conservazione in capo al singolo professionista potrebbe essere assolto tramite la conservazione presso la banca dati centralizzata del rispettivo organismo di autoregolamentazione.
In tal caso, il professionista potrebbe consultare, ove necessario, unicamente i documenti dallo stesso versati, con la previsione di specifiche garanzie di selettività nell’accesso.
L’attuale impianto del nuovo processo di prevenzione, pur escludendo al singolo professionista di accedere alla banca dati in questione, prevede che proprio nel caso in cui lo stesso abbia trasmesso i dati alla banca informatica istituita presso l’organismo di autoregolamentazione competente, possa invece ricevere un avviso automatico della rischiosità dell’operazione (art. 34-bis, comma 4). Al riguardo, l’Autorità Garante ha evidenziato come “il patrimonio informativo della banca dati potrà essere utilizzato dai professionisti a supporto delle valutazioni del rischio di riciclaggio, cui gli stessi sono tenuti, nell’adempimento dell’obbligo di segnalazione delle operazioni sospette ai sensi dell’art. 35”.
Il tema dell’avviso automatico in questione, il c.d. allert, è particolarmente delicato sotto il profilo del trattamento dei dati personali. Ecco perché l’organismo, per essere autorizzato ad istituire la banca dati, dovrà dimostrare all’Autorità Garante, fra l’altro, di avere definito “le modalità tecniche di elaborazione, trasmissione e comunicazione al professionista dell’avviso”.
Inoltre, per quanto riguarda la generazione dell’avviso, che prevede la possibilità di utilizzare sistemi automatizzati, il Garante ha chiesto al Ministero di demandare a una norma almeno di natura regolamentare la descrizione delle modalità di elaborazione dell’allert e la previsione delle relative garanzie per gli interessati. L’avviso potrebbe infatti sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti condanne penali o reati, a contenuto altamente profilativo.