3 min read

Con parere emesso nel luglio 2022, il Garante della Privacy ritiene conforme alle norme a tutela della privacy lo schema sottopostogli dal Ministero dell’economia e delle finanze con il quale si propone la modifica del decreto legislativo 21 novembre 2007, n. 231.

In particolare, oggetto di valutazione è stato il neo art. 34-bis del d.lgs 231/2007, volto all’istituzione di una banca dati centralizzata presso gli organismi di autoregolamentazione.

In termini di funzionamento, il database verrebbe costantemente aggiornamento grazie all’attività propulsiva dei professionisti del settore di riferimento (quali commercialisti, avvocati, notai, consulenti del lavoro, nello svolgimento della propria attività). Come recita il Parere in esame, i professionisti sono tenuti a trasmettere alla banca dati “le informazioni relative alle caratteristiche, all’entità e alla natura delle operazioni stesse, nonché i dati acquisiti nell’adempimento degli obblighi di adeguata verifica della clientela[1].

In caso di operazione sospetta[2] con potenziale rischio di riciclaggio o finanziamento del terrorismo, “il professionista stesso riceve dalla banca dati un avviso della rischiosità dell’operazione, a supporto dell’adempimento dell’obbligo di segnalazione delle operazioni sospette all’ UIF”. Pertanto, di fondamentale importanza risulta la disciplina del funzionamento del suddetto avviso (c.d. “alert”) in vista del suo impatto sulla tutela del diritto alla privacy. Difatti, se si considera che la tipologia di dati oggetto dell’avviso sono ad alto contenuto profilativo (in quanto si riferiscono a eventuali reati e/o condanne penali), la regolamentazione della struttura e delle modalità di generazione dell’avviso, operando quale indiretto trattamento dati, diventano di strategica importanza.

Dinanzi alla scelta tra l’esigenza di prevenzione del sistema finanziario dal rischio di riciclaggio e quella di tutela della sicurezza nella gestione dei dati, il Garante ha esposto una particolare predilezione alla preservazione della seconda. Senza pretesa di esaustività, di seguito alcune osservazioni del Garante a sostegno della tutela della privacy e delle garanzie dei soggetti “profilati”:

  • Approvazione del comma 7 dell’articolo 34-bis che limita il potere degli organismi di autoregolamentazione a trattare i dati e le informazioni ricevuti per finalità diverse da quelle espressamente indicate, riducendo inoltre le possibilità di profilazione indiretta;
  • Accoglimento del riferimento alla tassativa indicazione dei soggetti con diritto di accesso ai dati;
  • Rinvio ad una fonte di natura almeno regolamentare per la disciplina delle garanzie minime per gli interessati e per la descrizione delle modalità di elaborazione dell’avviso di cui al comma 4 dell’articolo 34-bis (in vista del potenziale utilizzo di sistemi automatizzati).

___________________________

[1] Per un ulteriore approfondimento, cfr. il Parere del Garante della Privacy al seguente link https://www.antiriciclaggiocompliance.it/app/uploads/2022/10/Garante-Privacy-Provvedimento-7-luglio-2022-n.-241.pdf

[2] Con operazioni sospette si intendono, ai sensi dell’art. 35 del d.lgs 231/2007, le operazioni per le quali i soggetti obbligati “sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo o che comunque i fondi, indipendentemente dalla loro entità, provengano da attività criminosa“.

Seguici sui social: