Garante per la protezione
dei dati personali

OBBLIGHI "ANTIRICICLAGGIO": IL PARERE DEL GARANTE

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Viste le richieste di parere del Ministero dell'economia e delle finanze;

Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO che:

Il Ministero dell'economia e delle finanze ha chiesto il parere del Garante in ordine a tre schemi di regolamento di attuazione del decreto legislativo 20 febbraio 2004, n. 56, che prevedono disposizioni in materia di obblighi "antiriciclaggio" a carico, rispettivamente, di "intermediari abilitati" (qui definito "schema A"), altri operatori non finanziari ("schema B") e alcuni professionisti ("schema C").

Tali schemi riguardano la stessa problematica e il parere è pertanto reso congiuntamente con il presente atto, in riferimento ai profili rilevanti per la protezione dei dati personali.

I medesimi schemi attuano la disciplina di derivazione europea che estende la normativa antiriciclaggio, già applicata nel settore del credito e dell'intermediazione finanziaria, a categorie di liberi professionisti fra i quali gli avvocati, i notai e i commercialisti (direttiva del Parlamento europeo e del Consiglio del 4 dicembre 2001 n. 2001/97/CE, di modifica della direttiva del Consiglio n. 91/308/CEE; d.lg. n. 56/2004).

L'estensione segue quella operata in passato nei confronti di alcune attività economiche ritenute dal legislatore suscettibili di utilizzazione a fini di riciclaggio, permettendo l'accumulo o il trasferimento di cospicue risorse (agenzie di recupero crediti; custodia e trasporto di valori; commercio di cose antiche, di oro o di preziosi; case d'asta o da gioco; mediazione creditizia e agenzie in attività finanziaria: art. 4, comma 8, d. lg. 25 settembre 1999, n. 374).

In tale occasione il Garante aveva formulato alcune osservazioni in sede di espressione del parere del 12 marzo 2003, qui richiamato in particolare per quanto riguarda i possibili effetti del crescente ampliamento della normativa antiriciclaggio a diverse attività e professioni cui si rivolgono numerosi cittadini.

Tale linea di tendenza, destinata ad ulteriori sviluppi sul piano europeo alla luce di una nuova proposta di direttiva (c.d. "terza direttiva"), rafforza l'esigenza già rappresentata dal Garante di attuare gli obblighi antiriciclaggio in chiave di necessità e proporzionalità dei trattamenti di dati personali.

OSSERVA:

1. Le garanzie in materia di protezione dei dati personali

Il d.lg. n. 196/2003 ha riunito nel Codice le disposizioni più significative in materia di protezione dei dati personali, riducendo la frammentazione delle fonti normative in tema di adempimenti e cautele rispetto al trattamento dei dati.

Nei tre decreti potrebbe risultare utile un richiamo riassuntivo del Codice. Disposizioni in materia di protezione dei dati andrebbero inserite nell'articolato se organiche ed aventi un contenuto integrativo o specificativo delle norme di rango primario del Codice.

Attualmente, disposizioni sulla protezione dei dati sono presenti solo nello schema C (art. 8) e non negli schemi A e B; esse riguardano, però, solo alcune previsioni del Codice e potrebbero ingenerare alcuni equivoci riguardo ad adempimenti non richiamati in materia di protezione dati oppure, per il tenore della loro attuale formulazione letterale, potrebbero essere ad esempio interpretate in chiave di eccezione alla norma primaria, anch'essa di derivazione comunitaria, secondo cui il trattamento illecito o non corretto dei dati ingenera responsabilità (art. 8, comma 4, dello schema C —"…salvo quanto previsto dal successivo articolo 9 comma 3…" in riferimento all'art. 15 del Codice).

A parte un richiamo nel preambolo, l'art. 8 dello schema C (e simili disposizioni andrebbero inserite negli altri due schemi) potrebbe essere così riformulato:

"Art. 8 (Trattamento dei dati personali).

1. Il trattamento dei dati personali connesso all'adempimento degli obblighi di identificazione, conservazione e segnalazione resta soggetto alle disposizioni del codice in materia di protezione dei dati personali, in particolare per quanto riguarda l'informativa da fornire ai clienti, con una specifica avvertenza circa le conseguenze di un eventuale rifiuto di rispondere, la designazione degli incaricati del trattamento e le istruzioni da fornire alla loro attività, nonché per ciò che attiene al rispetto delle misure di sicurezza e alla responsabilità per illecito trattamento di dati non conforme alle disposizioni del presente decreto.".

Il Garante si riserva di valutare, in sede di prima applicazione dei decreti in esame, se alcune modalità di trattamento debbano essere anche sottoposte dall'Autorità ad una verifica preliminare ai fini dell'eventuale prescrizione di specifici accorgimenti e misure (art. 17 del Codice).

2. Identificazione delle persone

La descrizione degli obblighi, in particolare di identificazione e di registrazione della clientela, deve avvenire in termini precisi e conformi alla normativa primaria di riferimento, al fine di poter trattare solo dati pertinenti e non eccedenti rispetto alle finalità perseguite, e con modalità proporzionate, sia per quanto riguarda i clienti interessati, sia in relazione alle operazioni effettuate (art. 11 del Codice).

2.1. Soggetti per conto dei quali il cliente opera

Si ritiene necessario riformulare, in aderenza alla disciplina europea, le analoghe previsioni degli schemi che individuano i presupposti e le condizioni di identificazione (art. 6, comma 2 dello schema A; art. 4, comma 2 dello schema B; art. 3, comma 5, primo periodo, dello schema C; art. 3, par. 7, dir. 91/308/CEE, come modificata). La direttiva prevede che i professionisti e gli altri operatori debbano adoperarsi per identificare la persona per conto della quale il cliente opera solo "qualora sia dubbio" che il cliente agisca per proprio conto, ovvero "qualora sia certo" che agisca per conto di altri. Gli schemi in esame, invece, generalizzano le verifiche e prescrivono indistintamente a tutti i clienti di fornire informazioni per identificare soggetti per conto dei quali operano.

Questa considerazione non riguarda i casi in cui il cliente agisca formalmente per conto di terzi, essendo in tal caso doveroso che il cliente comprovi la sussistenza del potere di rappresentanza (a tale proposito, si invita peraltro a sostituire le parole: "per conto" o "in nome o per conto" con le parole: "in nome e per conto" (art. 6, comma 4, dello schema A; art. 4, comma 3, dello schema B; art. 3, comma 5, secondo periodo dello schema C).

2.2. Operazioni frazionate

Due schemi sanciscono l'obbligo di identificare i clienti "in presenza di operazioni frazionate", oppure "per ogni operazione anche frazionata" (artt. 3, comma 2 dello schema C, e 5, comma 1 dello schema A), intendendosi per frazionata un'"operazione unitaria sotto il profilo economico".

Si invita il Ministero a valutare se tali disposizioni siano conformi alla normativa primaria, in base alla quale l'obbligo di identificare sussiste in un ambito più circoscritto: quando, cioè, "per la natura e le modalità delle operazioni poste in essere, si può ritenere che più operazioni, effettuate in momenti diversi e in un circoscritto periodo di tempo", possano essere considerate parti di un'unica operazione (art. 13, comma 2, d.l. n. 625/1979, art. 3, comma 1, d.lg. n. 56/2004).

3. Registrazione e conservazione dei dati

3.1. Modalità di tenuta degli archivi

Negli schemi è prevista l'adozione di un archivio "unico" presso l'intermediario, l'operatore economico o il professionista, nel quale raccogliere soltanto le informazioni acquisite nell'adempimento degli obblighi antiriciclaggio, in modo da facilitare la conservazione dei dati e i controlli per tale finalità, come previsto dalla normativa di rango primario e già indicato dal Garante nel parere del 2003.

Per quanto riguarda lo schema A, si invita a valutare meglio un'indicazione contraddittoria nel testo, ovvero l'effettiva necessità di consentire che la registrazione dei dati possa avvenire anche in più archivi informatici rispondenti alle medesime finalità antiriciclaggio, anziché solo in un archivio unico (art. 9, comma 4).

In riferimento, invece, agli schemi B e C, si rinnova l'invito già formulato nel parere del 2003 ad evitare, ove possibile, che la registrazione dei dati per finalità antiriciclaggio possa essere eventualmente effettuata anche mediante registri cartacei (art. 8 dello schema B; art. 6, comma 6, dello schema C), oppure in archivi utilizzati anche per altre finalità, come il registro della clientela o degli affari o i registri dove sono conservate informazioni soggette a controlli di pubblica sicurezza (art. 8, commi 8 e 9, dello schema B; art. 7 dello schema C).

L'uso dei registri cartacei potrebbe essere semmai consentito ai soggetti che non dispongono di una struttura informatizzata, stabilendo eventualmente un termine per l'adeguamento.

3.2. "Centri di servizio"

Nei tre schemi si prevede che i soggetti interessati (ad esempio, gli intermediari facenti parte di un medesimo gruppo o più professionisti) possano avvalersi, per la tenuta e gestione dell'archivio, di "centri di servizio" (art. 10, comma 3, schema A; art. 8, comma 2, schema B; art. 6, comma 7, schema C).

La delicatezza dei trattamenti di dati personali in esame induce a rappresentare l'esigenza di prevedere il ricorso a centri esterni di servizio —da designare quali responsabili del trattamento- in termini selettivi tali da evitare un'eccessiva concentrazione di informazioni, avendo cura di prevedere presupposti che garantiscano la loro affidabilità, il pieno rispetto della segretezza delle informazioni da parte del personale incaricato ed una separazione fisica o logica tra i dati conservati nell'interesse di differenti titolari del trattamento. Sotto quest'ultimo profilo, potrebbe essere inserita nelle pertinenti disposizioni degli schemi B e C una norma analoga a quella contenuta nel secondo periodo della omologa disposizione dello schema A ("deve essere comunque garantita la distinzione logica e la separazione delle registrazioni relative a ciascun….").

3.3. Conservazione dei dati

Nel corso del decennio di conservazione previsto con norma primaria potrebbe emergere la necessità di aggiornare alcuni dati. Nei tre schemi andrebbe precisato che sono in tal caso da conservare, decorso il decennio, solo i dati aggiornati —eventualmente per il solo termine quinquennale previsto sul piano comunitario-, anziché tutti gli altri dati collegati alla posizione aggiornata e conservati da diversi anni.

In relazione ai richiamati compiti del Garante in attuazione del citato art. 17 del Codice, i criteri e le modalità per la registrazione e conservazione dei dati nell'archivio informatico devono essere definiti dall'Ufficio Italiano cambi previa ulteriore consultazione di questa Autorità (art. 6, comma 5, dello schema C).

4. Segnalazione di operazioni sospette

Lo schema C presenta alcuni profili di criticità per quanto riguarda la proporzionalità e la selettività degli adempimenti previsti, in particolare per la segnalazione di operazioni sospette.

Il medesimo schema non reca una definizione precisa di "operazione" e non consente al professionista di stabilire con certezza la sussistenza dell'obbligo. A questo proposito si ricorda che, tra le osservazioni rese dai consigli nazionali dei professionisti interessati, si è suggerito di utilizzare la nozione di "prestazione professionale".

L'indeterminatezza di alcuni criteri utilizzati dallo schema non rende agevole individuare le "operazioni che appaiono incongrue rispetto alle finalità dichiarate", ovvero le "ingiustificate incongruenze rispetto alle caratteristiche soggettive del cliente e alla sua normale operatività " (art. 11, comma 5, lett. c) e d)); conseguentemente, potrebbero derivarne trattamenti di dati erronei, incompleti o sovrabbondanti rispetto alle finalità perseguite. E' necessaria quindi una maggiore specificità dei criteri.

Tale maggiore specificità è opportuna anche sotto altri due profili.

Lo schema prevede infatti la raccolta di alcune tipologie non meglio definite di dati, relativi anche a precedenti operazioni o a terzi, incentivando, attraverso comportamenti "investigativi" del professionista, valutazioni che potrebbero richiedere l'utilizzo di informazioni non pertinenti o raccolte per finalità diverse rispetto all'esecuzione della prestazione professionale richiesta dal cliente (ad esempio le "finalità perseguite").

Inoltre, non sembra pienamente in linea con i descritti principi di finalità e pertinenza dei dati trattati la necessità per il professionista di valutare "con continuità i rapporti intrattenuti con i clienti" (art. 11, comma 2, dello schema). Si richiama l'attenzione del Ministero circa l'esigenza di circoscrivere tale obbligo ad incarichi o prestazioni professionali connessi o collegati, individuando eventualmente un arco temporale di riferimento.

Si ritiene infine necessario dettagliare gli elementi informativi che devono essere valutati per individuare le operazioni sospette.

TUTTO CIÒ PREMESSO IL GARANTE:

esprime il parere richiesto nei termini di cui in motivazione.

Roma, 12 maggio 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

La redazione di megghy.com