Parere sulla proposta di modifica del d.lgs. 231 del 2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, volto all’istituzione di una banca dati centralizzata, presso gli organismi di autoregolamentazione.

Con un parere indirizzato al Ministero dell’economia e delle finanze, l’Autorità Garante per la protezione dei dati personali è intervenuta (Registro dei provvedimenti n. 241 del 7 luglio 2022), su di uno schema di articolato volto a modificare il Decreto Legislativo 21 novembre 2007, n. 231, in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. 

La novella prevede l’istituzione presso gli organismi di autoregolamentazione di una banca dati informatica centralizzata con finalità di prevenzione di attività di riciclaggio mediante l’utilizzo del sistema finanziario. 

Invero, attraverso l’introduzione dell’art.34-bis “Banche dati informatiche presso gli organismi di autoregolamentazione“all’interno del Capo II, Sezione III, Titolo II del D.lgs. 231 del 2007, relativo agli obblighi di conservazione, si prevede che nel disporre l’istituzione di tali archivi, essi siano alimentati dagli atti ricevuti dai professionisti nell’esercizio della rispettiva attività, utili ai fini delle valutazioni del rischio di riciclaggio cui sono tenuti.

I professionisti, in particolare, potranno trasmettere, senza ritardo, i documenti, i dati e le informazioni relativi ai rapporti e alle operazioni eseguite nello svolgimento della propria attività professionale che, ai sensi dell’articolo 31, hanno l’obbligo di conservare per dieci anni in quanto “utili a prevenire,  individuare  o  accertare  eventuali attività di riciclaggio  o  di  finanziamento  del  terrorismo  e  a consentire lo svolgimento delle analisi effettuate, nell’ambito delle rispettive attribuzioni, dalla UIF o da altra Autorità competente”. 

Con l’istituzione della banca dati si prevede dunque la facoltà per i professionisti di trasmettere alla piattaforma le informazioni relative alle caratteristiche, all’entità e alla natura delle operazioni stesse, nonché i dati acquisiti nell’adempimento degli obblighi di adeguata verifica della clientela per i quali – come visto – già sussiste un obbligo di conservazione funzionale a consentire ai professionisti stessi una più completa valutazione del rischio di riciclaggio anche in proiezione dell’obbligo sugli stessi incombente di segnalazione di operazioni sospette.

In tal caso, qualora emerga, con riferimento alle operazioni i cui dati siano stati trasmessi, un potenziale rischio di riciclaggio o di finanziamento del terrorismo, il professionista stesso riceve dalla banca dati un avviso della rischiosità dell’operazione, a supporto dell’adempimento dell’obbligo di segnalazione delle operazioni sospette (art. 34-bis, comma 4).

Il parere del Garante è teso a bilanciare l’esigenza di centralizzazione delle informazioni trasmesse dai professionisti con il diritto alla protezione dei dati personali.

L’Autorità, già più volte intervenuta sullo schema di decreto, ha sottolineato come il testo – da una parte – rispetti la puntuale determinazione dell’oggetto del trattamento, circoscrivendo la conservazione ai soli dati indicati dall’art. 31 del D.lgs. 231/2007 e, pertanto, rispettando il principio di proporzionalità del trattamento; dall’altra, chiarisca il carattere tassativo dell’elenco dei soggetti legittimati all’accesso (il Ministero dell’economia e delle finanze, l’UIF, il Nucleo speciale di polizia valutaria della Guardia di Finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo). 

La stessa Autorità ha, tuttavia, sottolineato l’opportunità di modificare l’articolo 31, comma 3, D. lgs. 231 del 2007, imponendo la conservazione nella banca dati centralizzata quale esclusiva modalità di assolvimento dell’obbligo conservativo, così da evitare duplicazioni di archivi.

In questa ipotesi, suggerisce il Garante, si potrebbe legittimare il professionista a consultare, ove necessario, i documenti dallo stesso versati, con la previsione di adeguate garanzie di selettività nell’accesso; evitando al contempo la possibilità di costituzione di due archivi diversi solo per titolarità soggettiva e centralizzazione, ma analoghi per contenuto, finalità e termine di conservazione.

Per ciò che concerne, invece, la descrizione delle modalità di generazione dell’avviso utile a supportare le valutazioni del professionista, l’art. 34-bis, comma 4, prevede la possibilità di utilizzo di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, per minimizzare il rischio di errori, distorsioni o discriminazioni. 

Sul punto il Garante sottolinea come la scelta in ordine alle modalità di elaborazione dell’avviso sia, tuttavia, demandata agli organismi di autoregolamentazione competenti, previo parere conforme del Garante in ordine alle misure tecniche e organizzative di cui all’articolo 34-bis, comma 11, lett. b), non essendo stato accolto il suggerimento dell’Autorità stessa volto a contemplarne la previsione già a livello regolamentare.

Secondo, infatti, il Garante Privacy, tale profilo inerente alle modalità di generazione dell’avviso e all’eventuale ricorso ad algoritmi specifici e alle relative garanzie da accordare agli interessati dev’essere oggetto di normazione, se non altro secondaria “potendo l’avviso sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti condanne penali o reati, a contenuto altamente profilativo”.

Infine, il Garante suggerisce, ai fini di un migliore coordinamento sistematico con la previsione dell’esclusione dei professionisti dal novero dei soggetti legittimati all’accesso alla banca dati, (dalla quale tuttavia gli stessi possono ricevere l’avviso di rischiosità dell’operazione di inserire) di chiarire la portata della facoltà per i professionisti di “avvalersi della banca dati”, inserendo all’interno del comma 2-bis dell’articolo 37, al primo periodo, dopo le parole: “autoregolamentazione”, le seguenti: “per poter ricevere, ricorrendone i presupposti, l’avviso di cui al comma 4 del medesimo articolo”. 

Adamo Brunetti