g-docweb-display Portlet

Nuova disciplina antiriciclaggio - 25 luglio 2007 [1431012]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1431012]

Nuova disciplina antiriciclaggio - 25 luglio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere del Ministero dell´economia e delle finanze;

Vista la direttiva del Parlamento europeo e del Consiglio 2005/60/Ce del 26 ottobre 2005;

Vista la legge 25 gennaio 2006, n. 29 (legge comunitaria 2005);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO:

Il Ministero dell´economia e delle finanze ha trasmesso all´Autorità per l´esame uno schema di decreto legislativo volto ad attuare la direttiva comunitaria n. 2005/60/Ce (c.d. "terza direttiva") sulla prevenzione dell´utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

Lo schema del decreto previsto dalla legge comunitaria 2005 (l. n. 29/2006) mira a coordinare le disposizioni di rango primario e secondario succedutesi nel tempo e che hanno esteso le misure antiriciclaggio, originariamente introdotte nel settore del credito e dell´intermediazione finanziaria, a diverse professioni (notai, avvocati, ragionieri, commercialisti, consulenti tributari e del lavoro e agenti immobiliari) e ad attività d´impresa ritenute particolarmente suscettibili di utilizzazione a fini di riciclaggio (agenzie di recupero crediti, custodia e trasporto di valori, commercio di cose antiche o di preziosi, case d´asta o case da gioco: d.l. n. 143/1991; d.lg. n. 374/1999; d.lg. n. 56/2004 e relativi regolamenti di attuazione).

Lo schema di decreto conferma e amplia tale intervento estensivo, sulla base di quanto previsto dalla citata direttiva europea (considerando 14, art. 2, par. 3, lett. c) e art. 4 dir. n. 2005/60/Ce) e demandando ad un decreto del Ministro dell´economia e delle finanze l´individuazione di ulteriori persone fisiche da assoggettare agli obblighi previsti dalla normativa (art. 66, comma 6, in relazione all´art. 1, comma 2, lett. o) dello schema).

Come già rilevato dal Garante in precedenti occasioni (pareri del 12 marzo 2003 e del 12 maggio 2005), la particolare ampiezza del novero dei soggetti tenuti ad obblighi di identificazione della clientela, di registrazione delle operazioni e di segnalazione di operazioni sospette impone da tempo una riflessione di fondo sul crescente impatto che la normativa antiriciclaggio assume sempre più in settori via via nuovi, nonché sulle connesse implicazioni che ne derivano per i diritti delle persone e sul piano della protezione dei dati personali.

La direttiva n. 2005/60/Ce prevede anche un incremento dei controlli sui soggetti che effettuano operazioni "sospette", stabilendo che debba essere identificato anche il "titolare effettivo" dell´operazione stessa (vale a dire la persona che esercita un controllo sul cliente o per conto della quale l´attività o l´operazione vengono effettuate); prevede, altresì, verifiche sulla clientela calibrate rispetto al "rischio" di riciclaggio associato al cliente (c.d. "approccio basato sul rischio": considerando 10 e 22 e art. 3, punto 6, dir. n. 2005/60/Ce).

La medesima direttiva europea menziona, al contempo, la necessità di rispettare i diritti fondamentali delle persone e i princìpi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell´Unione europea, il cui articolo 8 garantisce ad ogni individuo il diritto alla protezione dei dati personali che lo riguardano (considerando 48 dir. n. 2005/60/Ce).

In tale quadro, il descritto e rilevante ampliamento, soggettivo e oggettivo, della normativa a livello europeo ne rende necessaria un´attuazione rigorosa in chiave di effettiva necessità, di proporzionalità e di selettività degli interventi di monitoraggio e prevenzione previsti (artt. 2 e 11 del Codice in materia di protezione dei dati personali), anche in considerazione degli enormi flussi informativi previsti, specie verso l´organismo nazionale previsto dalla direttiva e che il decreto intende istituire presso la Banca d´Italia (l´Unità di informazione finanziaria per l´Italia-Uif), e della particolare natura del trattamento.

I trattamenti di dati personali cui si riferisce la normativa antiriciclaggio riguardano patrimoni, comportamenti e disponibilità economiche di numerose persone e, per tale loro intrinseca delicatezza, nonché per gli effetti che essi possono comunque determinare, vanno ascritti fra quelli che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati (art. 17 del Codice). Pertanto, a prescindere dalle cautele ipotizzate nello schema e sulle quali è espresso il presente parere, va ricordato che il Garante si è già riservato di prescrivere autonomamente misure ed accorgimenti che si rivelassero in concreto necessari a garanzia degli interessati, anche sulla base della prima esperienza applicativa delle nuove regole.

Le cautele sollecitate con il presente parere e quelle che il Garante si riserva di prescrivere autonomamente non inficiano, comunque, l´efficacia di una doverosa attività antiriciclaggio, che trae anzi giovamento da un sostanziale rispetto delle regole di protezione dei dati.

OSSERVA

1. I soggetti obbligati e le misure sul piano applicativo

L´articolo 3 dello schema ipotizza una "collaborazione attiva" dei destinatari delle disposizioni del decreto, chiamati a svolgere autonome valutazioni e ad adottare "idonee e appropriate politiche e procedere" per adempiere agli obblighi loro attribuiti, "avendo riguardo alle informazioni possedute o acquisite nell´ambito della propria attività istituzionale o professionale".

In proposito, è necessario ribadire nel medesimo articolo 3 che ogni eventuale autonoma iniziativa, assunta sul piano applicativo dai soggetti destinatari degli obblighi, dovrebbe comunque svolgersi nel quadro delle prescrizioni e delle garanzie previste dalle disposizioni del decreto e dalla disciplina in materia di protezione dei dati personali. Ciò, in particolare, per quanto riguarda il previsto utilizzo di dati o di informazioni eventualmente già acquisiti o in possesso dei soggetti interessati, e che potrebbero essere ulteriormente utilizzati solo se raccolti per finalità compatibili con quelle del presente decreto (art. 11, comma 1, lett. b), del Codice).

Lo schema stabilisce, poi, che le "succursali italiane" di soggetti aventi sede legale all´estero possano applicare le disposizioni del decreto anche con "procedure equivalenti a quelle stabilite" dal decreto stesso (art. 11, comma 1, lett. n), comma 2, lett. d) e comma 4). Si deve però tenere conto che le garanzie e gli adempimenti in materia di protezione dei dati personali si applicano, comunque, nei confronti di chiunque effettui un trattamento di dati personali, anche detenuti all´estero, se stabilito (come deve ritenersi che sia una succursale) nel territorio dello Stato (art. 5 del Codice).

 

2. Obblighi di adeguata verifica della clientela

Prima di formulare specifici rilievi, occorre ricordare che la descrizione degli obblighi di adeguata verifica della clientela (art. 18) deve avvenire in termini precisi e conformi alla direttiva europea, al fine di poter trattare solo dati pertinenti e non eccedenti rispetto alle finalità perseguite e con modalità proporzionate (art. 11 del Codice), sia per quanto riguarda l´identificazione del cliente o del "titolare effettivo", sia in relazione alla valutazione del "rischio" di riciclaggio e di finanziamento del terrorismo.

2.1. Il "sospetto di riciclaggio"
Lo schema stabilisce che i soggetti destinatari delle disposizioni del decreto debbano applicare gli obblighi di adeguata verifica della clientela, fra l´altro, quando vi sia "il sospetto di riciclaggio o di finanziamento del terrorismo" (artt. 15, comma 1, lett. c); 16, comma 1, lett. d); 17, comma 1, lett. c)). La disposizione lascia un elevato margine di discrezionalità e risulta quindi necessario individuare già nel decreto alcuni criteri, quantomeno generali, da applicare per valutare la sussistenza di tale "sospetto", analogamente o anche mediante rinvio a quanto previsto per la valutazione del "rischio" di riciclaggio e per l´individuazione delle operazioni sospette (cfr. i successivi articoli 20 e 41 dello schema).

2.2. L´identificazione del cliente
Gli obblighi di adeguata verifica della clientela consistono in alcune attività fra le quali è compresa l´identificazione del cliente e la verifica della sua identità, sulla base di documenti, dati o informazioni ottenuti da una "fonte affidabile e indipendente" (art. 18, comma 1, lett. a)). Si ritiene necessario sviluppare ulteriormente tale espressione, eventualmente anche mediante una casistica di "fonti", chiarendo altresì se fra di esse siano inclusi, e a quale titolo, terzi che possono contribuire alla verifica della clientela (cfr. art. 34, comma 1); si deve altresì esplicitare che il trattamento dei dati da parte della "fonte" deve essere comunque lecito, in base alla legge.

2.3. L´identificazione del titolare effettivo
É necessario chiarire ulteriormente che l´identificazione del "titolare effettivo" può non essere necessaria ed è solo una delle attività di verifica cui è possibile ricorrere in base ad un approccio graduato e basato sul rischio (cfr. il successivo art. 20 dello schema). La pertinente indicazione contenuta nell´articolo 18 deve essere, quindi, allineata formalmente con quanto indicato nella direttiva, ad esempio sostituendo le parole "identificare l´eventuale titolare" con le seguenti: "se necessario, identificare il titolare" (art. 18, comma 1, lett. b)).

All´articolo 19, comma 1, lett. b) dello schema, che disciplina le modalità di verifica dell´identità del titolare effettivo, in luogo dell´espressione "registri disponibili al pubblico" si ritiene necessario ricorrere alla vigente e più completa locuzione "pubblici registri, elenchi, atti, o documenti conoscibili da chiunque" (cfr. art. 24, comma 1, lett. c), del Codice). Analogo intervento di raccordo normativo risulta necessario in relazione all´espressione "informazioni disponibili al pubblico" di cui al successivo articolo 28, comma 4, lett. a), dello schema.

Infine, non risulta conforme ai princìpi di finalità e di proporzionalità del trattamento dei dati prevedere genericamente che i soggetti destinatari dell´obbligo di verifica possano ottenere informazioni sul conto del titolare effettivo in un non meglio precisato "altro modo" (art. 19, comma 1, lett. b)). Si rende, perciò, necessario espungere dal testo un´espressione così indeterminata, oppure specificare di che tipo di informazioni si tratti e con quali limiti, modalità e presso quale "fonte" possano essere raccolte, tenendo presente che la direttiva fornisce alcune indicazioni a tal riguardo (cfr. considerando 10).

Si prende al contempo atto, con perplessità, dell´ampiezza delle previsioni secondo cui:

a) potranno essere richieste numerose informazioni sul titolare effettivo anche al cliente (art. 21);
b) i soggetti obbligati potranno "ottenere informazioni sullo scopo e sulla natura prevista del rapporto continuativo o della prestazione professionale" (art. 18, comma 1, lett. c)), il che potrebbe incentivare ulteriori e non meglio definiti comportamenti del soggetto obbligato.

Si pone poi l´esigenza di riflettere sull´opportunità di emendare la norma che prevede la possibilità di "modificare" alcune disposizioni di rango primario con mero decreto ministeriale (art. 19, comma 2), stante la mancanza di ogni vincolo in merito, prevedendo, comunque, che sia acquisito il parere del Garante.

2.4. L´approccio basato sul rischio. L´individuazione dei criteri
Il decreto prevede una graduazione degli obblighi di verifica della clientela in funzione del rischio associato al tipo di cliente, all´operazione effettuata e al rapporto avviato o alla prestazione professionale richiesta (art. 20). 

La delicatezza della materia rende necessario individuare parametri e criteri di valutazione del rischio molto selettivi e proporzionati. In tal senso, si rileva che lo schema di decreto individua criteri specifici di valutazione per i casi di "basso rischio di riciclaggio" (art. 26, comma 1, e Allegato tecnico dello schema), ma non anche, con lo stesso livello di dettaglio, in relazione alla sussistenza di un "rischio più elevato di riciclaggio", per il quale si limita invece a esemplificare alcuni casi già tipizzati dalla direttiva (clienti non presenti fisicamente; conti di corrispondenza con enti di Paesi terzi; persone politicamente esposte) (art. 28, comma 1).

 

3. Registrazione e conservazione dei dati

3.1. L´utilizzo dei dati registrati
In coerenza con quanto previsto dalla direttiva, lo schema di decreto prevede che i soggetti destinatari degli obblighi di verifica della clientela conservino i documenti e registrino le informazioni che hanno acquisito per assolvere a tali obblighi (art. 36, comma 1).

Si prevede, poi, che i dati e le informazioni registrate siano anche "utilizzabili ai fini fiscali secondo le disposizioni vigenti" (art. 36, comma 6). Per assicurare il rispetto del principio di finalità nel trattamento dei dati, occorre prevedere che tale utilizzabilità vi sia in caso di accertato riciclaggio.

3.2. Le modalità di tenuta degli archivi
Per la registrazione delle informazioni, il decreto prevede l´adozione di un "archivio unico informatico", come già previsto dalla normativa vigente, nel quale raccogliere soltanto le informazioni acquisite nell´adempimento degli obblighi antiriciclaggio (art. 37).

Come già indicato dal Garante nei precedenti pareri resi, si rinnova l´invito ad evitare che la registrazione dei dati per finalità antiriciclaggio possa essere effettuata anche mediante registri cartacei (art. 38, comma 2) oppure in archivi o registri utilizzati anche per altre finalità (artt. 38, comma 6, e 39, comma 1). L´uso di registri cartacei potrebbe essere semmai consentito solo ai soggetti che risultino non disporre di una struttura informatizzata, e stabilendo eventualmente un termine per l´adeguamento.

3.3. La durata della conservazione dei dati
Per assicurare il rispetto del principio di conservazione dei dati per il tempo strettamente necessario al raggiungimento delle finalità, si ritiene necessaria un´attenta rivalutazione sulla effettiva congruità del periodo "di almeno dieci anni" individuato nello schema per la conservazione della documentazione (art. 36, comma 1, lett. a) e b)).

Si rileva anzitutto la non praticabilità di un termine di conservazione sostanzialmente indefinito, quale quello che deriva, allo stato, dall´impiego dell´espressione "almeno" che, per esigenze di certezza, va eliminata prevedendo un chiaro termine finale di conservazione.
Con riferimento a tale termine, si sottolinea, inoltre, che la direttiva europea si limita a stabilire un termine di "almeno cinque anni" dalla fine del rapporto d´affari o dall´esecuzione dell´operazione (art. 30 dir. n. 2005/60/Ce); allo stato, non risulta altresì alcuna concreta dimostrazione dell´effettiva necessità di prevedere un termine in ogni caso non inferiore al doppio del termine mimino armonizzato su scala europea.

Infine, un analogo e congruo periodo di conservazione deve essere individuato, oltre che per la documentazione, anche per i dati registrati, in relazione ai quali, allo stato, lo schema di decreto non risulta contenere indicazioni.

3.4. La gestione di case da gioco on line
L´articolo 14, comma 1, lett. e), dello schema intende assoggettare agli obblighi antiriciclaggio anche gli operatori che offrono, "attraverso la rete internet e altre reti telematiche di telecomunicazione" giochi, scommesse e concorsi pronostici con vincite in denaro.

Tali operatori dovrebbero, al pari degli altri soggetti cui si applica il decreto, individuare la clientela cui prestano il servizio e registrare altresì le informazioni relative "all´indirizzo IP, alla data, all´ora e alla durata delle connessioni telematiche" nel corso delle quali il cliente effettua le previste operazioni "accedendo ai sistemi del gestore della casa da gioco on line" (art. 24, comma 4, lett. d)). Tali dati dovrebbero essere registrati nel previsto archivio unico informatico (art. 37, comma 1).

In verità, detti dati sono però dati relativi al traffico telematico, oggetto di speciale protezione anche costituzionale (art. 15 Cost.) e su scala europea (direttiva n. 2002/58/Ce; direttiva n. 2006/24/Ce). Si ritiene pertanto necessario modificare le previsioni di cui al combinato disposto degli articoli 24, comma 4, lett. d), e 37 dello schema, potendosi determinare altrimenti un controllo pervasivo che non terrebbe conto dei tempi di conservazione ben più ridotti dei dieci anni previsti, delle speciali modalità di conservazione dei dati e dell´accesso riservato alla sola autorità giudiziaria penale per finalità di accertamento e repressione di reati. Del resto va tenuto presente che questi dati sono acquisibili presso i fornitori di servizi di comunicazione elettronica.

 

4. Segnalazione di operazioni sospette

4.1. La comunicazione dell´avvenuta segnalazione
L´articolo 46 dello schema introduce limitazioni alla comunicazione dell´avvenuta segnalazione. In particolare, il comma 6 dell´articolo prevede che, in casi relativi al medesimo cliente o alle stesse operazioni che coinvolgano più intermediari finanziari o professionisti, la comunicazione dell´avvenuta segnalazione sia consentita fra tali soggetti "a condizione che siano situati in un Paese terzo che impone obblighi equivalenti a quelli previsti dal presente decreto".

Tale previsione deve essere integrata con riferimento al rispetto anche delle disposizioni in materia di protezione dei dati personali che disciplinano la comunicazione di dati all´estero (artt. 42-44 del Codice), come previsto dalla direttiva europea (art. 28, par. 5, dir. n. 2005/60/Ce).

4.2. La raccolta di informazioni sulle operazioni sospette
Lo schema di decreto attribuisce all´Unità di informazione finanziaria il compito, fra gli altri, di ricevere le segnalazioni di operazioni sospette e di effettuarne l´analisi (artt. 7, comma 6, e 47).

In applicazione dei princìpi di necessità del trattamento e di pertinenza e non eccedenza dei dati (artt. 3 e 11 del Codice), si ritiene necessario che lo schema definisca più specificatamente quali categorie di "ulteriori dati e informazioni" possano essere acquisite dalla predetta Unità presso i soggetti tenuti alle segnalazioni di operazioni sospette (art. 6, comma 6, lett. c)).

Si ritiene, poi, necessaria una rivalutazione sulla congruità del periodo "di dieci anni" per il quale è previsto che la Uif conservi in "evidenza" le segnalazioni ritenute infondate, tenuto conto anche del fatto che si tratterebbe di informazioni già valutate come non rilevanti ai fini del contrasto del riciclaggio (art. 47, comma 1, lett. c)). Analoga considerazione vale per il medesimo periodo di dieci anni per il quale la Uif dovrebbe conservare "le informazioni e i dati relativi ai soggetti nei cui confronti sia stato emanato provvedimento sanzionatorio" (art. 60, comma 5).

Infine, appare opportuno prevedere una specifica forma di collaborazione fra il Garante e la Banca d´Italia in occasione dell´adozione del previsto regolamento con il quale quest´ultima autorità dovrebbe definire anche le regole per la riservatezza delle informazioni raccolte dall´Uif (art. 6, comma 1).

4.3. Le misure di protezione dell´identità del segnalante
L´articolo 45 prevede alcune misure per assicurare la "riservatezza" dell´identità delle persone che effettuano la segnalazione di operazioni sospette.

Nel ritenere necessaria una valutazione sull´opportunità di sostituire, ovunque ricorra nella disposizione, la parola "riservatezza" con "segretezza", si ritiene che si debba integrare il comma 4 del medesimo articolo 45, in base al quale la trasmissione delle segnalazioni sospette è effettuata "per via telematica", con l´indicazione di specifiche misure di sicurezza idonee a garantire la riferibilità certa della trasmissione dei dati ai soli soggetti interessati e l´integrità delle informazioni trasmesse.

Inoltre, per assicurare una disciplina omogenea della materia, al comma 5 del medesimo articolo è opportuno prevedere che i previsti "protocolli di intesa" che le amministrazioni interessate dovranno adottare per "assicurare la massima riservatezza dell´identità delle persone fisiche che effettuano le segnalazioni" siano predisposti secondo uno schema-tipo, da adottare su conforme parere del Garante.

 

5. Altre disposizioni

Si constata, infine, la presenza nel testo di una disposizione (art. 63, comma 1), riguardante una tematica (l´implementazione dell´anagrafe tributaria) diversa da quella oggetto del presente decreto e che è stata già disciplinata, anche di recente, con altri provvedimenti normativi (d.l. n. 223/2006). A tal riguardo, non risultano, allo stato, elementi tali da giustificare l´inserimento di tale significativa disposizione nello schema di decreto all´esame. Il Garante indica quindi l´opportunità di stralciarla dal decreto, considerato anche che essa riguarda informazioni su specifiche operazioni che, sotto altro profilo, il decreto rende già disponibili alle competenti autorità per finalità antiriciclaggio.

In conclusione, il Garante esprime parere favorevole sullo schema di decreto legislativo a condizione che vengano apportate le modifiche sopra indicate.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante disposizioni per il recepimento della direttiva comunitaria n. 2005/60/Ce (c.d. "terza direttiva"), concernente la prevenzione dell´utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, a condizione che lo schema sia modificato, nei termini di cui in motivazione:

a) specificando che ogni eventuale autonoma iniziativa assunta sul piano applicativo dai soggetti destinatari degli obblighi sia comunque svolta nel quadro delle prescrizioni e delle garanzie previste dalle disposizioni del decreto e dalla normativa in materia di protezione dei dati personali (punto 1);

b) tenendo conto che, per quanto riguarda il trattamento di dati effettuato presso "succursali italiane" di soggetti aventi sede legale all´estero, si applica la normativa italiana in materia di protezione dei dati personali (punto 1);.

c) individuando già nel decreto alcuni criteri, quantomeno generali, da applicare per valutare la sussistenza del sospetto di riciclaggio o di finanziamento del terrorismo (punto 2.1.);

d) apportando le richieste modifiche e precisazioni alle pertinenti disposizioni dello schema rispetto alle informazioni acquisibili dai soggetti obbligati ai fini della verifica della clientela e alla modifica per decreto ministeriale di alcune disposizioni del decreto legislativo (punti 2.2. e 2.3.);

e) individuando criteri specifici di valutazione della sussistenza di un rischio più elevato di riciclaggio (punto 2.4);

f) prevedendo, nel comma 6 dell´articolo 36 dello schema, l´utilizzabilità dei dati a fini fiscali in caso di accertato riciclaggio (punto 3.1.)

g) prevedendo apposite modalità di tenuta degli archivi per la registrazione dei dati (punto 3.2.);

h) riducendo, e con termine certo, la durata della conservazione dei dati (punto 3.3.);

i) modificando la previsione sulla conservazione dei dati di traffico presso le case da gioco operanti su reti telematiche (punto 3.4.);

j) coordinando la disposizione di cui all´art. 46 dello schema, sulla comunicazione dell´avvenuta segnalazione, con le pertinenti norme del Codice sul trasferimento all´estero dei dati (punto 4.1.);

k) definendo più specificatamente quali categorie di "ulteriori dati e informazioni" possano essere acquisite dall´Uif per valutare le operazioni sospette, rivalutando altresì la congruità dei termini di durata della conservazione delle informazioni (punto 4.2.);

l) prevedendo una specifica forma di collaborazione del Garante con la Banca d´Italia sulla riservatezza delle informazioni raccolte dall´Uif (punto 4.2.);

m) prevedendo, per la trasmissione delle segnalazioni sospette "per via telematica", specifiche misure di sicurezza idonee a garantire la riferibilità certa della trasmissione dei dati ai soli soggetti interessati e l´integrità delle informazioni trasmesse (4.3.);

n) stabilendo che i previsti "protocolli di intesa" fra le amministrazioni interessate siano predisposti secondo uno schema-tipo, da adottare su conforme parere del Garante (4.3.);

o) considerando l´opportunità di stralciare il comma 1 dell´articolo 63 (punto 5).

Roma, 25 luglio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli