Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere sullo schema di regolamento per l'attuazione delle disposizioni in materia di contrasto del riciclaggio - 12 marzo 2003 [1054779]

[doc web n. 1054779]

Parere sullo schema di regolamento per l´attuazione delle disposizioni in materia di contrasto del riciclaggio - 12 marzo 2003

Il Garante, su richiesta del Ministero delle finanze e dell´economia, ha espresso il parere su uno schema di regolamento per l´attuazione dell´art. 4, comma 8, del d. lg. 25 settembre 1999, n. 374, che ha esteso l´applicazione delle disposizioni in materia di contrasto del riciclaggio, originariamente introdotte nel settore del credito e dell´intermediazione finanziaria, ad altre attività d´impresa esposte a tale rischio.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere del Ministero dell´economia e delle finanze;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

Il Ministero dell´economia e delle finanze ha chiesto il parere del Garante in ordine ad uno schema di regolamento di attuazione dell´art. 4, comma 8, del d.lg. 25 settembre 1999, n. 374, adottato ai sensi dell´articolo 15, comma 1, lett. c), della legge 6 febbraio 1996, n. 52 (legge comunitaria 1994).

Il predetto decreto legislativo n. 374/1999 ha esteso l´applicazione delle disposizioni in materia di contrasto del riciclaggio, originariamente introdotte nel settore del credito e dell´intermediazione finanziaria (d.l. 3 maggio 1991, n. 143), ad altre attività d´impresa ritenute maggiormente suscettibili di utilizzazione a fini di riciclaggio per il fatto di poter realizzare l´accumulazione o il trasferimento di ingenti disponibilità economiche o finanziarie, o in quanto esposte ad infiltrazioni della criminalità organizzata (art. 12 direttiva del Consiglio e del Parlamento europeo n. 91/308/CEE sulla prevenzione dell´uso del sistema finanziario a scopo di riciclaggio dei proventi di attività illecite).

Il decreto ha riguardato attività -in parte assoggettate ad autorizzazione amministrativa ai sensi della normativa in materia di pubblica sicurezza- a forte impatto economico, o relative al commercio di beni di valore (agenzie di recupero crediti, custodia e trasporto di valori, commercio di cose antiche, di oro o di preziosi, case d´asta e case da gioco) o ad altre forme di consulenza finanziaria (mediazione creditizia e agenzia in attività finanziaria).

Un´ulteriore estensione dell´ambito applicativo della normativa antiriciclaggio con riferimento a categorie di liberi professionisti o esercenti attività d´impresa (notai, altri "liberi professionisti legali", revisori, contabili esterni e consulenti tributari, agenti immobiliari) è peraltro disposta dalla direttiva comunitaria n. 2001/97/CE, di modifica della precedente, il cui recepimento è previsto dalla recente legge 3 febbraio 2003 n. 14 (legge comunitaria 2002).

La crescente ampiezza del novero dei soggetti tenuti agli obblighi di identificazione della clientela, di registrazione delle operazioni e (in alcuni casi) di segnalazione di quelle sospette rende necessaria una riflessione di fondo sulle peculiarità che assume la normativa antiriciclaggio -ormai applicabile ben oltre l´originario ambito del settore creditizio e finanziario- e sulle connesse implicazioni che possono derivarne sul piano dell´applicazione della normativa in materia di protezione dei dati personali.

E´ infatti di tutta evidenza l´impatto che l´ampliamento dell´ambito d´applicazione della normativa è destinato ad avere sulla clientela in ragione della progressiva "diffusione" degli obblighi antiriciclaggio, i quali riguardano ormai vari servizi e attività che rispondono a comuni esigenze dei cittadini o a bisogni sociali molto diffusi. Si pensi in particolare a funzioni essenziali per il cittadino (come quelle connesse alle attività notarili e forensi) e a talune attività di intermediazione o commerciali (società immobiliari o di recupero crediti).

Una tale linea di tendenza, benché uniforme sul piano comunitario, rende necessaria un´attuazione attenta per ciò che riguarda le concrete modalità e il momento temporale in cui far operare determinati obblighi di segnalazione, in chiave di proporzionalità e di selettività degli interventi (art. 9, l. n. 675/1996).

Ciò può essere utile anche per non ridurre l´efficacia antiriciclaggio degli strumenti di controllo applicati su eccessiva scala, in considerazione anche dei notevoli flussi informativi previsti, soprattutto verso l´Ufficio italiano cambi, e in relazione ai controlli sui dati raccolti che dovranno essere improntati ad un rigoroso rispetto del principio di proporzionalità e delle finalità perseguite (art. 9 cit.).

Le considerazioni sin qui formulate assumono rilevanza anche in relazione alla natura dei dati personali da trattare in questi contesti, nonché agli effetti che il loro trattamento può determinare nei confronti degli interessati, con conseguente possibilità che nel prossimo futuro il medesimo trattamento debba essere sottoposto dal Garante alle c.d. verifiche di prior checking (art. 24-bis legge n. 675/1996; art. 20 dir. n. 95/46/CE), senza pregiudicare l´interesse pubblico sotteso alla normativa antiriciclaggio (si pensi, del resto, alle limitazioni ai diritti in materia di protezione dei dati personali già previste dalla legge n. 675 a fini antiriciclaggio:art. 14, comma 1, lett. a) legge cit.).

OSSERVA

Riservata, pertanto, una valutazione di carattere più generale sui diritti delle persone interessate, nei termini sopraindicati, si formulano le seguenti osservazioni sull´attuale schema di regolamento sottoposto per il parere.

Gli operatori cui si riferisce lo schema devono adempiere agli obblighi di identificazione e di registrazione previsti dall´articolo 13 del d.l.n. 625/1979 acquisendo "dati identificativi" e "informazioni attinenti alle operazioni compiute" (art. 2, comma 1, dello schema in relazione all´art. 4, commi 1 e 2, del d.lg. n. 374/1999).

1) Con riferimento all´identificazione della persona e all´acquisizione dei dati e delle informazioni si osserva quindi:

a) all´articolo 2, comma 1, occorre chiarire a quali operazioni si applichi l´obbligo di "identificazione" e "registrazione", previsto espressamente solo per le operazioni di valore superiore a "venti milioni di lire". Al di là del noto aggiornamento dell´importo nella nuova moneta dell´euro nel frattempo intervenuto (12.500,00 € ex art. 13 d.l. n. 625/1979, come integrato dal d.m. 17 ottobre 2002; 15.000,00 € secondo la nuova direttiva del 2001), sembrerebbe, infatti, escluso l´obbligo in questione per operazioni di importo inferiore alla soglia indicata, ma frazionate, che invece lo schema include fra gli elementi oggetto di valutazione ai fini della successiva "segnalazione" delle operazioni sospette (art. 13, comma 2, d.l. n. 625/1979 e art. 5 dello schema che fa riferimento alle tecniche di frazionamento delle operazioni);

b) il medesimo articolo 2, comma 1, potrebbe essere perfezionato sul piano della formulazione letterale in modo da evidenziare meglio che l´obbligo di identificazione riguarda i soli soggetti che effettuano in concreto operazioni e individuare con maggiore precisione le "informazioni attinenti alle operazioni compiute". Si potrebbero ad esempio sostituire le parole: "i clienti" con: "i soggetti che compiono operazioni" e dettagliare le informazioni da registrare anche in relazione a quanto previsto dall´articolo 13, comma 4, del decreto-legge n. 625/1979 o comunque con il rinvio alle successive disposizioni di dettaglio dello schema (artt. 6-13). Inoltre, sembra necessario adoperare la medesima espressione "informazioni attinenti alle operazioni compiute" anche nella rubrica dell´articolo 3, al fine di non ingenerare confusione con altre definizioni adottate (i "dati identificativi");

c) l´articolo 3, comma 1, andrebbe integrato richiamando l´obbligo di fornire all´interessato l´informativa ai sensi dell´articolo 10 della legge n. 675/1996, anche in considerazione del fatto che il rifiuto da parte della clientela di fornire le informazioni può essere valutato al fine di individuare le operazioni sospette (art. 5, comma 1, lett. a)). Si potrebbe aggiungere il seguente periodo: "All´interessato è fornita l´informativa di cui all´articolo 10 della legge 31 dicembre 1996, n. 675 anche in relazione alla natura obbligatoria del conferimento dei dati e alle conseguenze di un eventuale rifiuto di rispondere.". L´informativa rende consapevole l´interessato anche delle finalità della raccolta, senza pregiudicare -dato il suo contenuto- le esigenze di segretezza previste a garanzia di controlli o indagini (art. 8, dir. n. 91/308).

2) Per quanto riguarda la registrazione delle informazioni lo schema prevede che per alcune attività l´obbligo di registrazione possa essere assolto utilizzando i registri già nella disponibilità degli operatori per altre finalità e integrando i rispettivi dati e informazioni (artt. 120, 128 e 135, r.d. n. 773/1931, recante il testo unico in materia di pubblica sicurezza e art. 4, comma 2, dello schema).

Va preliminarmente rilevato che la norma permette di individuare solo indirettamente i soggetti ai quali è riconosciuta tale facoltà, diversamente dall´analoga disposizione del decreto legislativo (recupero crediti; trasporto o custodia di danaro o altri valori a mezzo di guardie giurate; commercio di cose antiche; case d´asta o gallerie d´arte; fabbricazione o commercio di preziosi: art. 4, comma 3, d.lg. n. 374/1999). Resta poi dubbio se la norma riguardi anche la mediazione immobiliare per la quale il citato decreto legislativo consente di integrare i dati con quelli richiesti ai sensi dell´articolo 1760, n. 3, del codice civile (categoria, questa, non richiamata dal citato articolo 4 dello schema).

A parte queste considerazioni preliminari, va osservato che la scelta di consentire agli operatori la registrazione dei dati nei medesimi registri tenuti per altre finalità non appare coerente con quella effettuata in generale dal legislatore in materia di contrasto del riciclaggio.

Com´è noto, infatti, l´articolo 13 del d.l. n. 625/1979 prevede che i dati e le informazioni raccolti devono essere inseriti in "un unico archivio" di pertinenza del soggetto, anche privato, "formato e gestito a mezzo di sistemi informatici" anche per consentirne un più agevole aggiornamento e per facilitare eventuali ricerche (d.m. 7 luglio 1992). L´importanza e l´utilità dell´archivio unico informatico per ogni soggetto è messa ampiamente in risalto nelle "Istruzioni operative per l´individuazione di operazioni sospette" impartite dalla Banca d´Italia con provvedimento del 12 gennaio 2001.

Quel che più rileva, inoltre, sotto il profilo della protezione dei dati personali, è che, ove fosse consentito il ricorso all´integrazione dei predetti registri anche se per comprensibili esigenze di economia, risulterebbero annotate in un medesimo registro (in molti casi tenuto, peraltro, in forma cartacea) informazioni non sempre coincidenti (il codice fiscale, ad esempio, deve essere acquisito solo in base alla normativa antiriciclaggio), raccolte soprattutto per finalità ben diverse e sottoposte infine a differenti regole sui tempi di conservazione.

Da un lato, infatti, il testo unico di pubblica sicurezza obbliga i soggetti che esercitano le descritte attività alla tenuta di registri per finalità di polizia amministrativa, sottoposti al controllo dell´autorità di pubblica sicurezza in alcuni casi per periodi determinati, (cinque anni nel caso dei registri delle agenzie pubbliche o degli istituti di vigilanza o investigazione: artt. 220 e 260 reg. t.u.l.p.s.).

Dall´altro, il d.lg. n. 374/1999 ha assoggettato le medesime attività agli obblighi previsti dalla speciale normativa antiriciclaggio, che prevede anche forme di controllo dell´Ufficio italiano cambi per finalità finanziarie, prevedendo in ogni caso che i dati siano conservati per dieci anni (cfr. il potere di accesso previsto all´art. 5, comma 1, d. lg. n. 374/1999, richiamato dall´art. 4, comma 4, dello schema).

Tale sistema comporterebbe serie difficoltà di rispettare gli obblighi previsti dalla normativa in materia di protezione dei dati personali.

L´annotazione dei dati su un supporto cartaceo e, in particolare, su un registro non automatizzato comporta, ad esempio, un serio ostacolo alla loro cancellazione alla scadenza del periodo di conservazione, se non attraverso operazioni che incidano sulla completezza del registro o comportino abrasioni o distruzioni, senza contare, poi, la difficoltà di rispettare i diversi tempi di conservazione previsti per i medesimi dati rispetto alle distinte finalità.

Sicuramente più difficoltoso risulterebbe, poi, garantire l´utilizzazione dei dati per le sole finalità per le quali sono raccolti e la predisposizione di accessi selettivi alle informazioni da parte dei soggetti pubblici preposti ai controlli (art. 9, l. l. n. 675/1996).

Da quanto evidenziato, discende la necessità di una rivalutazione in ordine all´adozione del descritto "sistema integrato".

Qualunque scelta si segua, lo schema di regolamento dovrà prevedere la predisposizione da parte degli operatori di misure idonee ad assicurare l´integrità dei dati, opportunamente calibrate in relazione alle modalità di formazione e di tenuta dei registri, anche con il ricorso a tecniche di cifratura dei dati nel caso di registri tenuti con strumenti informatici e flussi informativi attivati in via telematica (art. 4, comma 4, che prevede l´obbligo di comunicazione dei dati all´U.I.C.) e particolari misure che assicurino l´accesso selettivo a determinati dati da parte dei diversi soggetti abilitati per le rispettive finalità di controllo.

Si potrebbe integrare l´articolo 4 con un periodo del seguente tenore: "Gli operatori adottano le misure di sicurezza per il trattamento dei dati personali previste dall´articolo 15 della legge 31 dicembre 1996, n. 675, e successive modificazioni e integrazioni, con il ricorso anche a tecniche di cifratura dei dati o a codici identificativi e assicurando modalità selettive degli accessi al fine di garantire il rispetto dei principi di cui all´articolo 9 della medesima legge. ".

Inoltre:

a) è necessaria una rivalutazione sulla congruità del termine di dieci anni per la conservazione delle informazioni archiviate (art. 4, comma 3, in relazione al principio di conservazione dei dati per il tempo strettamente necessario al raggiungimento della finalità di cui all´art. 9 della legge n. 675/1996). Da un lato, infatti, l´art. 4 del d. lg. n. 374 del 1999 non richiama l´analoga previsione contenuta nell´art. 13, comma 6, del decreto-legge n. 625/1979; dall´altro, la direttiva europea prevede un termine di "almeno cinque anni" dall´esecuzione dell´operazione per i dati relativi alle operazioni o dalla fine delle relazioni con il cliente per i dati identificativi della persona (art. 4, dir. n. 91/308/CEE come modificata);

b) le disposizioni attuative previste per la comunicazione dei dati all´UIC dovrebbero essere adottate sentita questa Autorità (art. 4, comma 3);

c) all´articolo 6 dovrebbe essere espunta la parola "disponibili" riferita alle generalità del debitore. L´articolo 9 della legge n. 675/1996 prevede infatti che i dati siano "pertinenti, completi" nonché "esatti e, se necessario, aggiornati";

d) agli articoli 9 e 10 dovrebbero essere espunte le parole "anche le generalità delle altre parti intervenute", in quanto non pertinenti rispetto alle finalità.

C) Infine, quanto all´obbligo di segnalazione delle operazioni sospette, ove previsto, si segnala che particolari cautele dovrebbero essere adottate per assicurare la riservatezza della persona del segnalante, ai sensi dell´art. 3-bis del decreto-legge n. 143/1991, data la qualità di alcuni soggetti tenuti alla segnalazione (art. 5). Specifiche indicazioni al riguardo potrebbero essere fornite con gli interventi attuativi previsti per individuare le modalità tecniche con cui effettuare le segnalazioni, per la cui adozione andrebbe sentita questa Autorità.

Il parere del Garante è reso con le osservazioni che precedono, con preghiera di citare nel preambolo del regolamento l´avvenuta consultazione dell´Autorità.

TUTTO CIO´ PREMESSO IL GARANTE:

esprime il parere richiesto nei termini di cui in motivazione.

 

Roma, 12 marzo 2003

IL PRESIDENTE
Santaniello

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli