Giuseppe Roddi: “Antiriciclaggio e protezione dei dati personali” (13 marzo 2014)

140313-diritto-bancario
Fonte: Diritto Bancario , titolo originale “Elementi di tutela privacy nel trattamento dei dati del titolare effettivo” (testo anche in pdf, 254 K, 4 pp.)
di Giuseppe Roddi, docente e consulente di compliance bancaria - finanziaria
(Pubblichiamo il primo paragrafo del testo “Elementi di tutela privacy nel trattamento dei dati del titolare effettivo” disponibile in forma completa a questo link)

1. Il rapporto fra i due ordinamenti: antiriciclaggio e protezione dei dati personali

Il rapporto fra le disposizioni antiriciclaggio e quelle dedicate alla protezione dei dati personali risente del canone ispiratore che fa prevalere le prime sulle seconde per un’evidente scelta di politica del diritto tesa a privilegiare la lotta contro la selva di reati che si annidano nell’immonda galassia del riciclaggio. In considerazione di questa chiara esigenza si prevede pacificamente il ridursi dell’area della privacy, vale a dire della tutela del singolo e dei suoi dati personali, per consentire l’affermazione di quelle regole così coinvolgenti e capillari che sono proprie dell’antiriciclaggio (nota 1).
Nel corso degli anni di vigenza delle due normative, il Garante della Privacy ha cercato di precisare il confine tra i due ordinamenti, talora con prese di posizione che, sebbene fondate in diritto, forse per un eccesso di garantismo, sono potute sembrate un po’ troppo formalistiche (nota 2).
Pur nello scenario – condiviso e meritevole – predisposto dal legislatore, che postula il citato dislivello normativo, in talune evenienze non si può certo consentire che i diritti dell’interessato siano elusi o violati. In proposito, intendo richiamare una situazione che si sta ripetendo con una qualche frequenza nella prassi bancaria e che presenta una sua elevata criticità, a possibile scapito di coloro i cui dati vengono in considerazione.
È accaduto in svariate occasioni che un intermediario bancario o finanziario abbia proceduto al trattamento dei dati del titolare effettivo per scopi che esulavano dal rapporto continuativo o dall’operazione che ne aveva originato la raccolta e, quindi, si sia posto al di fuori dei limiti dell’ampia declaratoria prevista dall’art. 8 c.2 lett. a) del d.lgs. 196/03, che fonda l’eccezione secondo cui il trattamento a fini antiriciclaggio prescinde dalla necessità del consenso dell’interessato.
Come noto, il titolare effettivo (uno o più, a seconda dell’effettiva situazione giuridica) è il vero beneficiario (c.d. beneficial owner) del contratto di conto corrente, piuttosto che della locazione finanziaria o di una qualsiasi movimentazione che superi la soglia di legge. Oltre a identificare e adeguatamente verificare l’esecutore (se c’è) ed il cliente, occorre infattiche il soggetto tenuto (la banca, in ipotesi) individui il titolare effettivo – sub 1 se riferito a persona fisica, sub 2 se concernente persona non fisica(nota 3) – che è sempre una persona fisica, titolare del negozio o dell’attività in esame, e poi lo identifichi(nota 4).
Addentrandoci negli aspetti operativi, l’art. 7 c. 1 lett. c) del Provvedimento della Banca d’Italia del 3.4.13, prevede che ai fini dell’obbligo di registrazione vadano inseriti nell’archivio unico informatico i seguenti dati e informazioni con riferimento ai legami di cui all’art. 9 c. 2, cioè la data, i dati identificativi del cliente o del soggetto per conto del quale un’operazione è effettuata, i dati identificativi dei titolari effettivi sub 2). Sono “dati identificativi” (per l’art. 1 c. 1 lett. u) del medesimo Provvedimento), il nome e il cognome, il luogo e la data di nascita, l’indirizzo, gli estremi del documento di identificazione e il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e il codice fiscale. I successivi artt. 9 e 13 del citato Provvedimento dispongono rispettivamente in materia di registrazione del titolare effettivo (nota 5) e di protezione dei dati e delle informazioni (nota 6).

(Il testo continua)

giuseppe_roddi_2_0_0

Note al testo

  1. L’acquisizione dei dati trova fondamento nella informativa precontrattuale prevista dall’art. 13 del d.lgs. 30.6.2003 n. 196, Codice in materia di protezione dei dati personali. La norma che scrimina – e consente – il trattamento a fini antiriciclaggio, senza la necessità del consenso dichiarato, è il successivo art. 8 c. 2 lett. a).
  2. V. Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio (10.9.2009), relativo alle segnalazioni di operazioni sospette.
  3. L’art. 1 c. 1 lett. t) del Provvedimento della Banca d’Italia del 3.4.13, recante disposizioni attuative per la tenuta dell’archivio unico informatico e per le modalità semplificate di registrazione di cui all’art. 37, cc. 7 e 8, del d.lgs. 21.11.2007, n. 231 distingue due tipi di “titolare effettivo”, rispettivamente, 1) la persona o le persone fisiche per conto delle quali il cliente realizza un'operazione (in breve, “titolare effettivo sub 1”); 2) nel caso in cui il cliente e/o il soggetto per conto del quale il cliente realizza un’operazione siano entità diverse da una persona fisica, la persona o le persone fisiche che, in ultima istanza, possiedono o controllano l’entità, ovvero ne risultano beneficiari secondo i criteri di cui all’Allegato tecnico del decreto antiriciclaggio (in breve, “titolare effettivo sub 2”). Il “decreto antiriciclaggio” è il d.lgs. 21 novembre 2007, n. 231 Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione, legge fondamentale in materia.
  4. Non necessariamente di presenza, come invece è richiesto per esecutore e cliente.
  5. Art. 9 (Registrazione del titolare effettivo) 1. L’eventuale titolare effettivo sub 1) va rilevato nel “tipo informazione 9” secondo le modalità indicate nell’allegato n. 2 Standard tecnici. 2. Quando il cliente o il soggetto per conto del quale è effettuata un’operazione è un’entità diversa da persona fisica, il titolare effettivo sub 2 di tale entità va rilevato con un’autonoma registrazione rappresentativa del legame con l’entità controllata o posseduta secondo le modalità indicate nell’allegato n. 2 Standard tecnici. 3. Per la registrazione dei rapporti continuativi intrattenuti e delle operazioni disposte dai soggetti di cui all’art. 2, comma 1, lett. o), i destinatari, con le modalità indicate negli standard tecnici, procedono: a) in presenza di un rapporto riconducibile a una pluralità di fiducianti, a inserire i dati identificativi del fiduciante cui è riferita l’operazione ne l “tipo informazione 9”; b) in presenza di un rapporto riconducibile a un solo fiduciante, a inserire i dati identificativi del fiduciante cui è riferito il rapporto nel “tipo informazione 9”. 4. Nel caso di operatività con enti creditizi o finanziari insediati in Stati extracomunitari (cfr. “provvedimento sull’adeguata verifica”, parte VI, sezione I) ove il destinatario lo ritenga necessario ai fini dell’assolvimento degli obblighi di adeguata verifica e di segnalazione di operazioni sospette, sono registrati i dati del soggetto per conto del quale l’ente creditizio o finanziario svolge l’operatività, secondo le disposizioni del presente articolo.
  6. Art. 13 (Protezione dei dati e delle informazioni) 1. Agli obblighi di registrazione si applicano le disposizioni previste dall’articolo 11 del codice in materia di protezione dei dati personali. 2. Gli intermediari devono rilasciare ai clienti informativa idonea ad assolvere agli obblighi previsti dall’articolo 13 del codice in materia di protezione dei dati personali. 3. L’adempimento degli obblighi di registrazione costituisce “trattamento dei dati”, come definito nel primo comma lettera a) dell’articolo 4 del codice in materia di protezione dei dati personali. Le operazioni di trattamento sono effettuate dagli incaricati del trattamento che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni da questi impartite. L’individuazione degli incaricati del trattamento è effettuata con le modalità di cui all’articolo 30 del codice in materia di protezione dei dati personali. 4. Nella tenuta dell’archivio unico informatico, i destinatari sono tenuti al rispetto degli obblighi e delle misure di sicurezza contenuti negli articoli da 31 a 36 del codice in materia di protezione dei dati personali.

Allegato

  • Giuseppe Roddi, “Elementi di tutela privacy nel trattamento dei dati del titolare effettivo”, marzo 2014, pdf  (254 K, 4 pp.)
ComplianceNet: