Pubblicato il di SDF

Consenso e antiriciclaggio

Consenso e antiriciclaggio

I principii di liceità del trattamento in ambito antiriciclaggio alla luce del GDPR

Tra i punti più critici di un sistema di gestione della privacy negli studi dei professionisti soggetti agli obblighi antiriciclaggio vi è certamente l’assetto documentale composto dal mandato professionale, dall’informativa e dal modulo di raccolta del consenso.

Questi tre documenti devono essere coerenti tra loro e, nell’ambito delle attività canoniche svolte per adempiere agli obblighi antiriciclaggio, se il primo e il secondo devono essere presenti, il terzo può essere superfluo.

Questo principio era già espresso nel fu art. 24 del codice privacy, che permetteva il trattamento dei dati senza consenso quando fosse necessario per adempiere a un obbligo di legge o fosse necessario per l’adempimento di un contratto di cui l’interessato fosse una delle parti.

Oggi, il GDPR consolida questo assunto ribadendo questi due aspetti e inserendone un terzo: con il Regolamento, il trattamento (legato all’antiriciclaggio) è lecito nella misura in cui sia necessario per l’esecuzione di un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il codice privacy, inoltre, interviene con il suo art. 2-octies, introdotto con l’ultima modifica apportata dal Dlgs 101/2018, andando a specificare direttamente quali siano le basi giuridiche applicabili per il trattamento lecito di dati personali relativi a condanne penali o reati e includendo esplicitamente l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo (tra l’altro, il successivo art. 2-undecies prevede che i diritti degli interessati siano sottoposti a limitazione a norma dell’art. 23 del GDPR, proprio per tutto ciò che è afferente all’antiriciclaggio).

Nell’ambito di un rapporto continuativo e professionale, svolto da un dottore commercialista o da un esperto contabile o da un professionista equiparabile, quindi, si osservano tutti e tre i criteri sopra citati:

  1. Il trattamento è contemplato nel mandato professionale o nel contratto di servizio e la prestazione resa è per definizione un trattamento di dati personali, oppure il trattamento ne è una parte estremamente rilevante (si pensi all’elaborazione della dichiarazione dei redditi o alla tenuta della contabilità di una ditta individuale).
  2. Il trattamento è richiesto ai soggetti obbligati dalla normativa antiriciclaggio, che non possono esimersi, con particolare riferimento al censimento e all’adeguata verifica della clientela attraverso l’approccio basato sul rischio che, talvolta, può comportare anche la profilazione o la segnalazione agli enti di controllo, su tutti la UIF o gli ordini professionali che possono fare da intermediari.
  3. Le attività richieste ai soggetti obbligati dal decreto antiriciclaggio sono, nello spirito della norma, compiti d’interesse pubblico nella misura in cui è richiesto di osservare le caratteristiche e i comportamenti della clientela e segnalare le operazioni sospettate di agevolare lo sfruttamento del sistema economico e finanziario per agevolare il riciclaggio e il terrorismo.

Ne consegue che, a ben vedere, i professionisti si trovano nella condizione piuttosto singolare di non dover acquisire il consenso al trattamento e, talvolta, poter ignorare l’esercizio dei diritti degli interessati se compiuto in contrasto con le norme antiriciclaggio e questo perché la base giuridica su cui si fonda il loro trattamento è costituita principalmente dal Dlgs 231/2007, dalle varie direttive antiriciclaggio, dai vari decreti attuativi e dagli altri atti normativi in materia, così come dalle procedure determinate dalla UIF o degli ordini professionali di riferimento, ugualmente applicabili e, in seconda battuta, dal già citato art. 2-octies, co. 3, lett. m) del Dlgs 196/2003.

Chiaramente, il presupposto irrinunciabile è che il mandato professionale sia scritto in modo adeguato, cosa che può portare vantaggi anche nel momento in cui è necessario assumere il ruolo di responsabile del trattamento dei dati, a norma dell’art. 28 del GDPR.

Altrettanto chiaro è che quanto espresso sinora non può e non deve essere applicato ai trattamenti effettuati al di fuori del perimetro tracciato dalle norme in materia di antiriciclaggio, ma afferisce a servizi o prestazioni offerte volontariamente e a discrezione del professionista.

Fonte: Fiscal Focus