Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

vademecum

Antiriciclaggio e GDPR: come integrare la compliance negli studi professionali

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

La compliance tra antiriciclaggio e GDPR richiede un equilibrio concreto tra obblighi di legge e tutela dei diritti. Per gli studi professionali il trattamento dei dati per finalità AML è lecito senza consenso, ma deve restare proporzionato, sicuro e coerente con limiti, finalità e tempi di conservazione

Pubblicato il 7 apr 2026
Luciana Capo

Commissione privacy dell’Ordine dei dottori commercialisti ed esperti contabili di Salerno

e-invoicing e-invoice fattura elettronica documenti
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Nel panorama della digitalizzazione dei servizi professionali, la gestione dei dati personali si trova a dover bilanciare due pilastri normativi spesso percepiti in tensione: la prevenzione del riciclaggio (D.Lgs. 231/2007, in breve AML) e la protezione dei dati personali (Regolamento UE 2016/679, in breve GDPR o privacy).
Infatti, se da un lato la lotta contro il riciclaggio e il finanziamento del terrorismo è riconosciuta come azione di interesse pubblico dagli Stati membri UE, dall’altro persino le autorità competenti e incaricate di indagare o perseguire tali reati devono rispettare le norme relative alla protezione dei dati personali nell’ambito della cooperazione giudiziaria e di polizia in materia penale.
Per quanto concerne gli studi professionali, i trattamenti di dati personali svolti per finalità AML sono leciti, senza necessità di acquisire il consenso del cliente, purché l’attività svolta sia strettamente necessaria all’esecuzione degli obblighi stabiliti dalla legge.
Oltre a ciò, le procedure AML devono essere conformi alla normativa sulla protezione dei dati personali, in modo da garantire i diritti e le libertà degli interessati (clienti o terzi).

Come applicare la compliance integrata AML e GDPR nello studio

Il principio di proporzionalità, cardine del diritto UE, governa l’intero spettro della compliance integrata. Nell’esercizio delle attività professionali che si avvalgono di tecnologie digitali – dove la raccolta dati può diventare massiva – lo studio professionale deve garantire che:

Misure organizzative e presidi operativi

  • l’intensità della vigilanza sia commisurata al rischio AML effettivo;
  • i dati sensibili (dati giudiziari – relativi a condanne penali e reati – e categorie particolari di dati personali, come quelli relativi all’origine etnica, alla salute o alle opinioni politiche) siano trattati esclusivamente entro i perimetri autorizzati dalla legge;
  • le fonti esterne (siti web, pubblici registri o basi dati digitali) utilizzate per l’adeguata verifica siano affidabili e indipendenti;
  • il trattamento dei dati personali rispetti il GDPR.

In pratica nel pianificare e mettere in atto una procedura AML, uno studio professionale deve quantomeno:

Adempimenti essenziali per la gestione dei dati

  1. distinguere i trattamenti basati sulla normativa AML dagli altri (che sono basati invece su leggi diverse o consensi o contratti);
  2. applicare il principio di minimizzazione, raccogliendo solo i dati necessari;
  3. eseguire una valutazione del rischio privacy, qualora vengano utilizzati nuovi software cloud o strumenti ad alto rischio;
  4. formalizzare gli atti di nomina per i Responsabili esterni;
  5. chiedere un impegno di riservatezza ai collaboratori di studio, che devono essere adeguatamente formati;
  6. qualora i dati siano condivisi con altri studi, stipulare un accordo di contitolarità;
  7. redigere un’apposita informativa per i clienti e per i terzi interessati;
  8. approntare una procedura per rispondere tempestivamente (con le limitazioni che vedremo) alle eventuali richieste dei clienti e di terzi;
  9. inviare i dati, soprattutto se sensibili, su canali digitali cifrati (ad esempio, PEC);
  10. qualora si utilizzino servizi cloud, verificarne lo stabilimento all’interno UE.
  11. tenere un registro dei dati trasmessi alle Autorità competenti;
  12. conservare i dati garantendo, oltre ai requisiti in materia AML, anche la protezione privacy.

Le misure tecniche e organizzative devono essere idonee a garantire la protezione dei dati secondo standard tecnologici e politiche aggiornate, perché lo studio professionale nel verificare la clientela assume la responsabilità connessa al ruolo di titolare del trattamento di dati personali.
Particolare attenzione dovrà essere posta con riferimento ai trattamenti che comportino la raccolta di informazioni attraverso altri soggetti, che assumono il ruolo di contitolari o responsabili del trattamento. Questi devono o essere assoggettati al GDPR (rientrando nel suo ambito di applicazione) o comunque applicarlo.
La comunicazione di dati tra soggetti diversi, in via generale, è ammessa solo per i dati comuni, non per quelli sensibili, e può essere effettuata solo se prevista da norme (vale a dire da legge, regolamento o atto amministrativo generale).

Quando la compliance integrata AML e GDPR limita il riuso dei dati

Uno degli aspetti più critici per i professionisti riguarda la possibilità di riutilizzare i dati raccolti per finalità AML.
Sebbene il GDPR permetta, a certe condizioni, un ulteriore trattamento basato sulla compatibilità delle finalità, la normativa antiriciclaggio pone un vincolo più stringente, stabilendo che i dati acquisiti devono essere trattati solo per gli scopi previsti dal D.Lgs. 231/2007.
Resta ferma l’utilizzabilità dei dati a fini fiscali, sebbene tale previsione sia interpretata prevalentemente solo a favore delle Autorità di controllo.
La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste da norme.

Diritti, accesso e limiti nella compliance integrata tra AML e GDPR

In un ambiente digitale, dove l’interessato, in linea di principio, ha il pieno controllo sui propri dati, la normativa AML introduce deroghe significative al GDPR.
L’esercizio dei diritti dei clienti e degli interessati (accesso, rettifica, cancellazione ecc.) non può essere esercitato con richiesta al titolare del trattamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto agli interessi tutelati in base alle disposizioni in materia di riciclaggio.
Ciò si verifica (come si evince dall’art. 39 del decreto AML) per le attività di segnalazione o per indagini in corso o probabili, essendo vietato ai soggetti tenuti alla segnalazione di un’operazione sospetta, e a chiunque ne sia comunque a conoscenza, di dare comunicazione al cliente interessato o a terzi dell’avvenuta segnalazione, dell’invio di ulteriori informazioni richieste dalla autorità UIF o dell’esistenza ovvero della probabilità di indagini o approfondimenti in materia di riciclaggio o di finanziamento del terrorismo.

L’esercizio dei medesimi diritti, in altre ipotesi, può essere ritardato, limitato o escluso dal titolare del trattamento, con comunicazione motivata e resa senza ritardo al cliente (a meno che la comunicazione possa compromettere la finalità della normativa AML).
In tali casi, i diritti dell’interessato possono essere esercitati tramite il Garante per la protezione dei dati personali o con ricorso giurisdizionale.

L’interessato, invece, ha sempre il diritto di ricevere le informazioni di cui agli articoli 13 e 14 del GDPR, con le specificazioni connesse al trattamento per finalità di antiriciclaggio, tra cui, in particolare, una comunicazione generale sugli obblighi giuridici imposti allo studio professionale ai sensi della normativa antiriciclaggio in ordine al trattamento dei dati personali ai fini della prevenzione del riciclaggio e del finanziamento del terrorismo.

L’informativa di cui all’art. 13 dev’essere fornita in occasione di dati raccolti direttamente dall’interessato. In caso di raccolta indiretta, invece, dev’essere fornita l’informativa di cui all’art. 14. Quest’ultima ipotesi si verifica, ad esempio, quando i dati personali sono acquisiti attraverso la consultazione di un sito internet o da un pubblico registro o tramite altri soggetti.

Conservazione dei dati nella compliance integrata AML e GDPR

La conservazione dei dati, che per l’antiriciclaggio è fissata in dieci anni dalla cessazione del rapporto, deve avvenire secondo modalità che garantiscano:

Requisiti minimi di sicurezza e tenuta

  • integrità e non alterabilità dei dati;
  • prevenzione di accessi abusivi o non autorizzati;
  • accessibilità tempestiva da parte delle autorità;
  • protezione contro i data breach.

Formazione, proporzione e responsabilità nella compliance integrata AML e GDPR

La compliance non può prescindere da una visione sistemica, poiché anche (o soprattutto) nel contesto delle misure di antiriciclaggio, i dati personali devono essere trattati in modo lecito e corretto, lungo tutta la filiera del trattamento, e devono essere esatti e, se necessario, aggiornati o corretti. Gli studi professionali, in qualità di soggetti obbligati alle verifiche AML, devono assicurare che le procedure adottate “non escludano, in via preventiva e generalizzata, determinate categorie di soggetti dall’offerta di prodotti e servizi esclusivamente in ragione della loro potenziale elevata esposizione al rischio di riciclaggio o di finanziamento del terrorismo” (art. 16 del decreto).

In caso contrario, potrebbe configurarsi, ad esempio, l’ipotesi di discriminazione nei confronti di persone fisiche sulla base della loro provenienza e si realizzerebbe uno dei rischi che il diritto alla protezione dei dati personali intende prevenire, tutelando i diritti e le libertà delle persone fisiche.

Gli studi professionali devono adottare misure proporzionate ai propri rischi, alla propria natura e alle proprie dimensioni, e formare il proprio personale in relazione agli obblighi cui sono tenuti ai sensi delle normative AML e privacy.
Tale duplice fine dei programmi di formazione deve essere realizzato in modo continuo nel tempo (v. art. 16 del decreto).

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Luciana Capo
Commissione privacy dell’Ordine dei dottori commercialisti ed esperti contabili di Salerno
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

0
Lascia un commento, la tua opinione conta.x