Tra le informazioni da raccogliere nel corso delle verifiche in materia di antiriciclaggio, vi sono dati personali come quelli anagrafici (dati comuni), e dati particolari relativi all’appartenenza politica per l’identificazione delle “persone politicamente esposte”. Ai fini dell’attribuzione del livello di rischio i soggetti obbligati sono tenuti altresì a raccogliere anche informazioni pregiudizievoli, ad esempio su eventuali condanne penali. Utile quindi approfondire come questa attività possa essere svolta in compliance al GDPR.
Indice degli argomenti
Base giuridica trattamento dati antiriciclaggio e finalità del trattamento
In tale contesto di protezione si pone uno dei principi fondamentali del trattamento dei dati personali, per il quale ogni operazione applicata ai dati personali deve necessariamente essere vincolata ad una specifica finalità, nonché “legittimata” da almeno una condizione individuata dal legislatore europeo e/o nazionale, ossia la “base giuridica del trattamento”.
Ai sensi del GDPR, è possibile ipotizzare tre categorie di dati personali: i dati personali c.d. comuni (ad esempio nome, cognome, indirizzo); i dati personali c.d. particolari di cui all’articolo 9, GDPR (gli ex “dati sensibili”, tra cui i dati sulla salute, sulle opinioni politiche, sulle convinzioni religiose); i dati c.d. giudiziari di cui all’articolo 10, GDPR, relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Come detto, il trattamento di ognuna di queste categorie di dati personali deve essere vincolato ad una specifica finalità e ad una condizione di liceità del trattamento, con la precisazione che il GDPR e la normativa nazionale prevedono basi giuridiche differenziate in ragione della categoria di dati personali che si intende trattare.
Adeguata verifica della clientela e trattamento dei dati personali
Fatta questa doverosa premessa, si consideri adesso il trattamento di dati personali effettuato in adempimento degli obblighi di adeguata verifica della clientela di cui al D.lgs. 231/2007 in materia di antiriciclaggio e contrasto al finanziamento del terrorismo.
I destinatari della normativa antiriciclaggio (c.d. “soggetti obbligati”) sono chiamati a predisporre presidi volti ad impedire l’immissione nel circuito economico finanziario o imprenditoriale di denaro quale provento di fattispecie criminose.
Tra questi presidi, l’adeguata verifica della clientela ha un impatto significativo sul trattamento dei dati personali. Il corretto assolvimento degli obblighi di adeguata verifica presuppone, infatti, un approccio basato sul rischio tale da determinare un “livello di rischio” che risulterà tanto più alto quanto meno trasparenti risultino le informazioni ottenute dai clienti sottoposti a verifica.
L’errore sull’obbligo legale come condizione di liceità
Ora, la quasi totalità dei soggetti obbligati iscrive la condizione di liceità per il trattamento dei dati personali “comuni”, particolari e giudiziari per finalità antiriciclaggio nella previsione dell’adempimento di un “obbligo legale”.
A ben vedere, il Regolamento Europeo 2016/679 prevede tale base giuridica esclusivamente per i dati c.d. “comuni”. L’erronea individuazione della condizione di liceità comporta che il trattamento dei dati particolari e giudiziari risulta posto in essere in assenza di una idonea base giuridica del trattamento e dunque illegittimo, esponendo così il soggetto obbligato (rectius “Titolare del trattamento”) al rischio di sanzioni fino a venti milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
In quali condizioni, allora, i soggetti obbligati sono autorizzati a trattare i dati personali per l’adeguata verifica Anti Money Laundering senza incorrere in violazioni della normativa a tutela dei dati personali?
GDPR, D.lgs. 231/2007 e condizioni specifiche di trattamento
Per risolvere tale dilemma normativo interviene il legislatore europeo, che al Considerando 10 del GDPR stabilisce: “Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. […]. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito”.
Ebbene, proprio il D.lgs. 231/2007 in materia di antiriciclaggio e il D.lgs. 196/2003 stabiliscono quelle “condizioni per specifiche situazioni di trattamento” richiamate dal Considerando 10, GDPR, sopra visto.
Dati comuni, particolari e giudiziari nell’antiriciclaggio
In relazione alle categorie di dati personali comuni e particolari, la normativa antiriciclaggio all’art. 2 comma 6-bis stabilisce che “il trattamento dei dati personali effettuato per le finalità [antiriciclaggio] è considerato di interesse pubblico ai sensi del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio e della relativa normativa nazionale di attuazione.”
Quanto ai dati giudiziari, non espressamente richiamati dal decreto 231/2007, ma raccolti dai soggetti obbligati ai fini della determinazione del “livello di rischio”, il D.lgs. 196/2003 prevede all’articolo 2-octies, comma 3, lett. m) che “[…] il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: […] m) l’adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo […]”.
Informativa privacy AML e basi giuridiche corrette
In conclusione, nella redazione di un’idonea informativa sul trattamento dei dati personali da consegnare all’interessato nel rispetto dell’articolo 13, GDPR, i soggetti obbligati indicheranno nell’interesse pubblico la base giuridica per il trattamento dei dati personali comuni e particolari, ai sensi dell’art. 6 par 1. lett. e) ed art. 9 par. 2 lett. g) GDPR, in ottemperanza a quanto stabilito dalla normativa nazionale antiriciclaggio.
Per i dati giudiziari, invece, sarà necessario il riferimento all’art 2-octies, comma 3, lett. m) del D.lgs. 196/2003.
Restano fermi gli obblighi informativi e di accountability in tema di profilazione.
