Decreto di recepimento della V Direttiva antiriciclaggio – Prima parte
Il decreto legislativo n. 125 del 2019 ha dato attuazione alla V direttiva antiriciclaggio ed è entrato in vigore il 10 novembre 2019.
Esso contiene ampliamenti richiesti dalla citata direttiva – soprattutto con riferimento ai pagamenti in forma anonima e alle nuove forme di pagamento – e correttivi imposti dalla procedura di infrazione contro l’Italia per l’incompleto recepimento della IV direttiva; ampliamenti e correttivi che vengono inseriti nel nostro ordinamento giuridico, in particolare, integrando e modificando il noto Dlgs. 231 del 2007.
Sintesi
Il decreto legislativo 4 ottobre 2019, n. 125 è stato pubblicato sulla Gazzetta ufficiale n. 252 del 26/10/2019, cui sono seguiti due errata corrige.
Questo decreto recepisce nel nostro ordinamento la V direttiva antiriciclaggio e opera quei correttivi richiesti dalla Commissione europea nel corso della procedura di infrazione contro il nostro Paese per il non completo recepimento della precedente IV direttiva del 2015 sullo stesso tema.
La V direttiva, diversamente dalla IV, viene recepita in corso di piena applicazione del Regolamento privacy, per cui l’attuale disciplina nazionale di recepimento, che già in precedenza mostrava numerosi punti di contatto con quella della protezione dei dati personali, solleva ulteriori interrogativi di corretto bilanciamento tra i due settori.
Precedenti
In materia di contrasto del riciclaggio di danaro di illecita provenienza, sono state emanate – in successione – numerose direttive: da ultimo la direttiva 2015/849/UE (detta IV direttiva) recepita col decreto legislativo n. 90 del 2017 e la 2018/843/UE (del 30 maggio 2018, detta V direttiva) recepita col Dlgs. n. 125/2019 oggetto di questa puntata.
Obblighi antiriciclaggio
L’obiettivo fondamentale della disciplina è la tracciabilità dei flussi finanziari e, a tal fine, sono previsti obblighi (ed eventuali sanzioni con particolare riguardo a violazioni dell’obbligo di adeguata verifica della clientela, di conservazione dei documenti, di segnalazione di operazioni sospette e di controlli interni) a carico di operatori qualificati.
La principale prescrizione, cui i cosiddetti “soggetti obbligati” sono tenuti a ottemperare, è la segnalazione delle operazioni sospette, vale a dire le transazioni a contenuto finanziario che, in base a determinati indicatori prestabiliti, inducano a far ritenere che costituiscano modalità di riciclo o di reimpiego.
Ambito soggettivo
La platea dei soggetti obbligati comprende numerose categorie di titolari (operatori finanziari, revisori legali, liberi professionisti, pubbliche amministrazioni, ecc.) cui si aggiungono, da ultimo, i prestatori di servizi di cambio tra valute virtuali e valute legali, i prestatori di servizi di portafoglio digitale, i soggetti che commerciano opere d’arte o che agiscono in qualità di intermediari.
UIF
L’Unità di Informazione Finanziaria è l’autorità centrale antiriciclaggio, subentrata all’Ufficio Italiano Cambi (UIC), è stata istituita dal Dlgs. 231/2007 ed ha iniziato ad operare nel 2008, in posizione di indipendenza e autonomia funzionale, presso la Banca d’Italia.
L’articolo 13-bis di nuovo conio, che il decreto legislativo n. 125/2019 ha inserito nel Dlgs. 231/2007, nel disciplinare la cooperazione dell’UIF con le Unità di altri Paesi (Financial Intelligence Unit – FIU) sembra non essere del tutto conforme al GDPR – come evidenziato dallo stesso Garante nel parere rilasciato (v. in seguito) – per alcuni profili come:
- la disciplina del trattamento da parte UIF per finalità ulteriori rispetto a quelle per le quali le informazioni sono fornite dalle FIU, previo consenso di queste ultime, in quanto non in linea col principio di limitazione della finalità [art. 5, par. 1, lett. b) del GDPR]
- la mancata adozione di regole specifiche per l’utilizzo di canali protetti di comunicazione, in ottemperanza al principio di integrità e riservatezza e all’obbligo di garantire un livello di sicurezza adeguato al rischio [artt. 5, par. 1, lett. f), e 32 del GDPR].
Attività consultiva del Garante
Il Garante ha reso a suo tempo parere sullo schema di decreto legislativo con il quale è stato effettuato il primo recepimento della direttiva (UE) 2015/849 (parere n. 125 del 9 marzo 2017, doc. web n. 6124534).
Successivamente, l’Autorità ha rilasciato il parere in merito allo schema del decreto legislativo n. 125/2019 (parere n. 150 del 24 luglio 2019, doc. web n. 9126288)
Antiriciclaggio e data protection
La necessità di incentivare la segnalazione di operazioni sospette, di tutelare i segnalanti e il contenuto delle segnalazioni, di individuare i soggetti coinvolti, di identificare i titolari effettivi, pone la disciplina dell’antiriciclaggio in stretto collegamento con quella della protezione dei dati personali.
La direttiva (UE) 2015/849, al riguardo, pone l’accento sulla necessità di rispettare i diritti fondamentali delle persone e i princìpi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea, il cui articolo 8 garantisce ad ogni individuo il diritto alla protezione dei dati personali che lo riguardano (considerando 43).
Anche la direttiva (UE) 2018/843 richiama il rispetto dell’attuale quadro giuridico dell’Unione in materia di protezione dei dati, con particolare riferimento al Regolamento (UE) 2016/679 (considerando 38 e 40).
Disciplina dei dati personali per finalità antiriciclaggio
Il Dlgs. 231/2007 riporta la clausola generale di rispetto del Codice e impone ai soggetti obbligati di assicurare «che il trattamento dei dati acquisiti nell’adempimento degli obblighi di cui al presente decreto avvenga, per i soli scopi e per le attività da esso previsti e nel rispetto delle prescrizioni e delle garanzie stabilite dal Codice in materia di protezione dei dati personali» [art. 3(9)].
GDPR e antiriciclaggio
Il Regolamento (UE) 2016/679, in via speculare, tiene conto della disciplina antiriciclaggio in quanto annovera fra gli «obiettivi di interesse pubblico generale …… di uno Stato membro …. un rilevante interesse economico o finanziario…anche in materia monetaria, di bilancio e tributaria», la cui salvaguardia consente limitazioni ai diritti degli interessati [art. 23, par. 1, lett. e), Reg.].
Base giuridica per le autorità di vigilanza
La direttiva (UE) 2015/849 – la quale espressamente assoggetta il trattamento dei dati personali per finalità di antiriciclaggio alla direttiva 95/46/CE (art. 41 e considerando 41 e 42) – sottolinea che tale trattamento, ai fini della disciplina sulla protezione dei dati personali, trova la propria base giuridica nell’interesse pubblico rilevante da parte di tutti gli Stati membri (art. 43).
Per corrispondere a tale disposizione e ad una precisa richiesta della Commissione europea, il Dlgs. 125/2019 esplicita che il trattamento dei dati personali per finalità di antiriciclaggio è considerato di interesse pubblico nell’ambito delle garanzie previste dal Regolamento (UE) 2016/679 [art. 1(1)(i)]. Pertanto, i trattamenti di dati personali effettuati dalle autorità di vigilanza di settore – mediante l’attribuzione di un profilo di rischio ai soggetti obbligati, anche persone fisiche, per determinare la frequenza e l’intensità dei controlli – si fondano sulla base giuridica della necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri [art. 6(1)(e) del GDPR].
Base giuridica per i soggetti obbligati
I soggetti obbligati, tenuti a effettuare l’adeguata verifica della propria clientela, sono titolari del trattamento dei pertinenti dati personali per finalità di antiriciclaggio.
L’attività svolta dai soggetti obbligati trova la propria base giuridica nella necessità di adempiere ad un obbligo legale [art. 6(1)(c) GDPR] che si fonda sul diritto dell’Unione e dello Stato membro cui è soggetto il titolare [art. 6(3) GDPR].
Bilanciamento di interessi
Per entrambi i trattamenti delle autorità di vigilanza e per i soggetti obbligati, il GDPR, nel rispetto del principio di liceità del trattamento, impone al legislatore di contemperare l’interesse pubblico del contrasto al riciclaggio o al finanziamento del terrorismo, col diritto alla protezione dei dati [art. 6(3) GDPR].
Il Regolamento prevede che la base giuridica dovrebbe anche «contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto».
Di questo specifico bilanciamento – declinato al paragrafo 3 dell’articolo 6 del Regolamento in cui si ricorda che l’obiettivo dell’interesse pubblico deve essere proporzionato all’obiettivo legittimo perseguito – non sembra trovarsi traccia nei decreti attuativi delle direttive europee di settore, incluso il Dlgs. 125/2019.
Rosario Imperiali @Ros_Imperiali