L’attività richiesta dalla normativa antiriciclaggio non può costituire una giustificazione per attuare politiche di profilazione dei clienti tramite l’acquisizione di dati eccedenti.
Partendo da una “storia vera”, cerchiamo allora di capire quanto è davvero invasiva in termini di raccolta informazioni la normativa antiriciclaggio e anche se, nel caso in cui fosse lecito una raccolta estesa, non si ponga in essere una violazione dei principi di informazione e trasparenza su cui si fonda il GDPR.
Banche e carte di credito, anno domini 2020
Banca XXX, recentemente, allo sportello.
“Mi scusi, vedo che non ha compilato il modulo per l’antiriciclaggio, lo facciamo insieme. Reddito annuo?”
“Mi scusi, ma perché lo chiede?”
“No, non siamo noi. È la Banca d’Italia che ce lo chiede, strano che non avesse già provveduto”
“Giusto per mia comprensione: quindi la Banca d’Italia chiede a voi, quale banca presso la quale ho un conto corrente, di acquisire i miei dati personali per obblighi legati alle attività di contrasto al riciclaggio? È questa la base di trattamento del dato che state facendo? No, perché non vedo informative privacy qui a chiarimento…”
La persona allo sportello interrompe la compilazione appena avviata, chiude la finestra, e aggiunge “Va bene, allora lo farà più avanti, tanto la contatteranno perché questa cosa è obbligatoria”
Pareva che fosse finita qui la questione, ma -pressoché in contemporanea- arriva la perentoria richiesta di un gestore di carte di credito, che sollecita l’aggiornamento dei dati anagrafici, evidenziando l’assoluta urgenza e necessità, in particolare il rischio di sospensione della carta stessa in caso di inadempimento!
Occorre dire che, per le modalità di comunicazione (normale mail) e contenuto (rischio di sospensione la carta), per deformazione professionale il primo istinto è quello di cancellare la mail, sulla quale mentalmente era già stata apposta l’etichetta ‘phishing’. In realtà, a valle di alcune puntuali verifiche, si giungeva a concludere che la richiesta proveniva realmente dal gestore della carta di credito!
Armati di buona volontà, proviamo quindi a compilare il modulo con i dati richiesti, e dopo aver inserito i dati anagrafici, il documento di identità e altre informazioni, appare un’inattesa sezione da compilare col generico titolo di “informazioni aggiuntive”.
Come nel caso della banca, anche qui viene chiesto il reddito, la sua provenienza, la professione, il nome dell’azienda e altro ancora. A proposito: il pulsante “INVIA” non diventa attivo finché non sono stati compilati tutti i campi, obbligando quindi alla completa compilazione di tutte le informazioni richieste.
L’informativa per i trattamento dati
L’informativa per il trattamento di tutti questi dati è piuttosto scarna, si limita a richiamare gli art. 13 e 14 del Regolamento Europeo per la protezione dei dati, con un generico riferimento all’”adempimento degli obblighi legali in materia di antiriciclaggio”, ma senza maggiori indicazioni o dettagli. Non è dato sapere, neppure, a quale normativa puntuale debba rispondere detto asserito obbligo.
Anche perché il GDPR prevede -tra le basi giuridiche del trattamento- quella fondata su obblighi contrattuali o normativi, e pertanto potrebbe apparirebbe legittima, sebbene -comunque- dovrebbe sempre essere accompagnata da un’adeguata informativa.
A ben vedere, qui l’informativa non parrebbe così adeguata al caso: il link inserito rimanda infatti alla privacy policy più generale del sito web del gestore.
Cosa prevede la normativa antiriciclaggio
L’unica domanda che quindi rimane da porre è “ma davvero la normativa antiriciclaggio prevede una raccolta di informazioni così invasiva?” e anche nel caso in cui ciò fosse permesso è giustificabile una violazione dei principi di informazione e trasparenza su cui il GDPR si fonda?
Ovviamente non possiamo non prendere in considerazione le “disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo” del 30 luglio 2019 che rappresentano il punto di partenza per capire:
- tipologia di dati raccolti;
- approccio basato sul rischio;
- punti di raffronto con la tutela e la Protezione dei dati, anche seguito dei recenti pareri dell’Autorità Garante
All’interno della normativa stessa infatti sono ben espressi gli obblighi relativi alla raccolta del dato ma con un monito ben preciso: “La profondità e l’estensione delle verifiche sono correlate al profilo di rischio.”
E, dunque, la pertinenza dei dati raccolti e l’estensione delle verifiche deve essere giustificata dal profilo di rischio, con l’attenzione che un’indiscriminata acquisizione di dati non solo non è prevista ex D.Lgs 231/2007 che specificatamente indica quando e cosa chiedere, ma viola anche e soprattutto i principi fondamentali posti alla base della pertinenza, adeguatezza e non eccedenza della raccolta del dato (cfr. art. 5 del GDPR).
Ovviamente e in relazione alla relativa valutazione del rischio e alla possibilità di operare secondo modalità semplificate o rafforzate di adeguata verifica è la stessa normativa a porre in luce i dati da raccogliere.
Infatti, nell’ipotesi di modalità di adeguata verifica semplificata -che è possibile ove sussistano i cosiddetti “fattori di basso rischio” (come opportunamente definiti nell’allegato 1 delle disposizioni in parola) – sarà possibile trattare dati in modo ridotto e limitato.
Si ricorda sul punto che “[…] Le misure di adeguata verifica semplificata consistono in una riduzione dell’estensione ovvero della frequenza degli adempimenti previsti nella Parte Seconda, avendo riguardo a: […] la riduzione delle informazioni da raccogliere. Ad esempio, i destinatari possono: i) effettuare la verifica dei dati relativi al titolare effettivo sub 2) acquisendo una dichiarazione di conferma dei dati sottoscritta dal cliente, sotto la propria responsabilità; ii) utilizzare presunzioni per individuare lo scopo e la natura del rapporto continuativo, laddove il prodotto offerto sia destinato a uno specifico utilizzo (es., credito al consumo, fondo pensionistico aziendale) […]”.
Mentre, nel caso in cui ci si trovi nell’ambito dell’adeguata verifica rafforzata sarà possibile acquisire una maggiore quantità di informazioni, ma sempre nei limiti imposti da normativa. Sul punto si ricorda che: “[…] Le misure possono consistere: a) nell’acquisizione di una maggiore quantità di informazioni […]” così come anche le indicazioni fornite nell’Allegato 2, lettera A), n. 3) delle Disposizioni analizzate a cui si rimanda.
È chiaro quindi che, indipendentemente dal livello di rischio, il trattamento del dato e la sua relativa raccolta non potrà essere illimitato e il comportamento dei soggetti obbligati dovrà conformarsi ai quei principi di adeguatezza, pertinenza e non eccedenza previsti dal Regolamento stesso.
Si ricorda inoltre come la stessa Autorità Garante per la protezione dei dati con diversi pareri in materia[1] abbia più volte ribadito segnalandone anche le relative criticità che “[…] è necessario che la descrizione degli obblighi di adeguata verifica della clientela debba avvenire in termini precisi e conformi alla direttiva europea, al fine di trattare i soli dati necessari rispetto alle finalità perseguite, con modalità proporzionate, sia per quanto riguarda l´identificazione del cliente o del “titolare effettivo”, sia in relazione alla valutazione del “rischio” di riciclaggio e di finanziamento del terrorismo, nel pieno rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento.[…]
E, concludendo, la disamina delle disposizioni in materia ci potrebbe essere oltre al danno la relativa beffa. Infatti, riportando quanto contenuto nell’Allegato 2 delle Disposizioni in parola si ricorda che la riluttanza “[…]nel fornire le informazioni richieste[…] vengono tenute in considerazione ai fini dell’individuazione del “rischio elevato”.
Dunque, il soggetto che non fornisce le informazioni richieste -benché illegittime ed eccedenti- potrebbe ritrovarsi ad un livello di rischio differente a causa di un operatore che non impronta la sua attività sulla correttezza ed adeguatezza del trattamento.
Conclusioni
Ciò che è certamente chiaro, indipendentemente:
- dal profilo di rischio segnalato;
- dalla tipologia dei dati raccolti;
- dalle modalità operative
è che l’ente verificatore non può e non potrà astenersi dal fornire una corretta informativa ex art. 13 o 14 del GDPR e certamente non potrà confondere cosa vada fornito qualora i dati personali siano raccolti presso l’interessato e cosa quando tali dati non siano raccolti presso di esso (Informativa ex art. 13 non è uguale a Informativa ex art. 14).
Informativa che oltre a dover contenere gli elementi previsti da normativa, tra i quali la base giuridica di trattamento, rappresenta un elemento di fondamentale rilevanza, dovrà sicuramente essere specifica e completa.
L’assunto per il quale l’Informativa deve essere resa “[…]in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro[…]” non può essere una giustificazione per omettere o limitare alcune informazioni di necessaria trasmissione.
Forse sarebbe opportuno che il Garante si esprimesse con ancora più forza rispetto a quanto già fatto in passato in merito ai casi in cui l’attività richiesta dalla normativa antiriciclaggio costituisse una giustificazione per attuare politiche di profilazione dei clienti tramite l’acquisizione di dati eccedenti.
- “Parere su uno schema di decreto legislativo volto ad attuare la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo – 9 marzo 2017 [6124534]” e ancora “Parere sullo schema di decreto legislativo recante modifiche ed integrazioni ai d.lgs. 25 maggio 2017 n. 90 e 92 concernenti la prevenzione dell’utilizzo del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo – 24 luglio 2019 [9126288]” ↑
