L’adozione dei presidi in materia di tutela dei dati personali può facilitare il commercialista anche nella compliance alla normativa antiriciclaggio. Infatti, i commercialisti nelle loro operazioni quotidiane sono tenuti all’adeguamento, tra le altre, a due normative che seppur apparentemente distanti tra di loro ad un’analisi più approfondita risultano sottilmente connesse: gli obblighi discendenti dalla normativa antiriciclaggio e gli obblighi in materia di privacy. Vediamo qual è la situazione.
Il contesto normativo
Gli obblighi antiriciclaggio, introdotti dal D.lgs. 231/2007, costituiscono un presidio volto a prevenire ed identificare i fenomeni di riciclaggio, di importanza fondamentale per tutto il sistema economico e finanziario. Dal primo gennaio scorso sono operative le Regole tecniche del Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili (in breve Cndcec) rivolte agli iscritti all’Albo dei Dottori Commercialisti e degli Esperti Contabili e che hanno ad oggetto gli adempimenti antiriciclaggio cui sono soggetti i dottori commercialisti, in particolare: obbligo di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni. Come detto in premessa altri obblighi cui sono soggetti i dottori commercialisti sono quelli riguardanti la normativa in materia di tutela dei dati personali, e lo sono sia per i trattamenti di cui sono titolari che per i trattamenti di cui sono responsabili.
Brevemente, occorre chiarire che il dottore commercialista agisce come titolare ogni qualvolta i trattamenti di dati discendono da attività demandate dal cliente e che quest’ultimo non può svolgere autonomamente, mentre è ritenuto responsabile del trattamento nello svolgimento di trattamenti di dati per conto di un altro titolare che potrebbe, a sua volta, svolgere le attività che gli demanda, ad esempio nel caso in cui un CAF gli affidi le pratiche dei suoi clienti.
L’approccio basato sul rischio
L’approccio basato sulla valutazione del rischio è il primo elemento che accomuna la compliance alle due normative. Le regole tecniche esigono dai professionisti destinatari degli obblighi antiriciclaggio un approccio basato sul rischio, richiedendo sia una autovalutazione del rischio sia una valutazione del rischio relativo alle operazioni svolte dal cliente. Il GDPR, dal canto suo, richiede ai titolari un approccio proattivo e la dimostrazione costante dell’applicazione di misure di sicurezza adeguate (cd. principio di accountability). E come può ogni singolo titolare individuare le misure di sicurezza adeguate ai trattamenti che pone in essere? Attraverso la valutazione del rischio, come chiarito dal considerando 76 del GDPR. Difatti il titolare del trattamento è tenuto a porre in essere misure adeguate ed efficaci nonché ad essere in grado di dimostrare l’efficacia delle misure e la compliance delle attività di trattamento alla normativa. Nella individuazione delle misure il professionista tiene in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché il rischio per i diritti e le libertà delle persone fisiche.
Entrambe le norme richiedono al professionista di cambiare modus operandi e conseguentemente di introdurre nella quotidianità delle proprie operazioni una nuova metodologia di lavoro e di approccio alla compliance. L’adozione di un approccio basato sul rischio consente al professionista di identificare gli eventi attraverso cui potrebbe verificarsi l’evento negativo, che sia il riciclaggio o la perdita/danneggiamento di dati, e conseguentemente di valutarli, analizzarli e stabilire le azioni per ridurre l’esposizione al rischio stesso attraverso l’individuazione di correttivi e delle misure più idonee a prevenire i rischi stessi.
Conservazione dei dati e delle informazioni
La regola tecnica numero 3 richiede ai commercialisti, al fini di impedire la perdita o la distruzione dei documenti e di garantire nel tempo integrità, leggibilità e reperibilità dei documenti, la corretta conservazione dei dati raccolti nell’adempimento degli obblighi antiriciclaggio. Il GDPR all’art. 5 elenca i principi generali da osservare nel trattamento dei dati personali, richiedendo, tra l’altro, la integrità e riservatezza dei dati, ovvero richiede al titolare ed al responsabile di trattare i dati “ in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. È quindi evidente che logica sottesa alle due normative abbia la stessa finalità: garantire l’integrità del dato. Come può il commercialista nell’adempiere agli obblighi di cui alle regole tecniche, e quindi alla normativa antiriciclaggio, garantire l’integrità e riservatezza del dato? Sicuramente applicando puntualmente le prescrizioni della normativa in materia di tutela dei dati personali. Innanzitutto, al fine di minimizzare l’esposizione al rischio di perdita dei dati il commercialista dovrà stabilire i tempi di conservazione dei dati in relazione a quanto richiestogli dalla norma, anche tenendo in considerazione che i commercialisti nell’espletare l’adeguata verifica della clientela richiedono, tra gli altri dati, copia del documento di identità.
La conservazione del documento di identità richiede l’implementazione di misure di sicurezza ulteriori in quanto espone a rischi maggiore, ad esempio potrebbe essere utilizzato per furti di identità. Ai sensi dell’art. 82 del GDPR in materia di diritto al risarcimento e responsabilità del titolare e del responsabile, questi ultimi potrebbero essere chiamati a risarcire un eventuale danno subito dagli interessati a seguito della sottrazione della copia del documento di identità. Il GDPR prevede appunto che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento stesso possa agire per ottenere il risarcimento del danno, violazione che in questo caso si concretizzerebbe nel mancato rispetto dei principi generali di cui all’art. 5 e degli articoli relativi all’adozione di misure di sicurezza adeguate. Saranno poi i professionisti stessi a dover dimostrare che il danno non è loro imputabile, per via dell’inversione dell’onere probatorio.
Le regole tecniche, con lo scopo di impedire perdite di dati, impongono ai commercialisti l’individuazione dei responsabili per la conservazione dei dati, anche appunto ai fini del rispetto della normativa in materia di protezione dei dati personali. Questa prescrizione dell’ODCEC richiede, quindi, la individuazione di un soggetto all’interno dello studio che sia, ai sensi dell’art. 29 del GDPR, autorizzato al trattamento di quei specifici dati relativi al ruolo effettivamente svolto, e quindi al trattamento concretamente posto in essere. A tale autorizzazione, la quale si traduce in un atto di nomina, il commercialista dovrà affiancare la formazione del dipendente, sia in materia di tutela dei dati personali e sia in materia di antiriciclaggio. Chiaramente, oltre a questa nomina, il professionista è tenuto a nominare e fornire la formazione a tutti i soggetti che trattano dati all’interno dello studio, inclusi i soggetti incaricati degli altri obblighi antiriciclaggio, con particolare attenzione a chi è incaricato di svolgere l’adeguata verifica del cliente. È evidente che il professionista non potrà in alcun modo fare ricorso a nomine privacy generiche o “prestampate”, ma dovrà autorizzare al trattamento ogni dipendente con una nomina “su misura”. Per ciò che concerne il rapporto diretto col cliente, questo ultimo dovrà inoltre essere informato che il trattamento dei propri dati, oltre alle finalità generali della consulenza, sarà finalizzato anche agli adempimenti antiriciclaggio. Tale finalità dovrà essere quindi inserita nella informativa fornita ai clienti, precisando anche tutti gli altri elementi richiesti dall’art. 13 del GDPR, compresa la base giuridica la quale è individuabile nell’obbligo legale a cui è soggetto il titolare del trattamento.
Conclusione
Sebbene attuare la compliance alle normative privacy ed antiriciclaggio crei non pochi grattacapi ai professionisti destinatari degli obblighi, la loro implementazione attraverso un azione di adeguamento di ampio respiro che tenga conto di quanto richiesto dal D.lgs. 231/2007 e dal GDPR e Codice Privacy novellato, senz’altro potrà aiutare i professionisti stessi a costruire un modello di “compliance integrato” si basi su una nuova metodologia di lavoro e renda meno difficoltoso l’adempimento quotidiano.
