Antiriciclaggio e Privacy: una sfida di compliance per i commercialisti

  • Antiriciclaggio e privacy per i commercialisti: una questione di compliance

Spesso il rapporto tra due normative profondamente diverse è difficile da cogliere e interpretare, ma da un’attenta analisi possono emergere numerosi punti di contatto che rendono le tematiche più vicine di quanto si possa pensare. E’ questo il caso dell’Antriciclaggio e della Privacy. Per il commercialista è importante cogliere questi aspetti e contestualizzarli in un’adeguata compliance di Studio.

La normativa antiriciclaggio assegna ai destinatari un compito di natura prevalentemente pubblicistica, dal momento che si pone come fine la prevenzione e il contrasto del riciclaggio e del finanziamento del terrorismo. Il rapporto tra le disposizioni antiriciclaggio e quelle dedicate alla protezione dei dati personali si fonda, dunque, su un bilanciamento tra gli interessi di natura pubblicistica e il diritto alla riservatezza delle persone. Nel processo di integrazione della tutela della privacy all’interno delle operazioni antiriciclaggio sorgono quindi diverse problematiche di compliance: è evidente come gli ordinamenti di cui si discute si sovrappongono e spesso emergono questioni di coordinamento.

Un buon punto di partenza per cogliere lo stretto rapporto tra Antiriciclaggio e Privacy, è il parere fornito dal Garante per la protezione dei dati personali nella fase di recepimento della IV direttiva.

Recepimento della IV direttiva antiriciclaggio: le osservazioni del Garante Privacy

La normativa comunitaria in materia di antiriciclaggio sottolinea che le attività di raccolta e di archiviazione dei dati personali devono rispettare i principi fondamentali del diritto alla privacy. Il Garante, nella fase dei lavori di recepimento, ha espresso un parere favorevole sullo schema di D.Lgs. presentato, pur facendo alcune osservazioni.

Sebbene la lotta contro il riciclaggio e il finanziamento del terrorismo miri ad un interesse pubblico, l’Autority stabilisce che la raccolta e il successivo trattamento dei dati personali da parte dei soggetti obbligati debbano essere limitati a quanto necessario per conformarsi alla direttiva, evitando così un trattamento per altri scopi, ad esempio per fini commerciali. Il Garante affronta le modalità di trattamento dei dati da parte dell’UIF principalmente in relazione alle segnalazioni di operazioni sospette e chiarisce poi alcuni aspetti legati all’adeguata verifica della clientela. Dal momento che la normativa introduce il concetto della “veridicità dei dati”, il Garante affronta l’ipotesi in cui emergano perplessità sui dati identificativi forniti dal cliente, prevedendo che il riscontro della veridicità venga effettuato tramite la consultazione del sistema pubblico per la prevenzione del furto d’identità (archivio SCIPAFI).

In merito alla conservazione dei dati, il Garante prosegue, poi, sottolineando come la durata della conservazione pari “ad almeno 10 anni” sia un termine troppo lungo considerando che la direttiva europea si limita a stabilire un termine di “almeno 5 anni” dalla fine del rapporto d’affari o dall’esecuzione della prestazione.

Antiriciclaggio e privacy: le differenze tra USA ed Unione Europea

Diamo un breve sguardo a ciò che succede sull’altra sponda dell’Atlantico. Un recente studio, a cura dello SWIFT Institute, ha messo in evidenza il diverso approccio alle normative privacy e antiriciclaggio adottato da parte dell’Europa e degli Stati Uniti. La IV direttiva antiriciclaggio prevede la protezione di tutti i dati personali o aziendali nell’ambito delle attività di antiriciclaggio e antiterrorismo.

La normativa statunitense segue un’impostazione diversa, nella quale i dati sono di proprietà dell’entità che li detiene (ad esempio una banca) diversamente dall’Unione Europea dove la norma sulla privacy conferisce la proprietà dei dati al singolo individuo, come un diritto umano, ponendosi spesso in contrasto con le normative antiriciclaggio e antiterrorismo.

Antiriciclaggio e Privacy nel mondo dei commercialisti: le criticità più comuni

Quando si parla di adempimenti antiriciclaggio a carico dei commercialisti l’attenzione ricade principalmente sugli obblighi di identificazione, conservazione dei dati e segnalazione di operazioni sospette, tralasciando il fatto che tali attività costituiscono a tutti gli effetti trattamento dei dati protetti regolamentati dal D.Lgs.196 del 2003. E’ frequente pertanto che uno Studio professionale sia in linea con la normativa antiriciclaggio ma non lo sia con quella privacy.

Sarebbe opportuno, ad esempio, che il professionista:

  • fornisse al suo cliente idonea informativa nella quale specifichi che il trattamento dei dati avverrà anche per le finalità previste dalla normativa antiriciclaggio;
  • individuasse i soggetti incaricati del trattamento dei dati con le modalità previste dall’art.30 del D.Lgs.196/2003;
  • prevedesse che le operazioni vengano effettuate solo dagli incaricati che operano sotto la diretta autorità del titolare o del responsabile dello Studio professionale;
  • effettuasse la designazione per iscritto, individuando in maniera puntuale l’ambito del trattamento consentito.

Per quanto riguarda, poi, la conservazione dei dati, il nuovo D.Lgs. 90/2017 fa un esplicito riferimento al fatto che i sistemi di conservazione dei documenti, dei dati e delle informazioni adottati debbano essere idonei a garantire il rispetto delle norme dettate dal codice Privacy. Diventa quindi sempre più importante osservare:

  • le misure di sicurezza previste dalla normativa;
  • il ricorso a credenziali di autenticazione per l’accesso ai dati conservati elettronicamente;
  • la presenza di istruzioni scritte per gli incaricati, affinché l’accesso sia limitato in funzione dell’attività concretamente svolta

La nuova normativa antiriciclaggio pone poi particolare attenzione sul prevenire la perdita delle informazioni. Uno Studio commercialista, quindi, dovrebbe ridurre al minimo i rischi di distruzione o perdita dei dati, anche accidentale, e soprattutto dovrebbe garantire che non venga effettuato un accesso alle informazioni da parte di soggetti non autorizzati.

L’importanza di un modello di compliance integrato

Antiriciclaggio e Privacy mettono il professionista davanti ad un’importante sfida di compliance. Come può vincerla? Sicuramente si rende sempre più necessario progettare un modello di compliance integrato che riduca il rischio di violazioni interdisciplinari. All’interno di ciascuna realtà sarebbe opportuno, infatti, adottare strumenti organizzativi ed informatici in grado di governare aspetti diversi come ad esempio l’antiriciclaggio e la privacy nel modo più efficiente possibile. A questo, inoltre, bisognerebbe affiancare una formazione al personale sempre più inter-funzionale.

Questo tipo di approccio permette senz’altro di analizzare congiuntamente i diversi rischi correlati ad ogni processo aziendale, tenendo in considerazione tutti gli aspetti normativi ed adottando azioni corrette e mirate. In questo contesto è opportuno, pertanto, definire un unico modello organizzativo che permetta al commercialista di governare in modo efficace le diverse sfaccettature che potrebbero celarsi dietro una specifica operazione. Solo così si può cogliere e gestire il collegamento tra normative in apparenza distanti tra loro.

Avete delle domande sulla gestione dell’antiriciclaggio e della privacy nel vostro Studio? Contattateci qui.