Banche dati informatiche presso gli organismi di autoregolamentazione
di Andrea OnoriCon la conversione in Legge n. 191/23 del D.L. 145/2023, pubblicata in Gazzetta Ufficiale al n. 293 del 16.12.2023, è stato introdotto nel Capo II, Obblighi di conservazione, della Sezione III, del Titolo II del D.Lgs. 231/2007, il nuovo articolo 34-bis.
Con la medesima disposizione viene prevista, per gli Organismi di autoregolamentazione, la “possibilità”, così recita il testo della norma, di “istituire”, previo parere favorevole del Garante della Privacy, “una banca dati informatica centralizzata dei documenti, dei dati e delle informazioni acquisiti dai professionisti nello svolgimento della propria attività professionale che questi sono tenuti a conservare ai sensi dell’articolo 31” del D.Lgs. 231/2007 (da qui anche Decreto Antiriciclaggio o Decreto AML).
Passaggio essenziale nella possibile applicazione futura di tale previsione normativa, è l’ultimo periodo del comma 1, del nuovo articolo 34-bis, D.Lgs 231/2007, secondo cui “La banca dati è istituita e gestita in proprio dagli Organismi di autoregolamentazione” e questi ultimi devono determinare (a parere di chi scrive, occorrerà l’individuazione di un elenco non esaustivo con carattere implementativo periodico) “quali documenti, dati e informazioni di cui all’articolo 31” del Decreto Antiriciclaggio “devono essere trasmessi alla banca dati informatica”.
Ulteriore aspetto rilevante, è il fatto che dovranno essere definiti chiaramente i termini entro i quali i professionisti dovranno adempiere, visto che lo dovranno fare “senza ritardo”.
Nella progettazione e concreta realizzazione della Banca Dati, i termini di invio dovranno essere valutati e ponderati con attenzione, alla luce di quanto già indicato nel comma 2, lettera b), dell’articolo 32, D.Lgs 231/2007, dove si prevede che “è considerata tempestiva l’acquisizione [della documentazione] conclusa entro trenta giorni dall’instaurazione del rapporto continuativo o dal conferimento dell’incarico per lo svolgimento della prestazione professionale, dall’esecuzione dell’operazione o della prestazione professionale, dalla variazione e dalla chiusura del rapporto continuativo o della prestazione professionale”.
Pertanto, a parere di chi scrive, si potrebbe arrivare ad ipotizzare, quale termine congruo per adempiere “senza ritardo”, il termine di 90 giorni che potrebbe risultare dalla seguente sommatoria dei termini:
- 30 giorni per la “raccolta dei dati, documenti ed informazioni”, ai sensi del secondo comma, lett. b), articolo 32, D.Lgs. 231/2007, più ulteriori;
- 30 giorni per la “catalogazione, organizzazione e conservazione dei dati” nella banca dati del Professionista, a cui si sommano ulteriori;
- 30 giorni per l’«invio dei dati» alla Banca Dati Centralizzata.
Il tutto, anche in considerazione della potenziale mole di dati da gestire.
Le finalità e gli scopi dell’istituzione della Banca Dati “centralizzata” li si desumono dal combinato disposto dei commi 3, 4 e 5, ove la trasmissione dei dati, dei documenti e delle informazioni, acquisite in ossequio agli adempimenti relativi gli obblighi di adeguata verifica della clientela, è funzionale alla finalità di acquisire, da parte degli stessi professionisti, informazioni rilevanti per le valutazioni inerenti le SOS (Segnalazioni di Operazioni Sospette) di cui all’articolo 35, D.Lgs. 231/2007.
La Banca Dati Centralizzata, a seguito dell’invio dei dati, documenti e informazioni e della loro elaborazione e comparazione con indicatori e schemi di anomalia, oltre che con gli altri dati eventualmente comunicati da altri professionisti, darà un riscontro al Professionista, definito dalla norma “Avviso”.
Rimane, comunque, in capo al professionista, la responsabilità per l’invio della SOS, anche nel caso di mancata ricezione dell’«Avviso».
Se si analizza la norma con uno sguardo alla tutela del trattamento dei dati, per la “generazione” del predetto «avviso» la Banca Dati Centralizzata dovrà utilizzare un sistema automatizzato che effettuerà la profilazione del soggetto-cliente al quale i dati si riferiscono.
I dati utilizzati per tale profilazione sono:
- la tipologia di cliente;
- la capacità economica;
- la situazione economico-patrimoniale;
- l’attività svolta;
- la residenza o sede in Paesi terzi ad alto rischio;
- le caratteristiche, l’importo, la frequenza e la natura delle prestazioni professionali rese o delle operazioni eseguite nonché il loro collegamento o frazionamento.
La norma prevede, infatti, che per l’elaborazione dell’avviso “l’Organismo di autoregolamentazione può avvalersi di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni”.
Essendo, di fatto, un nuovo trattamento dei dati personali da parte degli Organismi di autoregolamentazione, il combinato disposto di quanto indicato sopra porta, ai fini Privacy, all’obbligo di effettuazione della Valutazione di impatto, ai sensi dell’articolo 35, G.D.P.R. 679/2016, da parte degli Ordini Professionali, configurandosi, a parere dello scrivente e con buona pace di tutti, un trattamento dei dati su larga scala in presenza di profilazione e utilizzo di sistemi automatizzati.
L’articolo 35, paragrafo 3, del Regolamento generale, sulla protezione dei dati, prevede che la valutazione d’impatto sulla protezione dei dati sia richiesta in particolare nei casi seguenti:
- valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Ciascun Organismo di autoregolamentazione viene definito come Titolare del Trattamento dei Dati Personali, e le eventuali strutture decentralizzate di cui potranno avvalersi sono individuate come Responsabili del trattamento ai sensi dell’articolo 28, G.D.P.R. 679/2016.
Entrambi i soggetti (Titolare e Responsabile), prima del trattamento e previo parere favorevole del Garante dovranno:
- adottare misure tecniche ed organizzative adeguate al rischio e dirette a garantire l’integrità, la non alterabilità, la riservatezza (anche mediante tecniche di crittografia), dei dati, documenti e informazioni, nonché la tracciabilità degli stessi da parte dei soli soggetti autorizzati;
- individuare le modalità tecniche per l’elaborazione, trasmissione e comunicazione ai professionisti degli «avvisi» generati dalla Banca Dati.
Da ultimo, la Banca Dati sarà accessibile alle Autorità di controllo:
- Ministero dell’economia e delle finanze;
- UIF;
- Guardia di Finanza – nucleo speciale di polizia valutaria;
- DIA;
- DNA.
Ne è, per contro, precluso l’accesso ai singoli professionisti.