ANTI-MONEY LAUNDERING AND PRIVACY: THE PRIVACY AUTHORITY’S OPINION ON THE PROPOSED AMENDMENT TO LEGISLATIVE DECREE 231/2007

By Order No. 241 of 7 July 2022, the Italian Privacy Authority issued a favourable opinion in relation to the proposed amendment to Legislative Decree No. 231/2007 on the prevention of the use of the financial system for the purpose of laundering the proceeds of crime and financing terrorism.
The aforementioned opinion had been requested by the Ministry of Economy and Finance in relation to an outline of articulation aimed at amending Legislative Decree 231/2007 with the introduction of Article 34-bis. This articulation had already incorporated many of the Authority’s indications aimed at combining the need to centralise the informations transmitted by professionals with the right to personal data protection.
The new provision provides, in particular, for the establishment at the self-regulatory organisations referred to in Article 1(2) of the above-mentioned Decree of a centralised computerised database for the above-mentioned prevention purposes, which could be accessed by the authorities responsible for anti-money laundering in order to perform their functions.
The centralised database, powered by the professionals in the sector of reference, would also assist the latter in fulfilling their obligations to report suspicious transactions to the competent authorities, in accordance with Article 35 of Legislative Decree No. 231/2007: in fact, the system would generate a warning when certain conditions indicative of a potential riskiness of the transaction are met, thus guaranteeing professionals, thanks to the possibility of drawing on a wealth of relevant information, greater uniformity in fulfilling their anti-money laundering obligations.
Moreover, the new Article 34-bis of Legislative Decree No. 231/2007 prohibits self-regulatory organisations from processing the data and information received for purposes other than those expressly indicated in the reference legislation and requires them to adopt, subject to the favourable opinion of the Privacy Authority, technical and organisational measures suitable to guarantee the integrity, non-alterability and confidentiality of the data, while the time limit for the storage of the data thus collected in the database in question is set at ten years from their transmission to the information system.
The Privacy Authority assessed favourably, from the point of view of the proportionality of the processing, the limitation of the object of storage in the centralised computer database to the information transmitted by professionals pursuant to Article 31 of Legislative Decree No. 231/2007 and also suggested that the aforementioned Article 31 be amended so that storage in the aforementioned database represents the only way in which professionals can fulfil their obligation to retain data, in order to avoid duplication of archives.
With regard to the method of generating the notice useful to support the professional’s assessments – delegated to the adoption by the self-regulatory organisations, subject to the opinion of the Privacy Authority, of appropriate technical and organisational measures – since it could imply the processing of personal data with a highly profiling content, the Authority suggested that it should instead be delegated to a source of a regulatory nature, at the very least, which would provide the relevant guarantees for the persons concerned.
Lastly, with reference to the possibility of access to the database in question, which is precluded to professionals – who would nevertheless receive the notice on the riskiness of the transaction – the Privacy Authority pointed out that the new provision should better clarify this aspect, specifying that the right to use the database involves only the possibility of receiving the aforementioned notice.

ANTIRICICLAGGIO E PRIVACY: IL PARERE DEL GARANTE SULLA PROPOSTA DI MODIFICA DEL D.LGS. 231/2007

Con provvedimento n. 241 del 7 luglio 2022, il Garante per la protezione dei dati personali ha espresso parere favorevole in relazione alla proposta di modifica del D.Lgs. 231/2007 in materia di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

Il parere suddetto era stato richiesto dal Ministero dell’economia e delle finanze in relazione ad uno schema di articolato volto a novellare il D.Lgs. 231/2007 con l’introduzione dell’art. 34-bis. Tale articolato aveva già recepito molte delle indicazioni dell’Autorità volte a coniugare l’esigenza di centralizzazione delle informazioni trasmesse dai professionisti con il diritto alla protezione dei dati personali.

La nuova disposizione prevede, in particolare, l’istituzione presso gli organismi di autoregolamentazione di cui all’art. 1, comma 2, del Decreto suddetto, di una banca dati informatica centralizzata per le finalità di prevenzione di cui sopra, alla quale potrebbero accedere le autorità competenti in ambito antiriciclaggio per lo svolgimento delle proprie funzioni.

La banca dati centralizzata, alimentata dai professionisti del settore di riferimento, sarebbe inoltre di ausilio a questi ultimi nell’adempimento degli obblighi di segnalazione di operazioni sospette alle autorità competenti, ai sensi dell’art. 35 del D.Lgs. 231/2007: difatti, il sistema, al ricorrere di determinati presupposti indicativi di una potenziale rischiosità dell’operazione, genererebbe un avviso, garantendo così ai professionisti, grazie alla possibilità di attingere ad un patrimonio informativo di rilievo, una maggiore uniformità nell’adempimento degli obblighi antiriciclaggio.

Con il nuovo art. 34-bis del D.Lgs. 231/2007, inoltre, viene fatto divieto agli organismi di autoregolamentazione di trattare i dati e le informazioni ricevuti per finalità diverse da quelle espressamente indicate nella normativa di riferimento e prescritto di adottare, previo parere favorevole del Garante, misure tecniche e organizzative idonee a garantire l’integrità, la non alterabilità e la riservatezza dei dati, mentre il limite temporale di conservazione dei dati così raccolti nella banca dati in parola viene stabilito in dieci anni dalla trasmissione al sistema informativo.

Il Garante ha valutato favorevolmente, sotto il profilo della proporzionalità del trattamento, la limitazione dell’oggetto della conservazione nella banca dati informatica centralizzata alle sole informazioni trasmesse dai professionisti ai sensi dell’art. 31 del D.Lgs. 231/2007 ed ha, altresì, suggerito di novellare l’art. 31 sopra citato, in modo che la conservazione nella banca dati suddetta rappresenti l’unica modalità di assolvimento dell’obbligo conservativo da parte dei professionisti, al fine di evitare duplicazioni di archivi.

Quanto poi alle modalità di generazione dell’avviso utile a supportare le valutazioni del professionista – demandata all’adozione da parte degli organismi di autoregolamentazione, previo parere del Garante, di idonee misure tecniche e organizzative – poichè potrebbe sottendere un trattamento di dati personali a contenuto altamente profilativo, l’Autorità ha suggerito che venga invece demandata ad una fonte di natura quanto meno regolamentare, che preveda le relative garanzie per gli interessati.

Infine, con riferimento alla possibilità di accesso alla banca dati in questione, preclusa ai professionisti – i quali tuttavia riceverebbero l’avviso di rischiosità dell’operazione – il Garante ha evidenziato che la nuova disposizione dovrebbe meglio chiarire tale aspetto, specificando che la facoltà di avvalersi della banca dati comporta soltanto la possibilità di ricevere l’avviso suddetto.