Il sistema antiriciclaggio richiede ai professionisti di raccogliere, conservare e condividere informazioni sensibili sui clienti. Il GDPR, invece, tutela la riservatezza e limita il trattamento dei dati personali. Due mondi che a prima vista sembrano in contrasto. Ma è davvero così? Ne parliamo con l’avvocato Matteo Remonato, esperto in compliance e diritto penale dell’economia.
Avvocato Remonato, la domanda più frequente è semplice. Antiriciclaggio e privacy sono in conflitto
No. In realtà non c’è conflitto, perché l’antiriciclaggio ha una base giuridica specifica e riconosciuta anche dal GDPR. Il D.Lgs. 231/2007 impone obblighi di raccolta, verifica e conservazione dei dati con finalità di prevenzione del riciclaggio e del finanziamento del terrorismo. Il GDPR, nel suo articolo 6, ammette il trattamento dei dati quando è necessario per adempiere a un obbligo legale. Il punto non è se si possono trattare i dati, ma come lo si fa.
Avvocato, quali dati possono essere trattati ai fini antiriciclaggio?
Solo quelli necessari all’adeguata verifica del cliente. Documento di identità, informazioni sulla provenienza dei fondi, titolare effettivo, finalità del rapporto o dell’operazione. Non si possono raccogliere dati “in più” solo per sentirsi tranquilli. La raccolta deve essere proporzionata, pertinente e giustificata. Questo è il punto di equilibrio tra AML e GDPR.
Avvocato Remonato e per quanto riguarda la conservazione dei dati?
La normativa antiriciclaggio prevede la conservazione per dieci anni. È un termine lungo, ma è funzionale alle attività investigative che spesso avvengono a distanza di tempo. Tuttavia, la conservazione non significa abbandono. I dati devono essere archiviati in modo ordinato, protetti da accessi non autorizzati e distrutti quando il termine decennale è decorso.
Chi ha accesso a questi dati all’interno di uno studio professionale?
Solo chi è autorizzato. È necessario definire ruoli, deleghe, responsabilità e limitare l’accesso ai soli soggetti che effettivamente gestiscono le attività di adeguata verifica o controllo. Questo riduce il rischio di violazioni e rende più chiara la filiera interna di responsabilità.
Avvocato, come cambia il rapporto con il cliente, va informato?
Assolutamente sì. Il cliente deve essere informato che i suoi dati sono trattati ai sensi della normativa antiriciclaggio. Si usa un’informativa dedicata, distinta da quella generale GDPR. Il cliente non può opporsi al trattamento, perché si tratta di un obbligo legale, ma deve essere informato in modo trasparente, chiaro e comprensibile.
Avvocato Remonato, che cosa succede se uno studio non protegge correttamente i dati raccolti?
Si rischiano due tipologie di conseguenze. Da un lato, sanzioni in materia di antiriciclaggio, perché la conservazione è parte dell’adempimento. Dall’altro, sanzioni privacy se i dati vengono divulgati, persi o violati. Si parla quindi di responsabilità doppia. È per questo che sicurezza informatica e antiriciclaggio devono essere pensati insieme, non separati.
C’è una regola pratica per conciliare privacy e antiriciclaggio nella quotidianità di uno studio?
Sì. Raccogliere solo ciò che serve, conservarlo dove è protetto, accedervi solo quando è necessario e per il tempo necessario. Più l’organizzazione è semplice, più è sicura. Non bisogna trasformare l’antiriciclaggio in un archivio infinito. Deve diventare un processo essenziale, strutturato e chiaro.
Avvocato, in conclusione?
Antiriciclaggio e privacy non sono due forze contrapposte. Sono due facce della stessa responsabilità: tutelare la trasparenza economica da un lato e la dignità dei dati personali dall’altro. Dove c’è metodo, non c’è conflitto.
Giulio Valerio Santini.
Prossimo episodio: Costruire una cultura della legalità economica: dove iniziare davvero.
https://www.garanteprivacy.it/home/ricerca/-/search/argomento/Antiriciclaggio
