1. Il rapporto fra i due ordinamenti: antiriciclaggio e protezione dei dati personali
Il rapporto fra le disposizioni antiriciclaggio e quelle dedicate alla protezione dei dati personali risente del canone ispiratore che fa prevalere le prime sulle seconde per un’evidente scelta di politica del diritto tesa a privilegiare la lotta contro la selva di reati che si annidano nell’immonda galassia del riciclaggio. In considerazione di questa chiara esigenza si prevede pacificamente il ridursi dell’area della privacy, vale a dire della tutela del singolo e dei suoi dati personali, per consentire l’affermazione di quelle regole così coinvolgenti e capillari che sono proprie dell’antiriciclaggio1.
Nel corso degli anni di vigenza delle due normative, il Garante della Privacy ha cercato di precisare il confine tra i due ordinamenti, talora con prese di posizione che, sebbene fondate in diritto, forse per un eccesso di garantismo, sono potute sembrate un po’ troppo formalistiche2.
Pur nello scenario – condiviso e meritevole – predisposto dal legislatore, che postula il citato dislivello normativo, in talune evenienze non si può certo consentire che i diritti dell’interessato siano elusi o violati. In proposito, intendo richiamare una situazione che si sta ripetendo con una qualche frequenza nella prassi bancaria e che presenta una sua elevata criticità, a possibile scapito di coloro i cui dati vengono in considerazione.
E’ accaduto in svariate occasioni che un intermediario bancario o finanziario abbia proceduto al trattamento dei dati del titolare effettivo per scopi che esulavano dal rapporto continuativo o dall’operazione che ne aveva originato la raccolta e, quindi, si sia posto al di fuori dei limiti dell’ampia declaratoria prevista dall’art. 8 c.2 lett. a) del d.lgs. 196/03, che fonda l’eccezione secondo cui il trattamento a fini antiriciclaggio prescinde dalla necessità del consenso dell’interessato.
Come noto, il titolare effettivo (uno o più, a seconda dell’effettiva situazione giuridica) è il vero beneficiario (c.d. beneficial owner) del contratto di conto corrente, piuttosto che della locazione finanziaria o di una qualsiasi movimentazione che superi la soglia di legge. Oltre a identificare e adeguatamente verificare l’esecutore (se c’è) ed il cliente, occorre infattiche il soggetto tenuto (la banca, in ipotesi) individui il titolare effettivo – sub 1 se riferito a persona fisica, sub 2 se concernente persona non fisica3 – che è sempre una persona fisica, titolare del negozio o dell’attività in esame, e poi lo identifichi4.
Addentrandoci negli aspetti operativi, l’art. 7 c. 1 lett. c) del Provvedimento della Banca d’Italia del 3.4.13, prevede che ai fini dell’obbligo di registrazione vadano inseriti nell’archivio unico informatico i seguenti dati e informazioni con riferimento ai legami di cui all’art. 9 c. 2, cioè la data, i dati identificativi del cliente o del soggetto per conto del quale un’operazione è effettuata, i dati identificativi dei titolari effettivi sub 2). Sono “dati identificativi” (per l’art. 1 c. 1 lett. u) del medesimo Provvedimento), il nome e il cognome, il luogo e la data di nascita, l’indirizzo, gli estremi del documento di identificazione e il codice fiscale o, nel caso di soggetti diversi da persona fisica, la denominazione, la sede legale e il codice fiscale. I successivi artt. 9 e 13 del citato Provvedimento dispongono rispettivamente in materia di registrazione del titolare effettivo5 e di protezione dei dati e delle informazioni6.
2. Illiceità nella condotta seguita e possibili conseguenze
E’ successo nell’operatività quotidiana (ne sono testimonianza i reclami provenienti da parte degli interessati7) che i dati dei titolari effettivi, acquisiti in occasione dell’adeguata verifica di un rapporto continuativo o di un’operazione, e pertanto legittimamente ottenuti e trattati in quest’ambito e a tale fine, siano stati in seguito utilizzati per espletare funzioni che prescindevano dall’esigenza originaria, ad esempio per svolgere valutazioni di credito, deliberare nuovi affidamenti, procedere a cessioni di credito, seguite o meno da compensazioni.
Nasce il quesito – dalla rilevanza concreta, foriero in ipotesi non certo remota di eventuali sanzioni e risarcimento danni – circa la liceità di questa tipologia di trattamento dei dati del titolare effettivo da parte di un intermediario bancario / finanziario in assenza del preventivo consenso e per esigenze che non paiono sempre riconducibili all’antiriciclaggio, salvo per l’occasione iniziale, peraltro superata da una condotta o da una serie di condotte successive.
Appare evidente che qualora questi dati venissero trattati in occasione ed in relazione a scopi diversi da quello, ben circoscritto, previsto in sede iniziale di raccolta, sorgerebbero dubbi circa l’uso legittimo degli stessi e la liceità delle conseguenze derivanti dal successivo trattamento. Si potrebbero, infatti, configurare eventuali abusi da parte di banche o di altri soggetti che, in assenza della legittimazione, li usino ad esempio per compensare debiti e crediti vantati nei confronti del medesimo soggetto interessato.
L’esperienza evidenzia quali sono gli impieghi cui in genere vengono sottoposti questi dati: nuovo trattamento in epoca posteriore a quello iniziale – in linea di principio, lecito – cui seguono altre condotte, che possono configurare cessioni, compensazioni, con quanto a queste condotte relazionato, vale a dire approfondimenti, disamine, valutazioni, ecc. forme tutte di trattamento variamente svolto.
Ora: simile condotta non si presenta conforme al dettato originario e può configurare una serie di violazioni delle norme sulla protezione dei dati personali, foriere anche di risvolti apprezzabili sotto il profilo del risarcimento danni.
Né si potrebbe obiettare che venga a riproporsi una situazione analoga o vicina a quella definita con il provvedimento del Garante n. 533 del 28.11.2013 nei confronti di Poste Italiane s.p.a., in cui si sottolinea che “gli obblighi devono essere concretamente assolti commisurando il relativo adempimento al grado di rischiosità associato al tipo di cliente, all’operazione che si intende effettuare, al rapporto avviato o alla prestazione professionale richiesta” nel caso di specie, risultato eccedente anche in rapporto alle finalità lecite perseguite da Poste Italiane s.p.a.8.
Invero, la situazione in esame determinerebbe con molta probabilità la violazione del principio di necessità nel trattamento dei dati personali (art. 3 d.lgs. 196/03): i dati dell’interessato sarebbero stati trattenuti e, poi, utilizzati per fini diversi da quelli per cui furono raccolti. Non parrebbe, infatti, configurabile l’esenzione ex art. 8 c. 2 lett. a), in quanto la situazione venuta formandosi esulerebbe dall’ampia fattispecie prevista per la normativa antiriciclaggio e delineerebbe uno scenario ben diverso, ove mancherebbe il consenso, necessario e manifestato formalmente. Si potrebbe, pertanto, concretizzare un vero e proprio abuso, perseguibile e sanzionabile sotto il profilo della normativa sulla protezione dei dati personali, oltre che fonte di eventuale risarcimento danni9.
1
L’acquisizione dei dati trova fondamento nella informativa precontrattuale prevista dall’art. 13 del d.lgs. 30.6.2003 n. 196, Codice in materia di protezione dei dati personali. La norma che scrimina – e consente – il trattamento a fini antiriciclaggio, senza la necessità del consenso dichiarato, è il successivo art. 8 c. 2 lett. a).
2
V. Misure relative alle comunicazioni fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio (10.9.2009), relativo alle segnalazioni di operazioni sospette.
3
L’art. 1 c. 1 lett. t) del Provvedimento della Banca d’Italia del 3.4.13, recante disposizioni attuative per la tenuta dell’archivio unico informatico e per le modalità semplificate di registrazione di cui all’art. 37, cc. 7 e 8, del d.lgs. 21.11.2007, n. 231 distingue due tipi di “titolare effettivo”, rispettivamente, 1) la persona o le persone fisiche per conto delle quali il cliente realizza un'operazione (in breve, “titolare effettivo sub 1”); 2) nel caso in cui il cliente e/o il soggetto per conto del quale il cliente realizza un’operazione siano entità diverse da una persona fisica, la persona o le persone fisiche che, in ultima istanza, possiedono o controllano l’entità, ovvero ne risultano beneficiari secondo i criteri di cui all’Allegato tecnico del decreto antiriciclaggio (in breve, “titolare effettivo sub 2”). Il “decreto antiriciclaggio” è il d.lgs. 21 novembre 2007, n. 231 Attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione, legge fondamentale in materia.
5
Art. 9 (Registrazione del titolare effettivo) 1. L’eventuale titolare effettivo sub 1) va rilevato nel “tipo informazione 9” secondo le modalità indicate nell’allegato n. 2 Standard tecnici. 2. Quando il cliente o il soggetto per conto del quale è effettuata un’operazione è un’entità diversa da persona fisica, il titolare effettivo sub 2 di tale entità va rilevato con un’autonoma registrazione rappresentativa del legame con l’entità controllata o posseduta secondo le modalità indicate nell’allegato n. 2 Standard tecnici. 3. Per la registrazione dei rapporti continuativi intrattenuti e delle operazioni disposte dai soggetti di cui all’art. 2, comma 1, lett. o), i destinatari, con le modalità indicate negli standard tecnici, procedono: a) in presenza di un rapporto riconducibile a una pluralità di fiducianti, a inserire i dati identificativi del fiduciante cui è riferita l’operazione ne l “tipo informazione 9”; b) in presenza di un rapporto riconducibile a un solo fiduciante, a inserire i dati identificativi del fiduciante cui è riferito il rapporto nel “tipo informazione 9”. 4. Nel caso di operatività con enti creditizi o finanziari insediati in Stati extracomunitari (cfr. “provvedimento sull’adeguata verifica”, parte VI, sezione I) ove il destinatario lo ritenga necessario ai fini dell’assolvimento degli obblighi di adeguata verifica e di segnalazione di operazioni sospette, sono registrati i dati del soggetto per conto del quale l’ente creditizio o finanziario svolge l’operatività, secondo le disposizioni del presente articolo.
6
Art. 13 (Protezione dei dati e delle informazioni) 1. Agli obblighi di registrazione si applicano le disposizioni previste dall’articolo 11 del codice in materia di protezione dei dati personali. 2. Gli intermediari devono rilasciare ai clienti informativa idonea ad assolvere agli obblighi previsti dall’articolo 13 del codice in materia di protezione dei dati personali. 3. L’adempimento degli obblighi di registrazione costituisce “trattamento dei dati”, come definito nel primo comma lettera a) dell’articolo 4 del codice in materia di protezione dei dati personali. Le operazioni di trattamento sono effettuate dagli incaricati del trattamento che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni da questi impartite. L’individuazione degli incaricati del trattamento è effettuata con le modalità di cui all’articolo 30 del codice in materia di protezione dei dati personali. 4. Nella tenuta dell’archivio unico informatico, i destinatari sono tenuti al rispetto degli obblighi e delle misure di sicurezza contenuti negli articoli da 31 a 36 del codice in materia di protezione dei dati personali.
7
Si registrano svariati reclami da parte della clientela, emersi nell’operatività quotidiana, sebbene finora non si abbia avuto notizia di provvedimenti o di prese di posizione da parte del Garante della privacy.
8
V. Normativa antiriciclaggio e trattamento di dati personali da parte di Poste Italiane S.p.A. (28.11.2013) e precedente parere del Garante della Privacy del 25.7.2007.
9
Salvo che gli stessi dati del titolare effettivo fossero già legittimamente noti o acquisiti o comunque conoscibili al soggetto che li tratta, ma questa situazione non avrebbe rilevanza, atteso che sarebbe coperta dalla dichiarazione contenuta nella informativa.