AML Package, le modifiche proposte dal Comitato europeo per la protezione dei dati personali
July 13, 2022 2022-12-12 9:07AML Package, le modifiche proposte dal Comitato europeo per la protezione dei dati personali
AML Package, le modifiche proposte dal Comitato europeo per la protezione dei dati personali
A cura di Calogero Costa
Come noto, tra gli addetti ai lavori, i punti di contatto tra la normativa in materia di protezione dei dati personali e quella antiriciclaggio sono molteplici.
Entrambe le normative dettano regole inerenti il trattamento dei dati personali, sebbene da prospettive e per finalità differenti: la protezione della vita privata e dei dati personali, da un lato, e la tutela dell’interesse pubblico dell’economia, dall’altro.
Se risulta semplice comprendere le connessioni esistenti tra le normative citate, risulta invece piuttosto complesso il coordinamento tra le stesse e ciò non soltanto per gli interpreti, ma anche per il legislatore a tutti i livelli (nazionale, europeo, eccetera).
Non stupisce pertanto che il Comitato europeo per la protezione dei dati personali (anche denominato “EDPB” dall’inglese European Data Protection Board) – l’organismo europeo indipendente istituito dal regolamento generale sulla protezione dei dati 679/2016 (GDPR), allo scopo di garantire un’applicazione coerente del GDPR e promuovere la cooperazione tra le autorità di protezione dei dati dell’UE – abbia recentemente indirizzato una lettera alle tre istituzioni europee (i.e. Parlamento, Consiglio e Commissione) impegnate nell’iter legislativo del cosiddetto “AML Package”, pubblicato il 20 luglio 2021, per evidenziare alcune “criticità”, dal punto di vista “privacy” e suggerire degli spunti di miglioramento rispetto ai testi licenziati dal legislatore europeo.
Adottato in attuazione dei Pillars 2, 3 e 4 del “Piano d’azione per una politica integrata dell’Unione in materia di prevenzione del riciclaggio di denaro e del finanziamento del terrorismo” lanciato dalla Commissione Europea il 7 maggio 2020 allo scopo di procedere a un complessivo aggiornamento del quadro normativo antiriciclaggio, nell’ottica di una “compliance europea” effettiva e concreta in tutto il territorio dell’Unione, il pacchetto AML consta di quattro proposte legislative, ossia:
- una proposta di regolamento istitutivo (a partire dal 1° gennaio 2023) di una nuova autorità antiriciclaggio europea (l’Anti-money laundering Authority detta anche “AMLA”), con compiti di coordinamento e assistenza alle FIU nazionali (per l’Italia UIF) allo scopo di garantire l’adozione di standard normativi e metodi di valutazione del rischio uniformi e poteri di vigilanza e di indagine (oltre al potere di imporre sanzioni amministrative, penali e pecuniarie) nei confronti di soggetti obbligati ritenuti “più rischiosi”
- una proposta di regolamento contenente norme direttamente applicabili nel settore privato anche in relazione all’adeguata verifica della clientela e alla titolarità effettiva;
- una proposta di sesta direttiva antiriciclaggio (AMLD VI), in sostituzione dell’attuale direttiva (UE) 2015/849 (AMLD IV a sua volta modificata dalla AMLD V), contenente disposizioni da recepire nel diritto nazionale, come le norme sugli organismi di vigilanza nazionali e le Unità di informazione finanziaria negli Stati membri. La AMLD VI rivede in aumento il novero dei reati “presupposto” del riciclaggio di denaro (inclusi alcuni reati fiscali, la criminalità ambientale e i reati di criminalità informatica) e prevede l’estensione della responsabilità penale alle persone giuridiche e alle società di capitali/società di persone;
- una revisione del Regolamento UE del 2015 sui trasferimenti di fondi ai fini del tracciamento dei trasferimenti di cripto-attività (Regolamento UE 2015/847).
I punti di attenzione sollevati dall’EDPB, nella lettera indirizzata alle tre istituzioni europee si appuntano, in particolare, su due dei provvedimenti contemplati dal pacchetto, ossia: (i) la proposta di regolamento istitutivo della nuova autorità antiriciclaggio europea e (ii) la proposta di regolamento antiriciclaggio per il settore privato.
Lo scopo della missiva dell’EDPB è duplice: da un lato, il Comitato rivendica il proprio ruolo di “consulente” per tutte le questioni privacy nascenti dalle nuove normative e sottolinea la necessità del proprio coinvolgimento lungo tutto l’iter legislativo dei provvedimenti; dall’altro, il Comitato suggerisce alcune modifiche a specifiche previsioni contenute nel due proposte legislative citate, ritenute fondamentali per renderle conformi al quadro giuridico europeo in materia di protezione di dati personali.
L’EDPB non è nuovo a tali iniziative. Già nel dicembre 2020, il Comitato aveva espresso alcune perplessità rispetto al “Piano d’Azione” della Commissione Europea. Nel suo Statement del 15 dicembre 2020, il Comitato chiedeva alla Commissione Europea “di essere coinvolto sin dalle fasi iniziali nell’elaborazione di eventuali nuove disposizioni legislative in materia di antiriciclaggio, al fine di fornire consulenza giuridica su alcuni punti chiave relativamente alla protezione dei dati” allo scopo di assicurare “la compatibilità” delle nuove misure con i diritti alla vita privata e alla protezione dei dati, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea, con i principi di necessità e proporzionalità, nonché con la giurisprudenza della Corte di giustizia dell’Unione Europea.
Nel maggio 2021, il Comitato aveva reiterato le proprie istanze di poter fornire consulenza giuridica sulle nuove norme prima della presentazione delle stesse in Parlamento, allo scopo di suggerire un “giusto equilibrio” tra l’interesse a prevenire il riciclaggio di denaro e il finanziamento del terrorismo, da un lato, e gli interessi sottesi ai diritti fondamentali alla protezione dei dati e alla privacy, dall’altro. In quella sede, l’EDPB aveva raccomandato alla Commissione di includere nelle proposte legislative alcune disposizioni specifiche al fine di precisare, ai sensi dell’articolo 6, comma 3, del GDPR, le condizioni generali e i limiti di liceità del trattamento da parte dei soggetti obbligati e di allineare le due normative riducendo al minimo potenziali aporie. In considerazione della particolare criticità dei trattamenti in ambito antiriciclaggio, il Comitato si era spinto, altresì, a suggerire l’inclusione all’interno delle citate proposte legislative, di specifici obblighi di adozione di misure tecniche adeguate, in linea con i principi di privacy by design e by default, volte a ridurre i rischi di sicurezza dei dati trattati.
Nella lettera inviata alle tre istituzioni europee il 12 maggio scorso, il Comitato evidenzia che le raccomandazioni da esso stesso precedentemente formulate con riguardo ai contenuti delle due proposte di regolamento citate, sono state soltanto parzialmente implementate nel corso dell’iter legislativo.
L’EDPB ha sì rilevato che la Commissione ha incluso nelle proposte legislative in materia di antiriciclaggio disposizioni specifiche (cfr. articolo 55 della proposta di regolamento per il settore privato – COM(2021) 420 final) sul trattamento di categorie particolari di dati e di dati personali relativi a condanne penali e reati, così come richiesto dallo stesso Comitato.
Il Comitato ritiene, tuttavia, necessario che siano previste all’interno dei testi legislativi delle garanzie aggiuntive in relazione al trattamento di tali tipologie di dati personali al fine di garantirne la compatibilità con il GDPR (e in particolare con gli articoli 9 e 10). In aggiunta, il Comitato ha evidenziato la mancanza di regole specifiche in relazione alle “fonti” di informazioni che devono essere utilizzate dai soggetti obbligati per verificare l’identità del cliente, nonché in relazione alle informazioni fornite dai fornitori di servizi di dati delle cosiddette “watch-list”.
I due provvedimenti in parola, secondo l’EDPB, conterrebbero dunque significative lacune sotto il profilo della protezione dei dati che, ove non sanate, rischierebbero di produrre impatti molto seri sui diritti e le libertà degli interessati (legittimando trattamenti di dati, contrari ai principi di accuratezza e minimizzazione dei dati) nonché generare incertezza giuridica per i soggetti obbligati. E ciò, anche in ragione del fatto che i soggetti obbligati sono tenuti a trattare dati personali che consentono di trarre deduzioni intime su persone fisiche e che possano portare in particolare all’esclusione di persone fisiche e giuridiche da un diritto e/o da un servizio (ad esempio un servizio bancario).
A tale proposito, l’EDPB suggerisce, quindi alcune importanti modifiche con riguardo ai due provvedimenti sopra richiamati per correggere le lacune citate. I suggerimenti del Comitato si concentrano in particolare su quattro aspetti:
(i) la necessità di un maggior coinvolgimento dell’EDPB (attraverso lo strumento della “consultazione preventiva”) da parte delle istituzioni UE e della costituenda Autorità AML europea, nell’ambito della redazione e adozione di norme tecniche di regolamentazione (RTS), linee guida e raccomandazioni inerenti all’adempimento degli obblighi AML/CFT.
In primo luogo, il Comitato esprime alcune perplessità in merito all’articolo 38 della proposta di regolamento istitutivo dell’AMLA. Tale disposizione attribuisce a detta autorità il compito di definire e conseguentemente proporre alla Commissione Europea, l’adozione di regulatory technical standard (detti anche “RTS”), linee guida e raccomandazioni allo scopo di definire regole di dettaglio con particolare riguardo alle categorie di dati personali e informazioni da raccogliere ai fini dell’espletamento delle varie forme di adeguata verifica della clientela o per il monitoraggio continuativo di un rapporto d’affari/operazione effettuata o emettere criteri specifici per identificare i titolari effettivi di persone giuridiche; di fatto, rimettendo ai suddetti organismi il potere di modellare il “cuore” delle norme antiriciclaggio.
Ad avviso del Comitato, le categorie di dati personali che devono essere trattati dai soggetti obbligati e le norme aggiuntive che potrebbero incidere sul loro trattamento non dovrebbero essere specificate nelle RTS, nelle linee guida e nelle raccomandazioni, ma essere individuate direttamente nelle proposte legislative in materia di antiriciclaggio.
In secondo luogo, l’EDPB critica l’attuale formulazione dell’articolo 77, comma 2 della proposta di regolamento istitutivo dell’AMLA, nella misura in cui prevede che l’“obbligo di cooperazione” tra la medesima Autorità e il Comitato operi soltanto in relazione alla adozione di linee guida e alle raccomandazioni, senza fare alcun riferimento agli RTS. Simile critica viene mossa con riguardo alla previsione contenuta nel successivo art. 84, comma 1 della proposta di regolamento citata, laddove si dichiara che l’AMLA “possa” invitare le autorità nazionali in materia di protezione dei dati personali come mere “osservatrici” in occasione della redazione di tali linee guida e raccomandazioni (omettendo ancora una volta ogni riferimento alle RTS).
Il Comitato ritiene, invece, necessario che l’obbligo di stretta cooperazione con l’AMLA debba operare non solo con riguardo alla stesura di linee guida o raccomandazioni, ma anche degli RTS. Tale cooperazione dovrebbe aver luogo in tutti i casi in cui le citate linee guida, raccomandazioni e RTS abbiano “un impatto significativo sulla protezione dei dati personali”. Peraltro, il coinvolgimento del Comitato nel processo di adozione degli RTS non dovrebbe essere limitato alla sola fase iniziale di stesura delle regole tecniche, ma estendersi anche alla successiva fase di implementazione delle stesse per il tramite dei provvedimenti delegati adottati dalla Commissione Europea a norma dell’articolo 290 TFEU. Il Comitato auspica dunque un suo formale coinvolgimento da parte delle istituzioni europee competenti all’emanazione di RTS, linee guida e raccomandazioni prima della loro adozione, quando queste possano avere un impatto significativo per la protezione dei diritti e delle libertà delle persone.
(ii) la necessità di precisare meglio le condizioni e i limiti del trattamento di categorie particolari di dati e di dati personali relativi a condanne penali da parte dei soggetti obbligati.
In particolare, il Comitato ha invitato i co-legislatori a definire esplicitamente le categorie particolari di dati il cui trattamento sarebbe “strettamente necessario per la finalità di prevenzione del riciclaggio e del finanziamento del terrorismo” a norma dell’articolo 55, paragrafo 1, della Proposta di regolamento applicabile al settore privato. Inoltre, al fine di evitare che le decisioni siano prese sulla base di fattori discriminatori, il Comitato ha raccomandato, altresì, di precisare all’articolo 55, che la valutazione effettuata dai soggetti obbligati non debba mai basarsi esclusivamente sul trattamento di categorie particolari di dati personali di adottare misure di sicurezza all’avanguardia, quali restrizioni di accesso, offuscamento, crittografia, pseudonimizzazione o dissociazione.
Con riferimento ai dati relativi a condanne penali, a finire nel mirino dell’EDPB è l’articolo 55, paragrafo 3, lettera b), della proposta di regolamento applicabile al settore privato. Tale disposizione prevede che i soggetti obbligati possano trattare non solo dati relativi a condanne penali, ma anche le cosiddette “allegations” (i.e. accuse). L’articolo prevede anche, come specifica salvaguardia, che i soggetti obbligati adottino procedure che consentano, durante il trattamento di tali dati, di operare una distinzione tra accuse, indagini, procedimenti e condanne, tenendo conto dei diritti fondamentali a un equo processo e alla difesa nonché della presunzione di innocenza. Il problema, sottolinea il Comitato, è che detto termine non trova alcuna definizione nel testo della proposta di regolamento, né sono citate con precisione le “fonti” da cui possono essere raccolte informazioni su dette “accuse”. Si tratta di una imprecisione non da poco considerato l’elevato livello di rischio del trattamento e l’impatto potenzialmente significativo sulla persona interessata (quale, ad esempio, il rifiuto da parte della Banca di avviare una relazione commerciale con la persona a cui si riferisca l’accusa), malgrado in alcuni casi l’accusa potrebbe non essere motivata.
Con riferimento all’articolo 55 paragrafo 3, il Comitato suggerisce quindi di chiarire il significato del termine “accusa” (o sopprimere del tutto il termine in questione) e specificare che le “accuse” (al pari dei procedimenti giudiziari in corso) non dovrebbero avere lo stesso impatto sulla valutazione del rischio di una persona come una condanna penale.
(iii) la necessità di prevedere disposizioni aggiuntive in relazione alle “fonti” di informazione.
Il Comitato ha chiesto al legislatore europeo di chiarire la portata dell’articolo 55, paragrafo 2, lettera b), della proposta di regolamento applicabile al settore privato, secondo cui i soggetti obbligati possono trattare categorie particolari di dati “a condizione che i dati provengano da fonti affidabili, siano accurati e aggiornati”.
In particolare, allo scopo di garantire il rispetto dei principi di “accuratezza” e “minimizzazione”, nonché del principio di “accountability” di cui all’articolo 5, comma 2, GDPR, il Comitato ha raccomandato di: (i) aggiungere nel testo legislativo misure di salvaguardia specifiche per quanto riguarda le fonti che devono essere utilizzate dai soggetti obbligati; (ii) inserire un riferimento espresso all’obbligo per i soggetti obbligati di utilizzare solo fonti accurate e affidabili e (iii) aggiungere uno specifico obbligo per i soggetti obbligati di documentare la valutazione circa l’affidabilità e l’accuratezza di ciascuna fonte di informazioni utilizzata;
(iv) la necessità di prevedere specifiche disposizioni per il trattamento dei dati personali da parte dei fornitori delle cosiddette “watch list”
Infine, il Comitato riconosce la necessità che i soggetti obbligati facciano affidamento su fornitori di servizi di “watch list” (qualificati come “Data Controllers”) per adempiere ai propri obblighi in materia antiriciclaggio. Tuttavia, suggerisce di inserire alcune norme specifiche nelle proposte legislative volte a specificare la natura dei dati personali (e partitamente delle categorie particolari di dati e dei dati relativi a condanne penali) che possono essere trattati da tali fornitori, secondo il principio di accuratezza e di minimizzazione dei dati (articolo 5, paragrafo 1, lettera c), del GDPR). Dovrebbero inoltre essere stabilite misure forti e specifiche per salvaguardare i diritti fondamentali e gli interessi degli interessati.
L’EDPB avverte che nel caso in cui tali norme non fossero previste, le autorità nazionali di controllo avranno il compito di far rispettare la normativa sulla protezione dei dati in caso di violazioni da parte di fornitori e soggetti obbligati, in particolare per quanto riguarda il trattamento di categorie speciali di dati personali e di dati personali relativi a condanne penali e reati.
Infine, nel caso in cui fossero previste regole specifiche per tali fornitori, l’EDPB invita anche i co-legislatori a includere nelle proposte legislative antiriciclaggio un riferimento ai codici di condotta di cui all’articolo 40 GDPR e alle certificazioni di cui all’articolo 42 GDPR per i fornitori di “watch list”, da elaborare tenendo conto delle specificità di questo settore.
Durante le lezioni del Master AML/CTF diploma della Scuola Italiana Antiriciclaggio e Compliance, è stata dedicata ampia importanza sia ai contenuti dell’AML Package quanto alla normativa in materia di protezione dei dati personali, maggiormente rilevanti da un punto di vista AML, secondo una visione integrata e multidisciplinare. Ciò, mi ha permesso di cogliere puntualmente la portata delle perplessità sollevate dall’EDPB nella lettera in commento e apprezzarne le implicazioni istituzionali.