Sintesidel parere del Garante europeo della protezione dei dati sulla proposta didirettiva del Parlamento europeo e del Consiglio relativa alla prevenzione dell'usodel sistema finanziario a scopo di riciclaggio dei proventi di attivitàcriminose e di finanziamento del terrorismo e sulla proposta di regolamento delParlamento europeo e del Consiglio riguardante i dati informativi cheaccompagnano i trasferimenti di fondi

(Pubblicato sulla GUUE n. C 32 del 4/2/2014)

1. Introduzione

1.1. Consultazionedel Garante europeo della protezione dei dati

1. Il 5febbraio 2013 la Commissione ha adottato due proposte: una proposta di direttivadel Parlamento europeo e del Consiglio relativa alla prevenzione dell'uso delsistema finanziario a scopo di riciclaggio dei proventi di attività criminose edi finanziamento del terrorismo ^{( 1 )} (´la proposta di direttivaª) e una proposta di regolamento delParlamento europeo e del Consiglio riguardante i dati informativi cheaccompagnano i trasferimenti di fondi ^{( 2 )} (´la proposta di regolamentoª), in prosieguo ´le proposteª. Il 12febbraio 2013 le proposte sono state inviate al GEPD a fini di consultazione.

2. Il GEPD sicompiace di essere stato consultato dalla Commissione e raccomanda che vengainserito un riferimento alla consultazione nei preamboli delle proposte.

3. Prima dell'adozionedelle proposte il GEPD ha avuto la possibilità di formulare osservazioniinformali alla Commissione, alcune delle quali sono state prese inconsiderazione.

1.2. Obiettivie ambito di applicazione delle proposte

4. Perriciclaggio si intende, a grandi linee, la conversione dei proventi di un'attivitàcriminosa in fondi apparentemente leciti, solitamente tramite il sistemafinanziario ^{( 3 )}. Tale conversione è effettuata occultando la provenienza deldenaro, modificandone la forma o trasferendo i fondi in un luogo in cui hannominori probabilità di richiamare l'attenzione. Per finanziamento del terrorismosi intende la fornitura o la raccolta di fondi, in qualunque modo realizzata,direttamente o indirettamente, con l'intenzione di utilizzarli, o sapendo chesaranno utilizzati, per compiere reati di terrorismo ^{( 4 )}.

5. A livellodell'UE, per prevenire il riciclaggio di denaro e il finanziamento delterrorismo, è stata introdotta una normativa sin dal 1991. Questi reati sonoconsiderati una minaccia per l'integrità e la stabilità del settore finanziarioe, più in generale, per il mercato interno. La base giuridica per le proposte èl'articolo 114 del TFUE.

6. Ledisposizioni dell'UE intese a prevenire il riciclaccio sono in larga partebasate sugli standard internazionali adottati dal gruppo d'azione finanziariainternazionale (GAFI) ^{( 5 )}. Le proposte mirano ad attuare in tutta l'UE gli standardinternazionali antiriciclaggio riveduti, introdotti dal GAFI nel febbraio 2012.La direttiva attuale, la cosiddetta terza direttiva antiriciclaggio ^{( 6 )}, è in vigore dal 2005 edefinisce il quadro europeo alla luce degli standard internazionali GAFI.

7. La terzadirettiva antiriciclaggio si applica al settore finanziario (enti creditizi,enti finanziari) e a professionisti quali avvocati, notai, contabili, agentiimmobiliari, case da gioco e prestatori di servizi relativi a società.Rientrano nell'ambito di applicazione anche tutti i fornitori di prodotti incaso di pagamenti in contanti di importo superiore a 15 000 EUR. Tutti questidestinatari sono considerati ´enti obbligatiª. La direttiva impone ai suddettienti obbligati di identificare il cliente e verificarne l'identità (icosiddetti obblighi di adeguata verifica della clientela, di seguito ´obblighidi verificaª) e il titolare effettivo, nonché di svolgere un controllo sulletransazioni finanziarie dei clienti. Prevede altresì l'obbligo di segnalarealle unità di informazione finanziaria (UIF) competenti i casi sospetti diriciclaggio o di finanziamento del terrorismo e altri obblighi accessori. Ladirettiva introduce inoltre ulteriori requisiti e salvaguardie (per esempioobblighi rafforzati di adeguata verifica della clientela) per le situazioni apiù alto rischio.

8. La propostadi direttiva amplia l'ambito di applicazione del quadro attuale e mira arafforzare i suddetti obblighi, per esempio inserendo tra gli enti obbligati iprestatori di servizi di gioco d'azzardo e i commercianti di oggetti con unasoglia di valore di 7.500 EUR, prevede maggiori informazioni sulla titolaritàeffettiva, introduce requisiti più severi per le ´persone politicamente esposteªe introduce nuovi requisiti per il controllo dei familiari di tutte le personepoliticamente esposte e dei soggetti con i quali esse intrattengono strettilegami. L'elenco di reati presupposto ^{( 7 )} del riciclaggio è stato esteso in modo da includere i reatifiscali relativi a imposte dirette e indirette.

9. La propostadi regolamento sostituisce il regolamento (CE) n. 1781/2006 riguardante i datiinformativi relativi all'ordinante che accompagnano i trasferimenti di fondi(di seguito anche detto ´regolamento sui trasferimenti di fondiª), che ha lo scopodi migliorare la possibilità di risalire all'origine dei pagamenti. Ilregolamento sui trasferimenti di fondi integra le altre misure antiriciclaggio,disponendo che i dati informativi di base relativi all'ordinante deltrasferimento di fondi siano immediatamente messi a disposizione delle forzedell'ordine e/o delle autorità giudiziarie competenti perché queste possanoservirsene per individuare, investigare, perseguire i terroristi e gli altricriminali e individuare i beni dei terroristi.

4. Conclusioni

98. Il Garanteeuropeo della protezione dei dati riconosce l'importanza delle politicheantiriciclaggio per la reputazione dei sistemi economici e finanziari degliStati membri. Tuttavia sottolinea che la finalità legittima di garantire latrasparenza delle fonti dei pagamenti, dei depositi e dei trasferimenti difondi ai fini di contrastare il terrorismo e il riciclaggio di denaro deveessere perseguita assicurando la conformità alle disposizioni in materia diprotezione dei dati.

99. In entrambele proposte si devono affrontare gli aspetti seguenti, per i quali il GEPDraccomanda di:

—inserire un riferimento esplicito alla legislazione vigente nell'UE in materiadi protezione dei dati in una disposizione sostanziale e dedicata, menzionandoin particolare la direttiva 95/46/CE e le relative disposizioni nazionali diattuazione, nonché il regolamento (CE) n. 45/2001 concernente la tutela dellepersone fisiche in relazione al trattamento dei dati personali da parte delleistituzioni e degli organismi dell'UE. Detta disposizione deve anche indicarechiaramente che le proposte lasciano impregiudicate le norme vigenti in materiadi protezione dei dati. Il riferimento al considerando 33 della decisionequadro 2008/977/GAI del Consiglio, del 27 novembre 2008, dovrebbe essereeliminato;

—inserire nella proposta di direttiva una definizione di ´autorità competentiª edi ´UIFª, precisando che le ´autorità competentiª non devono essere considerate´autorità competentiª ai sensi dell'articolo 2, lettera h), della decisionequadro 2008/977/GAI;

—chiarire, al considerando 32, che la base giuridica per il trattamento dei datiè la necessità di adempiere un obbligo legale al quale sono soggetti gli entiobbligati, le autorità competenti e gli UIF (articolo 7, lettera c), delladirettiva 95/46/CE);

— rammentare che l'unica finalitàdel trattamento deve essere la prevenzione del riciclaggio e del finanziamentodel terrorismo e che i dati non devono essere successivamente trattati in modonon compatibile con tale finalità;

—prevedere il divieto specifico di ulteriore trattamento dei dati a finicommerciali, attualmente menzionato al considerando 31 della proposta didirettiva e al considerando 7 della proposta di regolamento, in unadisposizione sostanziale;

—aggiungere un considerando dedicato per chiarire che la lotta all'evasionefiscale è inserita soltanto come reato presupposto;

— perquanto riguarda i trasferimenti internazionali, inserire disposizioni dedicatesostanziali sul trasferimento dei dati personali, prevedendo una base giuridicaadeguata per i trasferimenti all'interno del gruppo e da prestatore aprestatore di servizi di pagamento che rispetti il testo e l'interpretazionedell'articolo 26 della direttiva 95/46/CE, come raccomandato dal gruppo dilavoro ´articolo 29ª delle autorità europee competenti per la protezione deidati. Il GEPD raccomanda di riesaminare la proporzionalità dell'obbligo ditrasferimento in massa di informazioni personali e sensibili a paesi terzi aifini della lotta contro il riciclaggio e il finanziamento del terrorismo e dioptare per un approccio più proporzionato;

— perquanto riguarda la pubblicazione delle sanzioni, il GEPD raccomanda di valutaresoluzioni alternative e meno intrusive all'obbligo generale di pubblicazione e,in ogni caso, di specificare nella proposta di direttiva:

— lafinalità della pubblicazione, qualora dovesse essere confermata;

— i datipersonali da pubblicare;

— che lepersone interessate devono essere informate prima della pubblicazione delladecisione e che deve essere garantito il loro diritto di impugnarla prima diprocedere alla pubblicazione;

— che lepersone interessate hanno il diritto di opporsi al trattamento di dati che leriguardano per motivi preminenti e legittimi, ai sensi dell'articolo 14 delladirettiva 95/46/CE;

—ulteriori restrizioni relative alla pubblicazione online;

— perquanto riguarda la conservazione dei dati, inserire una disposizione sostanzialeper stabilire il periodo massimo di conservazione che gli Stati membri dovrannorispettare, con ulteriori precisazioni.

100. Riguardoalla proposta di direttiva, il GEPD raccomanda inoltre di:

—inserire una disposizione specifica che rammenti il principio di informazionedelle persone interessate in merito al trattamento dei loro dati personali(conformemente agli articoli 10 e 11 della direttiva 95/46/CE) e indicare l'identitàdel responsabile del trattamento di tali informazioni personali;

—rispettare il principio di proporzionalità in caso di limitazione dei dirittidelle persone interessate e, di conseguenza, inserire una disposizionespecifica per indicare le condizioni in cui i diritti delle persone interessatepossono essere limitati;

—indicare chiaramente se le valutazioni dei rischi effettuate dall'autoritàdesignata e dagli enti obbligati possono comportare il trattamento di datipersonali. In caso affermativo, la proposta di direttiva deve imporre l'introduzionedi opportune salvaguardie relative alla protezione dei dati;

—inserire un elenco preciso delle informazioni delle quali si deve e non si devetenere conto per l'adempimento degli obblighi di verifica della clientela.Chiarire se a tal fine siano o non siano raccolti dati di natura delicata aisensi dell'articolo 8, paragrafo 1, della direttiva 95/46/CE. Se taletrattamento dovesse risultare necessario, gli Stati membri devono assicurareche sia effettuato sotto il controllo di un'autorità ufficiale e che il dirittonazionale preveda garanzie specifiche adeguate;

—modificare l'articolo 21 per limitare più chiaramente le situazioni in cui illivello di rischio è tale da giustificare obblighi rafforzati di verifica dellaclientela e prevedere garanzie procedurali contro gli abusi;

—modificare l'articolo 42 al fine di includervi un riferimento allariservatezza, che dovrà essere rispettata da tutti i dipendenti che si occupanodelle procedure di verifica della clientela;

— elencarein una disposizione sostanziale i tipi di dati di identificazione daraccogliere sul titolare effettivo, anche quando non sono coinvolti trust.

101. Per quantoriguarda la proposta di regolamento, il GEPD raccomanda inoltre di:

—astenersi dall'usare il numero d'identità nazionale come riferimento senzarestrizioni e/o garanzie specifiche e usare invece il numero dell'operazione;

—rammentare l'importanza di rispettare il principio di esattezza dei dati, dicui all'articolo 6, lettera d), della direttiva 95/46/CE, nel contesto delleprocedure antiriciclaggio;

—inserire una disposizione per disporre che ´hanno accesso alle informazioniesclusivamente le persone o le categorie di persone designateª;

—inserire una disposizione relativa al rispetto degli obblighi in materia diriservatezza e di protezione dei dati da parte dei dipendenti che trattanoinformazioni personali riguardanti l'ordinante e il beneficiario;

—precisare all'articolo 15 che nessun'altra parte o autorità esterna che non siainteressata alla lotta contro il riciclaggio o il finanziamento del terrorismoha accesso ai dati conservati;

—completare l'articolo 21 indicando l'autorità alla quale trasmettere lesegnalazioni di violazioni del regolamento e prescrivendo l'adozione diopportune misure tecniche e organizzative per proteggere i dati contro ladistruzione accidentale o illecita, la perdita accidentale, l'alterazione o ladivulgazione non autorizzata.

Fatto a Bruxelles,il 4 luglio 2013

GiovanniBUTTARELLI

Garante europeo aggiunto della protezione dei dati

NOTE                                   

( 1 ) COM(2013)45 final.

( 2 )COM(2013) 44 final.

( 3 ) Cfr.articolo 1, paragrafo 2, della proposta di direttiva.

( 4 ) Cfr.articolo 1, paragrafo 4, della proposta di direttiva.

( 5 ) Il GAFIè l'ente normatore internazionale per le misure nell'ambito della lotta controil riciclaggio, il finanziamento del terrorismo e (da poco) il finanziamentodella proliferazione delle armi di distruzione di massa. » un organismointergovernativo con 36 membri, al quale partecipano oltre 180 paesi. LaCommissione europea è membro fondatore del GAFI. Quindici Stati membri dell'UEsono membri del GAFI a titolo proprio.

( 6 )Direttiva 2005/60/CE, del 26 ottobre 2005, relativa alla prevenzione dell'usodel sistema finanziario a scopo di riciclaggio dei proventi di attivitàcriminose e di finanziamento del terrorismo.

( 7 ) Unreato presupposto è un reato penale i cui proventi sono usati per commettere unaltro reato: in questo contesto, per esempio, l'attività criminosa presuppostodel riciclaggio può essere la frode, la corruzione, il traffico di droga o unaltro reato grave.