On July 31, the Italian Data Protection Authority has provided its opinion concerning the draft of the Legislative Decree implementing the 5th Anti Money Laundering Directive (2018/843/UE).
IL FATTO:
Il Garante si è pronunciato – tra l’altro – sugli obblighi di adeguata verifica della clientela e conservazione documentale di cui all’art. 18 del D.Lgs. n. 231/2007, ribadendo l’opportunità che il trattamento, il quale deve sempre avvenire in termini precisi e conformi alla Direttiva europea, abbia ad oggetto solo i dati necessari per le finalità perseguite, con modalità proporzionate tanto per l’identificazione del cliente o del titolare effettivo quanto per la valutazione del rischio di riciclaggio e di finanziamento del terrorismo.
Con riguardo invece alle misure di sicurezza per la comunicazione e la conservazione dei dati – anch’esse non considerate dallo schema attuativo della V Direttiva antiriciclaggio – il Garante richiede che vengano adottati meccanismi di cifratura e di sicurezza finalizzati a proteggere le informazioni contenute nei file e ad assicurare l’integrità del contenuto e a prevenire alterazioni.
L’accesso alle informazioni – si precisa – deve essere circoscritto (anche dopo la cifratura) ad un numero il più possibile limitato di persone sottoposte all’autorità del titolare e, se la comunicazione viene affidata a soggetti esterni, i dati devono essere loro forniti già cifrati. Qualora i soggetti obbligati decidano invece di affidare la comunicazione a soggetti esterni, designati responsabili del trattamento o persone sottoposte all’autorità del titolare, i dati devono essere forniti già cifrati.
Rispetto a quest’ultimo aspetto, il Garante si esprime nel senso dell’opportunità che il soggetto esterno cui si affida il trattamento dei dati personali, conformemente al nuovo quadro normativo in materia di protezione di dati personali (Regolamento Privacy n. 196/2007 come modificato dal D.lgs. 101/2018 di adeguamento al “GDPR”) possieda i seguenti requisiti:
– presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del Regolamento e garantiva la tutela dei diritti dell’interessato e sia previamente designato quale responsabile del trattamento;
– gli siano fornite adeguate istruzioni, tramite il contratto o altro atto giuridico previsto dal Regolamento, e vigili sul trattamento da effettuare, con particolare riguardo alle ipotesi in cui il soggetto sia designato responsabile da più soggetti obbligati, al fine di garantire misure di carattere tecnico e organizzativo volte ad assicurare la segregazione dei flussi con ciascun soggetto.
PERCHÈ È IMPORTANTE:
Si raccomanda di procedere ad un tempestivo esame del testo definitivo del Decreto Legislativo attuativo della V Direttiva antiriciclaggio, così da verificare, tra l’altro, l’eventuale recepimento delle osservazioni del Garante per la protezione dei dati personali.
No Comments