Con il recepimento della quarta direttiva antiriciclaggio, il D.lgs. 231/2007 ha subito notevoli modifiche, alcune delle quali hanno riflessi diretti sulle modalità di applicazione della normativa privacy all’interno dello studio professionale.
In particolare, il D.lgs. 231/07 così come modificato dal D.lgs. 90/2017, impone ai Professionisti (Commercialisti, Avvocati, Notai, Consulenti del Lavoro, Revisori Legali, Tributaristi e CED) di adottare sistemi di gestione antiriciclaggio, che rispettino le prescrizioni dettate in materia di protezione dei dati personali dal D.lgs. 196/03 (Codice Privacy) e dal Regolamento Europeo Privacy UE/2016/679.
I Professionisti devono essere sempre in grado di garantire e dimostrare che il trattamento dei dati personali acquisiti nell'adempimento degli obblighi antiriciclaggio avviene per le sole finalità previste dalla legge antiriciclaggio e che i dati personali raccolti a tale scopo sono conservati separatamente dalla restante documentazione del cliente, nel rispetto delle prescrizioni dettate dal Codice Privacy e dal Regolamento Europeo Privacy.
I Professionisti, pertanto, sono obbligati ad adottare sistemi di conservazione della documentazione antiriciclaggio (cartacei o informatici) idonei a garantire il rispetto delle misure di sicurezza previste dal Codice Privacy e dal Regolamento Europeo Privacy e in grado di assicurare la tracciabilità dei soggetti legittimati ad alimentare il sistema di conservazione e autorizzati ad accedere ai dati personali e alle informazioni in esso contenuti.
Al fine di garantire un corretto trattamento dei dati personali, inoltre, i Professionisti sono obbligati a far frequentare a tutti i propri dipendenti e collaboratori corsi di formazione antiriciclaggio e privacy.
I programmi di formazione privacy e antiriciclaggio devono essere permanenti, avere carattere di continuità e essere in grado di innescare comportamenti positivi volti a garantire la conoscenza e il rispetto delle procedure antiriciclaggio e privacy dello Studio.
Nell’ambito dell’adempimento degli obblighi in materia di antiriciclaggio, i Professionisti, quindi, sono tenuti a rispettare le seguenti prescrizioni in materia di privacy:
- Definizione di Organigramma Antiriciclaggio e Privacy
- Nomina del Data Protection Officer (DPO)
- Classificazione di dati e Trattamenti relativi agli obblighi antiriciclaggio
- Analisi dei Rischi Privacy dei dati personali trattati per finalità di antiriciclaggio
- Adozione di Misure di Sicurezza per la protezione dei dati personali trattati per finalità di antiriciclaggio
- Informativa Privacy per il trattamento di dati personali per finalità di riciclaggio
- Incarichi e Nomine Privacy per i soggetti che trattano dati personali per finalità di riciclaggio
- Procedure e Istruzioni Antiriciclaggio e Privacy
- Formazione Antiriciclaggio e Privacy
- Istituzione e tenuta del Registro dei Trattamenti (Registro Privacy)
- Audit e Verifiche Antiriciclaggio e Privacy periodiche
In caso di mancato rispetto degli obblighi privacy relativi agli adempimenti in materia di antiriciclaggio, il Regolamento Europeo Privacy (GDPR) prevede per i Professionisti Sanzioni Amministrative Pecuniarie fino a € 20.000.000 o fino al 4% del Fatturato (ove superiore).
Dr. Eric Falzone – AML & Privacy Advisor – Partner EUCS
Articoli Antiriciclaggio e Privacy EUCS – www.eucs.it