Compliance integrata per i Commercialisti: Acquisizione di dati, documenti ed informazioni ai fini antiriciclaggio nel rispetto della normativa privacy

L’acquisizione e la conservazione di dati, documenti e informazioni utili a prevenire, individuare o accertare eventuali attività di riciclaggio o del finanziamento del terrorismo trova una diretta connessione con la normativa in materia di protezione dei dati personali. L’art.32 del D.lgs. 231/07 prevede infatti l’adozione di “..sistemi di conservazione idonei a garantire il rispetto delle norme in materia di protezione dei dati personali..”.
Sommario
1. Punti di contatto fra le due normative
2. Il rispetto dei principi generali e delle condizioni di liceità previsti dal GDPR
3. I dati personali trattati ai fini antiriciclaggio
4. La conservazione di dati, documenti ed informazioni ai fini antiriciclaggio
5. Le misure utili a garantire un livello di sicurezza adeguato ai rischi antiriciclaggio e privacy
6. L’utilizzo di soggetti terzi per la conservazione dei documenti, dei dati e delle informazioni ai fini antiriciclaggio
7. L’esecuzione degli obblighi di adeguata verifica da parte di terzi
8. La tutela del segnalante che effettua una segnalazione di operazioni sospette e i sistemi interni di segnalazione delle violazioni
9. Le limitazioni ai diritti dell’interessato

1. Punti di contatto fra le due normative
Questo diretto rinvio ad un altro corpo normativo, tuttavia, non è l’unico punto di contatto fra le due normative. Nella realtà i riferimenti e/o i collegamenti diretti ed indiretti fra obblighi antiriciclaggio e disposizioni in materia di protezione di dati personali sono molteplici, ma soprattutto non riguardano unicamente il tema della conservazione dei dati, documenti e informazioni.
Una lettura approfondita della disciplina antiriciclaggio ci permette di rilevare che tutto il sistema dei presidi e delle procedure antiriciclaggio presenta continui ed evidenti momenti di collegamento con la normativa privacy.
Non a caso l’art. 16 del Dlgs 231/07, nel trattare le procedure di mitigazione del rischio, stabilisce:
– Al comma 3 precisa che “..I soggetti obbligati adottano misure proporzionate ai propri rischi, alla propria natura e alle proprie dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono tenuti ai sensi del presente decreto, ivi compresi quelli in materia di protezione dei dati personali..”.
– al comma 4, evidenzia che “..I sistemi e le procedure adottati ai sensi del presente articolo rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa vigente in materia di protezione dei dati personali..”.
Ulteriori riferimenti normativi diretti sono contenuti:
 con riguardo alla categoria dei prestatori di gioco:
– nell’art.52bis in tema di Registro dei distributori ed esercenti. Il 6 comma evidenzia che “..Le modalità tecniche di alimentazione e di consultazione del registro sono stabilite, in modo che siano garantiti, [tra l’altro]…il rispetto delle norme dettate dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, nonché il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto..”;
– nell’art.53 in tema di adeguata verifica e conservazione da parte degli operatori di gioco “..le attività di identificazione del cliente sono effettuate dai distributori e dagli esercenti, a qualsiasi titolo contrattualizzati, per il tramite dei quali il concessionario offre servizi di gioco pubblico su rete fisica, a diretto contatto con la clientela ovvero attraverso apparecchi videoterminali. A tal fine, i predetti distributori ed esercenti acquisiscono e conservano, con modalità idonee a garantire il rispetto delle norme dettate dal codice in materia di protezione dei dati personali, le informazioni relative: a)ai dati identificativi del cliente, all’atto della richiesta o dell’effettuazione dell’operazione di gioco; b)alla data delle operazioni di gioco, al valore delle medesime operazioni e ai mezzi di pagamento utilizzati..”.
 Con riguardo ai sistemi interni di segnalazione, nell’art.48, 4 comma, nella misura in cui “..La disposizione di cui all’articolo 7, comma 2, del decreto legislativo 30 giugno 2003, n. 196, non trova applicazione con riguardo all’identità del segnalante, che può essere rivelata solo con il suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato..”;
 Con riguardo esercizio dell’attività dei compro oro (soggetti obbligati ex art. 3, 5^ comma, lett.d). Al riguardo il D.Lgs. 92 del 2017, all’art. 6, 3 comma, prescrive in tema antiriciclaggio che “..I sistemi di conservazione adottati garantiscono il rispetto delle norme e delle procedure dettate dal codice in materia di protezione dei dati personali..”.
I collegamenti con la disciplina dei dati personali tuttavia non sono solo quelli espressi negli articoli sopramenzionati in quanto tutto il corpo normativo antiriciclaggio si struttura per sua intrinseca natura sui dati personali dei clienti e sul trattamento di tali dati per finalità di contrasto al riciclaggio. È evidente quindi come si debba ritenere immanente il riferimento al GDPR nella misura in cui i soggetti obbligati per adempiere ai propri obblighi di adeguata verifica del cliente, di controllo costante, di segnalazione delle operazioni sospette e conservazione, deve necessariamente gestire, analizzare e conservare dati personali nel rispetto della normativa di settore e dei principi di accountability e proporzionalità.
2. Il rispetto dei principi generali e delle condizioni di liceità previsti dal GDPR
Sulla base di tali premesse i dati innanzitutto devono essere trattati nel rispetto dei principi generali fissati dall’art. 5 del GDPR e sulla scorta delle condizioni di liceità fissate nell’art. 6. Quindi i dati personali devono essere:
• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (di qui l’obbligo dell’informativa per il trattamento dei dati antiriciclaggio);
• raccolti per finalità determinate, esplicite e legittime (l’art. 32 del 231/2007 stabilisce che i soggetti obbligati adottano sistemi di conservazione dei documenti, dei dati e delle informazioni idonei a garantire..il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto);
• adeguati, pertinenti e limitati (collateralmente la normativa antiriciclaggio stabilisce quali dati vanno acquisiti e conservati);
• esatti e, se necessario, aggiornati (è chiaro il collegamento con le disposizioni in tema di controllo costante del rapporto ai sensi dell’art. 18, comma 1 lett. d) del 231/07);
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità (in merito l’art. 31, comma 3 fissa in 10 anni il periodo di conservazione di dati, documenti e informazioni dalla cessazione del rapporto continuativo, della prestazione professionale o dall’esecuzione dell’operazione occasionale);
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (è evidente il collegamento con l’art. 32 del Dlgs 231/07 ed in particolar modo con il comma 2 che stabilisce che Le modalità di conservazione adottate devono prevenire qualsiasi perdita dei dati e delle informazioni e con la lettera c) dello stesso comma 2 che precisa che le modalità di conservazione devono assicurare l’integrità dei dati e delle informazioni e la non alterabilità dei medesimi successivamente alla loro acquisizione.
Il trattamento dei dati antiriciclaggio viene effettuato lecitamente ai sensi dell’art. 6 del GDPR in quanto è necessario:
• all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• per l’esecuzione di un compito di interesse pubblico.

3. I dati personali trattati ai fini antiriciclaggio
Un cenno a cosa intende il Reg UE 679/2016 per dati personali e per trattamento:
 per dato personale il GDPR intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Altre categorie di dati personali che sono assoggettate a maggiori tutele sono costituite dai dati particolari e dai dati relativi a condanne penali e reati.
 per trattamento si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Ma quali dati vengono trattati nell’attuazione della normativa antiriciclaggio da parte ad esempio di un commercialista?
Sicuramente dati personali. L’art. 18 che stabilisce il contenuto degli obblighi di adeguata verifica ordinaria:
• al comma 1 lett. a) prevede l’identificazione del cliente e dell’esecutore e la verifica della loro identità, da eseguire ovviamente, come precisato nelle linee guida e documenti allegati, attraverso il riscontro di un documento d’identità o di altro documento di riconoscimento equipollente e, quindi, nome, cognome, luogo e data di nascita, domicilio, estremi del documento di identificazione, codice fiscale. Sul punto dati analoghi sono contenuti nella dichiarazione che i clienti, ai sensi dell’art. 22 del DLgs 231/07, devono fornire al soggetto obbligato.
• alla lett. b) dello stesso comma prevede, poi, che venga identificato anche il titolare effettivo;
• alla lett. c) del comma 1 prevede l’acquisizione e la valutazione di informazioni sullo scopo e sulla natura del rapporto continuativo o della prestazione professionale, fra cui quelle relative alle relazioni intercorrenti tra il cliente e l’esecutore, tra il cliente e il titolare effettivo e quelle relative all’attività lavorativa, nonché, in funzione del rischio, ulteriori informazioni, ivi comprese quelle relative alla situazione economico-patrimoniale del cliente.
Nei confronti delle persone politicamente esposte, poi, l’art. 25, che prevede le modalità di esecuzione degli obblighi di adeguata verifica rafforzata della clientela, al comma 4 precisa che occorre adottare misure adeguate a stabilire l’origine del patrimonio e dei fondi impiegati nel rapporto continuativo o nell’operazione.
Ma non solo dati personali.
La regola tecnica n. 2 al punto 2.5 nell’indicare le misure di adeguata verifica rafforzata fornisce alcuni suggerimenti fra i quali quello di verificare la sottoposizione del cliente o di soggetti ad esso collegati, purché resi noti al professionista e coinvolti nelle attività oggetto della prestazione professionale, ad indagini o processi penali per circostanze attinenti al riciclaggio e/o al finanziamento del terrorismo, ovvero la riconducibilità degli stessi ad ambienti del radicalismo o estremismo.
Le Linee Guida, poi, nell’indicare la documentazione che deve essere tenuta nell’ambito del fascicolo del cliente, richiamano la Dichiarazione sostitutiva di certificazioni e di atti notori o certificato del Tribunale in merito ad eventuali condanne e procedimenti penali in corso, nel caso si venga a conoscenza di condanne o procedimenti in corso e si ritenga necessario escludere un eventuale collegamento con la prestazione professionale richiesta o in corso.
4. La conservazione di dati, documenti ed informazioni ai fini antiriciclaggio
Abbiamo detto che l’art. 32 del Dlgs 231/07 al comma 2 stabilisce che le modalità di conservazione adottate devono prevenire qualsiasi perdita dei dati e delle informazioni e alla lettera c) dello stesso comma 2 precisa che le modalità di conservazione devono assicurare l’integrità dei dati e delle informazioni e la non alterabilità dei medesimi successivamente alla loro acquisizione.
In merito l’art. 32 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, e che nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Tali valutazioni e tali configurazioni vanno effettuate fin dalla progettazione e per impostazione predefinita. Si tratta, cioè, di applicare i principi della Privacy by design e by default che costituiscono criteri cardine del GDPR e che mirano a far sì che il trattamento sia costruito fin dall’inizio, fin dalla fase della progettazione, in modo tale che siano assicurate, mediante misure tecniche ed organizzative, le garanzie indispensabili a dimostrare che sono rispettati i principi del GDPR e che vengano trattati sempre e per default solo i dati personali necessari a raggiungere le finalità del trattamento.
Ma non basta dotarsi di un sistema formale per dichiarare di rispettare i principi e gli obblighi previsti dal Reg UE 679/2016, occorre infatti essere anche in grado di comprovare l’effettivo rispetto di tali principi ed obblighi. E’ questo l’effetto dell’ulteriore principio cardine del GDPR la c.d. Accountability o responsabilizzazione (artt. 5, para 2, e 24, para 1).
5. Le misure utili a garantire un livello di sicurezza adeguato ai rischi antiriciclaggio e privacy
L’art. 32 del Reg UE 679/2016 cita a mero titolo esemplificativo una serie di possibili misure tecniche ed organizzative che variano a seconda che il trattamento sia effettuato con modalità cartacee o elettroniche. In sostanza non è più previsto l’obbligo di adeguarsi a misure minime prescritte dal legislatore in quanto l’entrata in vigore del GDPR (e del decreto 101/2018 di adeguamento del Codice privacy al Regolamento europeo) ha comportato l’abrogazione dell’allegato B al Dlgs 196/2003 che prevedeva le Misure Minime di Sicurezza. Oggi è il titolare (cioè il soggetto obbligato) che deve individuare le misure di sicurezza adeguate al rischio. Le vecchie misure, ancorché quell’allegato sia stato abrogato, costituiscono comunque un punto di riferimento e di partenza.
In tale contesto i dati personali devono essere trattati soltanto da persone espressamente e formalmente autorizzate dal titolare del trattamento ed in tal senso formate (artt. 29 e 32, para 4 del GDPR). Analogamente l’art. 16, comma 3 del Dlgs 231/07 prevede che i soggetti obbligati adottano misure proporzionate ai propri rischi, alla propria natura e alle proprie dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono tenuti ai sensi del presente decreto, ivi compresi quelli in materia di protezione dei dati personali. La formazione, peraltro, ai sensi della regola tecnica n. 1, costituisce uno degli elementi di valutazione del grado di vulnerabilità dello studio professionale.
Occorre, inoltre, formalizzare un vero e proprio organigramma che preveda ruoli e mansioni in tema di antiriciclaggio e protezione dei dati personali.
I dati trattati in modalità cartacea, poi, devono essere custodi in armadi chiusi a chiave ad accesso riservato solo agli autorizzati e devono essere distrutti, all’occorrenza, con modalità adeguate a prevenire divulgazioni o accessi ai dati trattati non autorizzati. I dati trattati con modalità elettroniche devono prevedere misure di sicurezza più stringenti e quantomeno:
• accesso con credenziali per ogni singolo autorizzato che per accedere ai dati deve superare una procedura di autenticazione che prevede codice identificativo e password di almeno 8, se non 10, caratteri da modificare almeno ogni 6 mesi – tre per i dati particolari e giudiziari;
• regole per la custodia delle password;
• regolamento per l’utilizzo della posta elettronica ed internet e per l’utilizzo dei dispositivi informatici anche mobili;
• regole con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema) sistemi informatici;
• individuazione, laddove gli autorizzati possono accedere a differenti serie di informazioni, di profili diversi di autorizzazioni;
• implementazione di software di protezione quali antivirus, firewall;
• adozione di sistema di backup dei dati prevedendo salvataggi periodici stringenti ed effettivi;
• posizionamento dei sistemi di backup in maniera tale da evitare che in caso di eventi accidentali o dolosi che riguardano il sistema centrale possa essere compromessa anche l’unità di backup;
• adozione di sistemi cifratura nella trasmissione di dati personali.
Le strutture ove avvengono i trattamenti di dati personali devono, poi, essere dotate di misure di protezione quali:
• sistemi di allarme;
• porte blindate;
• sistemi di videosorveglianza. In tal caso occorre prestare attenzione alla connessione con le norme dello Statuto dei lavoratori ove l’impianto consenta anche potenzialmente il controllo a distanza dell’attività dei lavoratori.

6. L’utilizzo di soggetti terzi per la conservazione dei documenti, dei dati e delle informazioni ai fini antiriciclaggio
Per la conservazione dei documenti, dei dati e delle informazioni i soggetti obbligati possono avvalersi di un autonomo centro di servizi, ferma restando la responsabilità del soggetto obbligato e purché sia assicurato a quest’ultimo l’accesso diretto e immediato al sistema di conservazione (art. 32, comma 4 del Dlgs 231/07). In proposito, è evidente la connessione con la tematica affrontata dall’art. 28 del GDPR che disciplina la figura del Responsabile del trattamento, individuato, ai sensi dell’art. 4 dello stesso regolamento, come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
L’autonomo centro servizi, il soggetto terzo cioè, è certamente un responsabile del trattamento, per cui il soggetto obbligato, titolare del trattamento, deve preoccuparsi di disciplinare tale trattamento (conservazione) da parte del responsabile con apposito contratto o con altro atto giuridico che preveda gli obblighi stabiliti dal citato art. 28 e cioè che il responsabile del trattamento:
• tratti i dati secondo le istruzioni del titolare
• garantisca la sicurezza dei dati. Egli deve adottare tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR) e dovrà inoltre garantire la riservatezza dei dati, vincolando i dipendenti;
• avvisi, assista il titolare. Dovrà, quindi, consentire e contribuire alle attività di revisione, comprese le ispezioni (o audit), realizzate dal titolare del trattamento, dovrà avvisare il titolare se ritiene che un’istruzione ricevuta viola qualche norma in materia, dovrà prestare assistenza al titolare per l’evasione delle richieste degli interessati, dovrà avvisare il titolare in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di impatto (DPIA).
Il responsabile a sua volta può ricorrere a responsabili di secondo livello (sub-responsabili), a meno che il titolare non l’abbia vietato. È comunque il responsabile principale a rispondere di fronte al titolare del trattamento dell’operato dei sub-responsabili. Al sub-responsabile dovranno essere fornite le istruzioni, e dovrà operare nel rispetto degli obblighi imposti al primo responsabile del trattamento. È il primo responsabile che risponde dell’inadempimento dei sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal trattamento, nei confronti del titolare, a meno che non riesca a dimostrare che il danno non è in alcun modo imputabile a lui. Per questo motivo il responsabile deve sempre avvisare il titolare della nomina o modifica di un sub-responsabile.
L’autonomo centro servizi per la conservazione dei dati antiriciclaggio potrebbe individuarsi anche in un soggetto che offre il servizio di conservazione in Cloud. In merito, oltre all’inquadramento del gestore del servizio cloud quale responsabile del trattamento, occorre, pertanto, riflettere su alcuni elementi chiave quali:
• i dati non risiedono più su server “fisici” dell’utente, ma sono allocati sui sistemi del fornitore (a meno di copie in locale);
• l’infrastruttura del fornitore del servizio è condivisa tra molti utenti per cui sono fondamentali adeguati livelli di sicurezza;
• l’utilizzo del servizio avviene via web tramite la rete Internet che assume dunque un ruolo centrale in merito alla qualità dei servizi fruiti ed erogati;
• esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: oltre ai vantaggi, ci sono delle controindicazioni che bisogna conoscere.
Prima di optare per l’adozione di servizi di cloud computing è bene, comunque:
• verificare la quantità e la tipologia di dati che si intende esternalizzare;
• valutare gli eventuali rischi e le possibili conseguenze derivanti da tale scelta sotto il profilo della riservatezza e della loro rilevanza nel normale svolgimento della propria attività;
• valutare l’impatto in termini economici e organizzativi, in termini di indisponibilità, pur se parziale o per periodi limitati, dei dati esternalizzati o, peggio, la loro perdita o cancellazione;
• effettuare una verifica sull’affidabilità del fornitore e privilegiare i servizi che favoriscono la portabilità dei dati;
• assicurarsi la disponibilità dei dati in caso di necessità e selezionare i dati da inserire nella nuvola;
• non perdere di vista i dati e informarsi su dove risiederanno concretamente;
• fare attenzione alle clausole contrattuali, verificare tempi e modalità di conservazione dei dati ed esigere adeguate misure di sicurezza.

7. L’esecuzione degli obblighi di adeguata verifica da parte di terzi
Relativamente all’esecuzione degli obblighi di adeguata verifica da parte di terzi occorre attentamente valutare quali misure di sicurezza vengono adottate nella trasmissione dei dati personali che, si ricorda, sono, oltre alle attestazioni del terzo relative ai dati per l’adempimento degli obblighi di cui alle lettere a, b e c del 1 comma dell’art.18, le copie dei documenti acquisiti in sede di adeguata verifica eseguita dal terzo. Il richiamo alla cifratura tra le misure di sicurezza per i dati trattati in modalità elettronica appare pienamente calzante alla specifica fattispecie.
8. La tutela del segnalante che effettua una segnalazione di operazioni sospette e i sistemi interni di segnalazione delle violazioni
L’art. 48 del Dlgs 231/07 prevede l’adozione di una specifica procedura/sistema interno di segnalazione delle violazioni, il cd whistleblowing. Come già in altri ambiti (prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione, Responsabilità amministrativa degli enti per i reati commessi nel loro interesse o a loro vantaggio) anche in materia di antiriciclaggio è stata previsto che i soggetti obbligati adottino una procedura di segnalazione, da parte dei dipendenti, delle violazioni potenziali o effettive delle disposizioni volte a prevenire il riciclaggio o il finanziamento del terrorismo. Tale procedura deve garantire:
• la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione;
• la tutela adeguata del soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione;
• un canale specifico, indipendente e autonomo per la segnalazione.
Lo schema adottato per la gestione delle segnalazioni deve integrarsi con il Sistema di Gestione della Privacy (SGP) che il titolare del trattamento ha disegnato per la propria realtà aziendale. Il titolare del trattamento deve altresì provvedere ad informare i propri dipendenti attraverso la predisposizione di un’informativa ad hoc, redatta sulla base dell’art. 13 del GDPR. Occorrerà, inoltre, che il soggetto obbligato:
• assicuri la confidenzialità delle informazioni ricevute;
• utilizzi esclusivamente le informazioni che risultano necessarie in relazione al caso specifico oggetto di segnalazione;
• identifichi quali informazioni sono rilevanti ai fini dell’istruttoria che viene svolta nell’ambito della gestione della segnalazione;
• consenta l’accesso ai dati solamente ai soggetti Responsabili e abilitati alla ricezione di tale tipologia di segnalazioni, limitando il trasferimento delle informazioni riservate soltanto quando ciò risulta necessario.
La tutela del segnalante che effettua una segnalazione di operazioni sospette è prevista dall’art. 38 del Dlgs 231/07 che in merito precisa che non solo i soggetti obbligati ma anche gli organismi di autoregolamentazione devono adottare misure idonee ad assicurare la riservatezza dell’identità del soggetto che effettua la segnalazione, aggiungendo che Il titolare della competente funzione, il legale rappresentante o altro soggetto all’uopo delegato presso i soggetti obbligati sono responsabili della custodia degli atti e dei documenti in cui sono indicate le generalità del segnalante.
Anche in tal caso, quindi, dovranno essere adottate adeguate misure di sicurezza organizzative, fisiche ed eventualmente elettroniche per tutelare l’identità del segnalante, oltre che la riservatezza delle informazioni ricevute, nonché per garantire l’accesso ai dati solamente ai soggetti Responsabili e abilitati alla ricezione di tale tipologia di segnalazioni.
9. Le limitazioni ai diritti dell’interessato
Un ultimo cenno, poi, al fatto che i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo al Garante della privacy (ex art. 2-undecies del Codice Privacy novellato dal D.lgs. 101/2018) qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto, tra gli altri, agli interessi tutelati in base alle disposizioni in materia di riciclaggio.

Dott. Alfredo Sanfelice
Consulente privacy e antiriciclaggio, dpo 

Dott. Gaetano Mastropierro
Consulente privacy e antiriciclaggio, dpo 

Articolo pubblicato su Altalex – quotidiano giuridico 

Condividi questo post:
Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on whatsapp
WhatsApp