Antiriciclaggio senza eccessi. L’intermediario deve controllare i dati personali dell’esecutore dell’operazione solo se giustificato dal rischio dell’attività. Altrimenti la legge sulla privacy impedisce di raccogliere informazioni a tappeto. Il Garante, con il provvedimento 533/2013 (reso noto dalla newsletter dell’Autorità di ieri 16 gennaio 2014), ha precisato che l’adeguata verifica della clientela (adempimento imposto dalla normativa antiriciclaggio, dlgs n. 231/2007) deve essere sempre condotta con un approccio basato sul rischio.
Se si eccede il trattamento dei dati è illecito.
Ma vediamo di illustrare la vicenda.
IL FATTO
Un dipendente comunale, correntista delle Poste, è andato all’ufficio postale per fare un’operazione, non per sé, ma per conto del comune, di valore eccedente i 5 mila euro (acquisto voucher per pagare lavoratori occasionali). L’ufficio postale, in relazione all’importo della transazione, ha attivato alcuni controlli, consistenti nell’acceso ai dati personali del dipendente.
In particolare sono stati analizzati tutti i rapporti intrattenuti con le poste, come persona privata, tra cui un conto corrente postale cointestato con il padre per il ritiro della pensione e una tessera prepagata.
Anzi. L’operazione per conto del comune è stata effettuata solo dopo l’aggiornamento dei dati registrati sul conto dell’incaricato comunale (dovevano essere aggiornati i riferimenti del documenti di identità).
In garante è stato, dunque, chiamato a verificare se vi sia stata una intromissione indebita nella vita privata dell’interessato. E ha risposto affermativamente.
GLI ADEMPIMENTI
Certo la normativa antiriciclaggio prevede l’obbligo di adeguata verifica della clientela, ma questo deve avvenire pur sempre nel rispetto delle garanzie a protezione dei dati personali e i sistemi predisposti dagli intermediari, anche quelli informatici, devono risultare proporzionati al rischio di riciclaggio; rischio da valutare anche in base al tipo di cliente e alle caratteristiche della concreta operazione. Si parla, infatti, di «approccio basato sul rischio».
Quindi, è vero che si deve procedere alla corretta identificazione anche dei semplici esecutori materiali di operazioni occasionali effettuate per conto terzi. Tuttavia questi obblighi devono essere assolti calcolando il grado di rischiosità associato al tipo di cliente, all’operazione che si intende effettuare, al rapporto avviato o alla prestazione professionale richiesta.
Nel caso specifico l’importo basso dell’operazione, la conoscenza personale del cliente da parte della direttrice dell’ufficio postale, la natura pubblica dell’ente rappresentato e la motivazione dell’operazione rendono illegittimo il controllo a tappeto sui rapporti privatamente intrattenuti dall’interessato con la stessa società.
Alle poste è stato prescritto, di conseguenza, di adottare opportune misure formative e tecnico-organizzative idonee a prevenire abusi nell’applicazione delle disposizioni antiriciclaggio.
La prescrizione è estensibile a tutti gli intermediari e gli altri soggetti tenuti all’obbligo di adeguata verifica della clientela.