((Art. 2 bis
Modifiche al decreto legislativo 21 novembre 2007, n. 231
1. Al capo II del titolo II del decreto legislativo 21 novembre
2007, n. 231, dopo l'articolo 34 e' aggiunto il seguente:
«Art. 34-bis. - (Banche dati informatiche presso gli organismi di
autoregolamentazione) - 1. Al fine di prevenire eventuali attivita'
di riciclaggio o di finanziamento del terrorismo, gli organismi di
autoregolamentazione possono istituire, previo parere favorevole del
Garante per la protezione dei dati personali, una banca dati
informatica centralizzata dei documenti, dei dati e delle
informazioni acquisiti dai professionisti nello svolgimento della
propria attivita' professionale che questi sono tenuti a conservare
ai sensi dell'articolo 31. La banca dati e' istituita e gestita in
proprio dagli organismi di autoregolamentazione, che determinano
quali documenti, dati e informazioni di cui all'articolo 31 devono
essere trasmessi alla banca dati informatica.
2. I professionisti trasmettono senza ritardo alla banca dati i
documenti, i dati e le informazioni di cui al comma 1.
3. Al fine di acquisire informazioni rilevanti per le valutazioni
di cui all'articolo 35, prima di prestare la propria opera
professionale o compiere le operazioni inerenti allo svolgimento
della propria attivita' professionale, ovvero prima dell'invio della
segnalazione di operazione sospetta nell'ipotesi prevista
dall'articolo 35, comma 2, i professionisti possono trasmettere alla
banca dati, per via telematica, i documenti, i dati e le informazioni
acquisiti nell'adempimento degli obblighi di adeguata verifica della
clientela di cui al presente decreto.
4. Nei casi di cui al comma 3, ovvero a seguito dell'invio di cui
al comma 2, qualora dalla banca dati, tenuto conto anche degli
indicatori e schemi di anomalia elaborati dalla UIF ai sensi del
presente decreto, emergano operativita' anomale basate sui parametri
quantitativi e qualitativi di cui al comma 5, il professionista
riceve un avviso a supporto delle valutazioni di cui all'articolo 35.
In ogni caso, resta ferma la responsabilita' del professionista per
l'adempimento dell'obbligo di segnalazione delle operazioni sospette,
anche nel caso di mancata ricezione dell'avviso.
5. L'avviso e' generato dalla banca dati sulla base di elementi
informativi associati a una determinata persona fisica o giuridica
quali la tipologia di cliente, la capacita' economica, la situazione
economico-patrimoniale, l'attivita' svolta, la residenza o sede in
Paesi terzi ad alto rischio secondo i criteri del presente decreto,
le caratteristiche, l'importo, la frequenza e la natura delle
prestazioni professionali rese o delle operazioni eseguite nonche' il
loro collegamento o frazionamento. Al fine di elaborare l'avviso,
l'organismo di autoregolamentazione puo' avvalersi di sistemi
automatizzati la cui logica algoritmica sia periodicamente
verificata, con cadenza almeno biennale, allo scopo di minimizzare il
rischio di errori, distorsioni o discriminazioni.
6. La trasmissione telematica alla banca dati effettuata dal
professionista ai sensi dei commi 2 e 3 non sostituisce gli obblighi
di cui agli articoli 31 e 32.
7. I documenti, i dati e le informazioni contenuti nella banca dati
sono valutati dagli organismi di autoregolamentazione ai fini
dell'informativa alla UIF ai sensi dell'articolo 11, comma 4, ultimo
periodo.
8. Gli organismi di autoregolamentazione non possono utilizzare i
documenti, i dati e le informazioni contenuti nella banca dati per
finalita' diverse da quelle di cui al presente articolo.
9. Il Ministero dell'economia e delle finanze, la UIF, il Nucleo
speciale di polizia valutaria della Guardia di finanza, la Direzione
investigativa antimafia e la Direzione nazionale antimafia e
antiterrorismo accedono alla banca dati per lo svolgimento delle
rispettive attribuzioni istituzionali come individuate dal presente
decreto. L'accesso alla medesima banca dati non e' consentito ai
singoli professionisti.
10. Le modalita' tecniche e operative dell'accesso di cui al comma
9 sono disciplinate con apposita convenzione sottoscritta da ciascuna
autorita' di cui al medesimo comma 9 con l'organismo di
autoregolamentazione, su conforme parere del Garante per la
protezione dei dati personali. Tali convenzioni regolano le modalita'
uniformi di attivazione del collegamento via web o tramite
cooperazione applicativa alla banca dati dell'organismo di
autoregolamentazione, nonche' le modalita' di identificazione,
modifica e revoca da parte dell'autorita' dei propri operatori
abilitati all'accesso, stabilendo le modalita' dei collegamenti e
degli accessi anche al fine di assicurare l'accesso selettivo ai soli
dati necessari al perseguimento delle finalita' di cui al comma 1. La
banca dati consente, attraverso gli strumenti definiti dal codice
dell'amministrazione digitale, di cui al decreto legislativo 7 marzo
2005, n. 82, la verifica dell'identita' digitale dei soggetti
abilitati all'accesso.
11. I documenti, i dati e le informazioni contenuti nella banca
dati ai sensi dei commi 1 e 3 sono trattati per le finalita' di cui
al presente articolo e secondo quanto in esso previsto, nel rispetto
del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, e della vigente normativa nazionale in materia di
protezione dei dati personali, restando escluso ogni ulteriore
utilizzo.
12. Titolare del trattamento dei dati personali, ai sensi e per gli
effetti della normativa vigente, e' l'organismo di
autoregolamentazione che istituisce la banca dati e provvede a detto
trattamento secondo quanto previsto al comma 11. L'organismo di
autoregolamentazione puo' anche avvalersi di apposite strutture
decentralizzate, in qualita' di responsabili del trattamento ai sensi
dell'articolo 28 del regolamento (UE) 2016/679.
13. L'organismo di autoregolamentazione adotta, prima del
trattamento e previo parere favorevole del Garante per la protezione
dei dati personali, misure tecniche e organizzative adeguate al
rischio dirette a:
a) garantire l'integrita' e la non alterabilita' dei documenti,
dei dati e delle informazioni contenuti nella banca dati, la
riservatezza dei medesimi nel rispetto della normativa in materia di
protezione dei dati personali, anche mediante l'utilizzo di tecniche
di crittografia, nonche' la tracciabilita' degli accessi, secondo
criteri selettivi, da parte dei soli soggetti autorizzati dagli
organismi di autoregolamentazione, anche in base alle convenzioni di
cui al comma 10;
b) individuare le specifiche modalita' tecniche di elaborazione,
trasmissione e comunicazione al professionista dell'avviso generato
dalla banca dati nei limiti di quanto stabilito dal comma 5.
14. Prima del trattamento, l'organismo di autoregolamentazione
effettua la valutazione di impatto sulla protezione dei dati
personali e la sottopone alla verifica preventiva del Garante per la
protezione dei dati personali. Nella valutazione di impatto sono
indicate, tra l'altro, le misure tecniche e organizzative idonee a
garantire un livello di sicurezza adeguato al rischio nonche' a
tutela dei diritti e delle liberta' degli interessati. Nella
valutazione di impatto sono altresi' disciplinati i tempi e le
modalita' di cancellazione dei dati.
15. I documenti, i dati e le informazioni acquisiti ai sensi dei
commi 1 e 3 sono conservati nella banca dati per un periodo di dieci
anni.
16. In relazione al trattamento dei dati personali contenuti nella
banca dati informatica, i diritti dell'interessato di cui agli
articoli da 15 a 18 e da 20 a 22 del regolamento (UE) 2016/679 si
esercitano nei limiti previsti dall'articolo 2-undecies del Codice in
materia di protezione dei dati personali.
17. Nel rispetto di quanto previsto dal presente articolo,
l'organismo di autoregolamentazione che istituisce la banca dati
adotta, ai sensi dell'articolo 11, comma 2, regole tecniche con le
quali sono individuati:
a) i documenti, i dati e le informazioni di cui all'articolo 31
che ai sensi del comma 1 del presente articolo devono essere
trasmessi alla banca dati informatica;
b) le modalita' tecniche di alimentazione della medesima banca
dati da parte dei professionisti;
c) le modalita' tecniche di controllo, da parte dell'organismo di
autoregolamentazione, riguardo alla corretta trasmissione dei
documenti, dei dati e delle informazioni di cui ai commi 1 e 3 da
parte dei professionisti, al fine del corretto funzionamento della
banca dati.
18. L'organismo di autoregolamentazione promuove e controlla
l'osservanza degli obblighi previsti dal presente articolo da parte
dei professionisti. In caso di violazioni gravi, ripetute o
sistematiche ovvero plurime si applica l'articolo 11, comma 3».
2. All'articolo 37 del decreto legislativo 21 novembre 2007, n.
231, dopo il comma 2 e' inserito il seguente:
«2-bis. Fermo restando quanto previsto ai commi 1 e 2 del
presente articolo, i professionisti, ai fini della valutazione delle
operazioni ai sensi dell'articolo 35, possono avvalersi della banca
dati informatica centralizzata di cui all'articolo 34-bis istituita
presso il proprio organismo di autoregolamentazione, per poter
ricevere, ricorrendone i presupposti, l'avviso di cui al comma 4 del
medesimo articolo 34-bis. Resta ferma in ogni caso la responsabilita'
del professionista per l'inadempimento dell'obbligo di segnalazione
delle operazioni sospette».))
Riferimenti normativi
- Si riportail testo dell'articolo 37 del decreto
legislativo 21 novembre 2007, n. 231, (Attuazione della
direttiva 2005/60/CE concernente la prevenzione
dell'utilizzo del sistema finanziario a scopo di
riciclaggio dei proventi di attivita' criminose e di
finanziamento del terrorismo nonche' della direttiva
2006/70/CE che ne reca misure di esecuzione), pubblicato
nella Gazzetta Ufficiale 14 dicembre 2007, n. 290, S.O.,
come modificato dalla presente legge:
«Art. 37 (Modalita' di segnalazione da parte dei
professionisti). - 1. I professionisti trasmettono la
segnalazione di operazione sospetta direttamente alla UIF
ovvero, ai sensi dell'articolo 11, comma 4, agli organismi
di autoregolamentazione.
2. Gli organismi di autoregolamentazione, ricevuta la
segnalazione di operazione sospetta da parte dei propri
iscritti, provvedono senza ritardo a trasmetterla
integralmente alla UIF, priva del nominativo del
segnalante.
2-bis. Fermo restando quanto previsto ai commi 1 e 2
del presente articolo, i professionisti, ai fini della
valutazione delle operazioni ai sensi dell'articolo 35,
possono avvalersi della banca dati informatica
centralizzata di cui all'articolo 34-bis istituita presso
il proprio organismo di autoregolamentazione, per poter
ricevere, ricorrendone i presupposti, l'avviso di cui al
comma 4 del medesimo articolo 34-bis. Resta ferma in ogni
caso la responsabilita' del professionista per
l'inadempimento dell'obbligo di segnalazione delle
operazioni sospette.
3. Per le societa' di revisione legale, il responsabile
dell'incarico di revisione, che partecipa al compimento
della prestazione e al quale compete la gestione del
rapporto con il cliente, ha l'obbligo di trasmettere senza
ritardo la segnalazione di operazione sospetta al titolare
della competente funzione, al legale rappresentante o a un
suo delegato. Quest'ultimo esamina le segnalazioni
pervenute e le trasmette alla UIF, prive del nominativo del
segnalante, qualora le ritenga fondate alla luce
dell'insieme degli elementi a propria disposizione e delle
evidenze desumibili dai dati e dalle informazioni
conservati.».