Le connessioni fra normativa antiriciclaggio e protezione dei dati personali sono particolarmente importanti e molto stringenti.
Con riferimento alla Direttiva UE n. 849/2015, in tema di prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione, deve attenzionare subito , sotto questo profilo, l’Art. 41, p. 2, che prescrive infatti che: « I dati personali sono trattati da soggetti obbligati sulla base della presente direttiva unicamente ai fini della prevenzione del riciclaggio e del finanziamento del terrorismo di cui all’articolo 1 e non sono successivamente trattati in modo incompatibile con tali finalità. Il trattamento dei dati personali ai sensi della presente direttiva per ogni altro fine, ad esempio a scopi commerciali, è vietato».
Di pregio ancora il riferimento al D.lgs. n. 231/2007, come successivamente modificato, il cui
Art. 3, c. 2 prescrive che «I sistemi e le procedure adottati ai sensi del comma 1, in merito agli idonei ed appropriati sistemi e procedure in materia di obblighi di adeguata verifica della clientela, di segnalazione delle operazioni sospette, di conservazione dei documenti, di controllo interno e di valutazione e di gestione del rischio] rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali.
Ancora, sempre nel D.lgs. n. 231/2007 si afferma che i soggetti obbligati assicurano che il trattamento dei dati acquisiti nell’adempimento degli obblighi di cui al presente decreto avvenga, per i soli scopi e per le attività da esso previsti e nel rispetto delle prescrizioni e delle garanzie stabilite dal Codice in materia di protezione dei dati personali, nonché che i sistemi e le procedure adottati ai sensi del presente articolo [al fine – in generale – di mitigare e gestire il rischio generale di riciclaggio e di finanziamento del terrorismo e – in particolare – di formare il proprio personale in merito agli obblighi di cui al presente decreto] rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa vigente in materia di protezione dei dati personali.
Ancora, sempre sotto il profilo della connessione antiriciclaggio e protezione dei dati personali si prescrive che i soggetti obbligati adottano misure proporzionate ai propri rischi, alla propria natura e alle proprie dimensioni, idonee a rendere note al proprio personale gli obblighi cui sono tenuti ai sensi del presente decreto, ivi compresi quelli in materia di protezione dei dati personali e che i soggetti obbligati adottano sistemi di conservazione dei documenti, dei dati e delle informazioni idonei a garantire il rispetto delle norme dettate dal codice in materia di protezione dei dati personali nonché il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto.
All’Art. 43 del D.lgs. n. 231/2007 si prescrive testualmente che “Il trattamento dei dati personali sulla base della presente direttiva ai fini della prevenzione del riciclaggio e del finanziamento del terrorismo di cui all’articolo 1 è considerato di interesse pubblico ai sensi della direttiva 95/46/CE”.
Pertanto, Il trattamento dei dati personali effettuato per le finalità consistenti nella prevenzione e nel contrasto dell’uso del sistema economico e finanziario a scopo di riciclaggio e finanziamento del terrorismo è considerato di interesse pubblico ai sensi del regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio e della relativa normativa nazionale di attuazione.
Da qui, il richiamo all’art 6 del Reg. U.E. n. 2016/679 ai sensi del quale si prescrive che:
« Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
Ed importante anche richiamare il paragrafo 3 del medesimo articolo che sancisce che «La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
- dal diritto dell’Unione; o
- dal diritto dello Stato membro cui è soggetto il titolare del trattamento.