Conservazione dei dati negli studi professionali
La dimostrazione dell’avvenuta esecuzione degli obblighi di adeguata verifica e controllo costante del cliente e della prestazione richiesta dal medesimo cliente in tema di antiriciclaggio e di contrasto al finanziamento del terrorismo avviene attraverso l’esibizione dei documenti, delle scritture e delle valutazioni eseguite dal momento della richiesta della prestazione professionale fino alla conclusione della stessa.
Ora in tema di conservazione il Decreto legislativo 321/2007 così come integrato e modificato dal Decreto legislativo 90/2017, agli articoli 31 e 32 dispongono che tutte le scritture e i documenti devono essere conservati per dieci anni dall’ultimazione della prestazione. Quindi un periodo molto lungo considerando per esempio una prestazione di tenuta della contabilità che si protrae nel tempo.
Cosa va conservato?
Nello specifico, i Professionisti e tutti gli altri soggetti obbligati devono conservare:
- copia dei documenti acquisiti in occasione dell’adeguata verifica della clientela;
- l’originale ovvero copia avente efficacia probatoria delle scritture e registrazioni inerenti alle operazioni ai sensi della normativa vigente.
Il tutto al fine di rendere possibile la ricostruzione univoca dei seguenti elementi:
- data di instaurazione del rapporto continuativo o del conferimento dell’incarico;
- dati identificativi del cliente, del titolare effettivo e dell’esecutore;
- informazioni sullo scopo, sulla natura della prestazione;
- data importo e causale dell’operazione;
- mezzi di pagamento utilizzati.
I dati, documenti e informazioni devono essere conservati in modo da assicurare:
- l’accessibilità completa e tempestiva ai dati e alle informazioni da parte delle autorità di controllo;
- la tempestiva acquisizione, da parte del soggetto obbligato, dei documenti, dei dati e delle informazioni, con indicazione della relativa data. È considerata tempestiva l'acquisizione conclusa entro trenta giorni dall'instaurazione del rapporto continuativo o dal conferimento dell'incarico per lo svolgimento della prestazione professionale, dall'esecuzione dell'operazione o della prestazione professionale, dalla variazione e dalla chiusura del rapporto continuativo o della prestazione professionale;
- l’integrità dei dati e delle informazioni e la non alterabilità dei medesimi successivamente alla loro acquisizione;
- la trasparenza, la completezza e la chiarezza dei dati e delle informazioni nonché' il mantenimento della storicità dei medesimi.
I dati, i documenti e le informazioni sono continuamente aggiornati a seguito del controllo costante del cliente e della prestazione che il professionista è chiamato a svolgere in base all’indice di rischio attribuito.
Come si intuisce, la conservazione dei dati, documenti e informazioni è un’attività fondamentale per il soggetto destinatario degli obblighi tanto da indurre il Consiglio Nazionale dei Dottori Commercialisti e Esperti Contabili ha dedicare un’intera regola tecnica, nello specifico la nr. 3, nelle ultime disposizioni del 23 gennaio 2019.
In particolare, l’organo di autoregolamentazione dei Commercialisti e degli Esperti Contabili rafforzando quanto indicato dal legislatore nazionale ed europeo, dispongono che ciascuna di queste informazioni sia conservata mediante sistemi di conservazione idonei ad evitarne la perdita e a mantenere nel tempo l’integrità, la leggibilità e la reperibilità dei documenti acquisiti in sede di adeguata verifica.
Secondo il documento del CNDCEC, il professionista potrà scegliere discrezionalmente le modalità di conservazione cartacea ed informatica, oppure mista, con la facoltà peraltro di continuare ad alimentare i sistemi informatici impiegati in precedenza.
NESSO tra Antiriciclaggio e Privacy
Lo stesso articolo 32 del D.Lgs. 231/2007 testualmente dispone:
“1 soggetti obbligati adottano sistemi di conservazione dei documenti, dei dati e delle informazioni idonei a garantire il rispetto delle norme dettate dal codice in materia di protezione dei dati personali nonché' il trattamento dei medesimi esclusivamente per le finalità di cui al presente decreto.
2. Le modalità di conservazione adottate devono prevenire qualsiasi perdita dei dati e delle informazioni ed essere idonee a garantire la ricostruzione dell'operatività o attività del cliente nonché' l'indicazione esplicita dei soggetti.”
A ben vedere, quindi, il legislatore nazionale ed anche il legislatore europeo con la specifica direttiva del 2015 ha inteso disporre che le informazioni e i dati devono essere trattati nel rispetto delle norme privacy, obbligando, di conseguenza, lo Studio a dotarsi di sistemi di conservazione adeguati alle proprie dimensioni, considerando la tipologia di dati trattati nel corso della prestazione professionale.
Il GDPR pone un importante attenzione sulla sicurezza dei dati ed indica in maniera chiara e prescrittiva le misure da impiegare, considerato che l’obiettivo del GDPR è quello di tutelare i cittadini in materia di privacy, ciò non può prescindere dai trattamenti che devono avere misure di sicurezza adeguate.
Ciò vuol dire che i Professionisti e gli Studi Professionali, trattando dati e informazioni dei clienti, compresi anche i dati dell’esecutore e di eventuali titolari effettivi, e procedendo anche ad una profilazione del cliente, devono assumersi la responsabilità di decidere le misure idonee di sicurezza, analizzando la propria organizzazione, la natura delle informazioni, le finalità perseguite attraverso il trattamento dei dati degli interessati.
Secondo le norme generali del GDPR, vanno garantiti:
- la disponibilità dei dati, quindi la salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati;
- l’integrità dei dati, a garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici;
- la riservatezza informatica, cioè la gestione della sicurezza in modo da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata.
In qualsiasi momento, il professionista dovrà essere in grado di comprovare di aver rispettato questi criteri per essere conforme al GDPR.
Il regolamento generale europeo (GDPR) stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica tra quelle indicate nell’art. 6, che sono: il consenso, adempimento di obblighi contrattuali, obblighi di legge cui è soggetto il titolare del trattamento, interessi vitali della persona interessata o di terzi, legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, Interesse pubblico o esercizio di pubblici poteri.
Nel caso specifico, è evidente che la raccolta e il trattamento dei dati per finalità antiriciclaggio è effettuata dal professionista quale titolare del trattamento al fine di adempiere a un “obbligo legale” determinandone così la liceità del trattamento dei dati personali a prescindere dal “consenso” dell’interessato.
Alcuni esperti delle materie fanno ricadere anche la liceità dei trattamenti nella base giuridica dell’” Interesse pubblico o esercizio di pubblici poteri” avendo la normativa quale scopo quello di preservare l’interesse pubblico dell’economia da attività di riciclaggio di proventi da reato o di finanziamento del terrorismo, così come specificato nella premessa del Decreto legislativo e nelle Direttive Europee. Infatti, nella “premessa” dello schema di decreto legislativo recante attuazione della direttiva (UE) 2015/849 viene testualmente precisato che “le ragioni del nuovo intervento riguardano la necessità di rafforzare il mercato interno riducendo la complessità transfrontaliera, di contribuire alla stabilità finanziaria tutelando la solidità, il funzionamento regolare e l’integrità del sistema finanziario e di salvaguardare la prosperità economica dell’Unione europea assicurando un efficiente contesto imprenditoriale”.
Anche in assenza del consenso il soggetto destinatario della normativa antiriciclaggio, nella raccolta dei dati ritenuti necessari deve porre attenzione a non confluire in quelle circostanze che rendano inopportuno o eccedente il controllo commisurando il relativo adempimento al grado di rischiosità associato al cliente o all’operazione o prestazione professionale richiesta.
Allo stesso modo i dati raccolti dovranno comunque essere trattati esclusivamente ai fini antiriciclaggio, dovrà essere garantita la sicurezza degli stessi. Lo Studio professionale dovrebbe ridurre al minimo i rischi di distruzione o perdita dei dati, anche accidentale, e soprattutto dovrebbe garantire che non venga effettuato un accesso alle informazioni da parte di soggetti non autorizzati.
Dovrà essere rispettato il principio della limitazione della conservazione dei dati personali per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” che nella fattispecie specifica sono dettati dall’art. 31 del D.Lgs. n. 231/2007 ove prevede il limite temporale di “10 anni” dalla cessazione del rapporto continuativo, della prestazione professionale o dall’esecuzione dell’operazione occasionale.
In conclusione, alla luce di quanto sopra appare opportuno definire un unico modello integrato organizzativo che permetta al professionista di governare in modo efficace le diverse sfaccettature che potrebbero celarsi dietro una specifica operazione. Solo così si può cogliere e gestire il collegamento tra le normative in apparenza distanti tra loro, soprattutto in tema di conservazione. È necessario, inoltre, dotarsi di strumenti adeguati a proteggere e tutelare i dati e le informazioni dei clienti. Ciò deve essere inserito all’interno di procedure oggettive e dimostrabili, facilmente reperibili in caso di eventuali controlli degli organi preposti.
È necessario prevedere opportuni piani informativi inter-funzionale sia per i titolari degli studi sia per dipendenti e collaboratori in base alle proprie mansioni. Negli studi più strutturati è auspicabile istituire una specifica funzione e un responsabile per la conservazione dei dati, notizie e informazioni.
In tutto questo è d’obbligo considerare che i rischi informatici a cui è esposto un professionista possono essere diversi e non può più essere sottovalutato. La molteplicità e la varietà dei dati dei clienti trattati, siano essi ordinari o particolari, rende infatti lo Studio vulnerabile e facile obiettivo degli attacchi dei cyber criminali.
Ricordiamo infine che l’irregolare conservazione dei dati e/o la perdita di dati costituiscono violazioni previste a punite da entrambe le normative.
Infatti, ai sensi del D.Lgs. 231/2007, l’irregolare conservazione è sanzionata con una sanzione amministrativa di 2.000 euro e che, invece, in caso di violazioni gravi, ripetute, sistematiche o plurime è aumentata da un minimo di € 2.500 euro ad un massimo di € 300.000 euro.
Relativamente al GDPR, l’art. 83 distingue due macro-aree sulla base del principio generale di proporzionalità della pena rapportata all’inadempienza di legge. Nella prima rientrano le violazioni di minore gravità, per le quali sono previste sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Nella seconda categoria, invece, sono presenti sanzioni più rilevanti in considerazione del maggior peso e rilievo delle fattispecie a cui fanno riferimento ed ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Sono previste anche sanzioni penali in presenza di residuali attività dolose.
Per tutto quanto sopra indicato è importante per gli Studi professionali non sottovalutare le problematiche inerenti alla conservazione dei dati, elementi e informazioni al fine di evitare danni economici e reputazionali.