In ambito antiriciclaggio, la base giuridica del trattamento non è unica: cambia a seconda che si trattino dati comuni, dati particolari o dati giudiziari. Per i dati comuni basta l’obbligo legale ex art. 6 GDPR; per i dati particolari serve una norma di legge che autorizzi il trattamento ai sensi dell’art. 9 GDPR, mentre per i dati giudiziari si applica l’art. 10 GDPR letto insieme all’art. 22 del Codice Privacy e alle autorizzazioni specifiche del Garante. Uno studio legale soggetto agli obblighi del D.lgs. 231/2007 deve mappare ogni categoria di dato e aggiornare di conseguenza il proprio registro dei trattamenti.
Punti chiave
- Punto 1 — Per i dati comuni in ambito antiriciclaggio la base giuridica è l’obbligo legale ex art. 6, par. 1, lett. c) GDPR.
- Punto 2 — I dati particolari richiedono una norma di legge abilitante ai sensi dell’art. 9, par. 2, lett. g) GDPR.
- Punto 3 — I dati giudiziari sono regolati dall’art. 10 GDPR e dall’art. 22 D.lgs. 196/2003, con specifiche autorizzazioni del Garante.
Uno studio legale soggetto agli obblighi antiriciclaggio non può usare un’unica etichetta come base giuridica per tutto il trattamento dei dati. La categoria del dato — comune, particolare o giudiziario — determina il regime applicabile, e sbagliare questa classificazione espone lo studio a contestazioni del Garante e a potenziali sanzioni fino a 20 milioni di euro o al 4% del fatturato globale ex art. 83 GDPR.
Il tema è ripreso da un’analisi pubblicata su Agenda Digitale, che mappa le intersezioni tra GDPR, D.lgs. 231/2007 e Codice Privacy con riferimento alle diverse tipologie di dato trattate nell’adempimento antiriciclaggio.
Il contesto normativo
Il D.lgs. 231/2007, come modificato dal D.lgs. 90/2017, impone agli studi legali obblighi di adeguata verifica della clientela, conservazione e segnalazione delle operazioni sospette. Questi adempimenti comportano necessariamente il trattamento di dati personali, ma la base giuridica varia per ciascuna categoria.
Per i dati comuni (es. generalità del cliente, dati del titolare effettivo), la base è l’obbligo legale ai sensi dell’art. 6, par. 1, lett. c) GDPR. Per i dati particolari — che nell’antiriciclaggio possono emergere indirettamente, ad esempio da operazioni legate a procedimenti giudiziari o da informazioni sullo stato di salute — occorre una norma di legge o regolamento che li autorizzi esplicitamente, come previsto dall’art. 9, par. 2, lett. g) GDPR. Per i dati giudiziari, il combinato disposto dell’art. 10 GDPR e dell’art. 22 D.lgs. 196/2003 (Codice Privacy) richiede un’autorizzazione specifica, storicamente garantita dall’Autorizzazione generale del Garante n. 7, oggi assorbita nel Provvedimento del 12 novembre 2014 e successive revisioni.
Cosa cambia per lo studio
- Aggiorna il registro dei trattamenti (art. 30 GDPR): distingui esplicitamente le tre categorie di dati trattati in funzione antiriciclaggio e indica per ciascuna la base giuridica corretta. Un registro generico che cita solo “obbligo legale” per tutti i dati è insufficiente.
- Verifica se tratti davvero dati giudiziari: nel contesto dell’adeguata verifica ex artt. 17-25 D.lgs. 231/2007, potresti raccogliere informazioni su procedimenti penali a carico del cliente o del titolare effettivo. Questi dati richiedono una base giuridica autonoma rispetto ai dati comuni.
- Aggiorna l’informativa privacy ex art. 13 GDPR: il cliente deve sapere quali categorie di dati raccogli e su quale base. Un’informativa che non distingue tra le categorie è formalmente non conforme.
- Controlla le misure di sicurezza differenziate: i dati particolari e giudiziari richiedono misure tecniche e organizzative più stringenti rispetto ai dati comuni, come previsto dall’art. 32 GDPR e ribadito nelle Linee guida EDPB 4/2019.
- Forma i collaboratori: chi gestisce la pratica antiriciclaggio in studio deve sapere riconoscere quando un dato supera la soglia del “dato comune” e attivare il trattamento appropriato.
Attenzione a
Non confondere l’obbligo legale con il consenso. L’errore più frequente è inserire il consenso del cliente come base giuridica per il trattamento antiriciclaggio. Il consenso è incompatibile con un trattamento obbligatorio per legge: se il cliente nega il consenso, lo studio non può rifiutarsi di adempiere agli obblighi del D.lgs. 231/2007. La base corretta per i dati comuni è e resta l’art. 6, par. 1, lett. c) GDPR.
Attenzione alla conservazione dei dati giudiziari. L’art. 31 D.lgs. 231/2007 impone la conservazione dei documenti per 10 anni dalla fine del rapporto. Questo termine si applica anche ai dati giudiziari, ma la loro conservazione prolungata deve essere espressamente giustificata nel registro dei trattamenti e nell’informativa, con misure di sicurezza adeguate al maggiore rischio.
Domande frequenti
Quale base giuridica usare per i dati antiriciclaggio nel GDPR?
Per i dati comuni (generalità del cliente, titolare effettivo) la base è l’obbligo legale ex art. 6, par. 1, lett. c) GDPR. Per i dati particolari serve l’art. 9, par. 2, lett. g) GDPR con norma abilitante. Per i dati giudiziari si applica l’art. 10 GDPR insieme all’art. 22 D.lgs. 196/2003. Non usare mai il consenso come base: è incompatibile con un obbligo di legge.
Uno studio legale è soggetto al D.lgs. 231/2007 antiriciclaggio?
Sì, gli avvocati rientrano tra i soggetti obbligati quando svolgono attività indicate nell’art. 12 D.lgs. 231/2007: operazioni su beni immobili, gestione di denaro o valori mobiliari, apertura o gestione di conti, costituzione o gestione di società. L’attività difensiva in senso stretto è esclusa, ma molte attività consulenziali tipiche di uno studio rientrano nel perimetro.
Per quanto tempo uno studio legale deve conservare i dati antiriciclaggio?
L’art. 31 D.lgs. 231/2007 impone la conservazione per 10 anni dalla fine del rapporto professionale o dall’esecuzione dell’operazione occasionale. Questo termine si applica anche ai dati giudiziari eventualmente raccolti, che devono però essere conservati con misure di sicurezza rafforzate e con espressa indicazione nel registro dei trattamenti ex art. 30 GDPR.
Fonte di riferimento: AgendaDigitale