GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29della direttiva 95/46/CE. È l'organo consultivo indipendente dell'UE per laprotezione dei dati personali e della vita privata. I suoi compiti sono fissatiall'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm

 

Parere14/2011 - WP 186

sulle questioni di protezione deidati legate alla prevenzione del riciclaggio di denaro e del finanziamento delterrorismo

adottato il13 giugno 2011

 

IL GRUPPO PER LA TUTELA DELLE PERSONECON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,

istituito dalla direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995,

visti l'articolo 29, l'articolo 30, paragrafo 1, lettera c) el'articolo 30, paragrafo 3, della suddetta direttiva,

visto il proprio regolamento interno, ed in particolare gliarticoli 12 e 14,

 

1. INTRODUZIONE

Nel corso dell'odierna seduta plenaria, il Gruppo di lavoro"Articolo 29" per la protezione dei dati ("Gruppo di lavoro") ha formulato44 raccomandazioni relative alle questioni di privacy e protezione dei daticollegate alla prevenzione del riciclaggio di denaro e del finanziamento delterrorismo ("RD/FT"), allegate al presente parere.

 

2. CONTESTO E SCOPO DELLE 44 RACCOMANDAZIONIRD/FT

L'adozione di queste raccomandazioni è stata preceduta dallaconsultazione di varie parti interessate, fra cui, ma non solo, la Commissioneeuropea, i rappresentanti degli organismi tenuti all'obbligo di informazione,le unità di informazione finanziaria, le banche nazionali e la FATF. Questo pergarantire che tutte le questioni relative alla protezione dei dati e allaprivacy sollevate da questi interlocutori fossero esaminate alla luce delvigente quadro giuridico in materia.

Scopo delle raccomandazioni è fornire un punto di vista eorientamenti pratici ai legislatori, agli organismi tenuti a forniresegnalazioni, alle autorità di regolamentazione, alle unità di informazionefinanziaria, alle autorità di controllo e alle altre parti interessateincaricate di applicare principi e regolamentazioni sia nel settore dellaprevenzione del riciclaggio di denaro e del finanziamento del terrorismo che inquello della privacy e della protezione dei dati, a livello sia UE chenazionale.

Le raccomandazioni rispondono alla necessità di avere ampiorientamenti pratici a livello UE nei settori combinati della prevenzione delriciclaggio di denaro e finanziamento del terrorismo e della privacy eprotezione dei dati (vedi punto 1.4 dell'allegato).

 

3. PRINCIPALI PREOCCUPAZIONI

Le raccomandazioni rispondono a varie preoccupazioni (punto 1.5dell'allegato). Le principali idee in esse affrontate sono presentate qui diseguito.

* Il rispetto della vita privata e la protezione dei dati sonoriconosciuti nell'UE come diritti umani nell'ambito di una società democratica secondo la legge (articolo 8 CEDU),e devono sempre essere applicati come tali, piuttosto che sulla base dellegittimo interesse o del consenso dell'interessato (Racc. 1). Pertanto, lemisure imposte come obblighi ai fini della prevenzione del riciclaggio didenaro e del finanziamento del terrorismo dovrebbero sempre avere una chiarebase giuridica e rimanere necessarie e proporzionate alla natura dei dati. IlGruppo di lavoro raccomanda, fra l'altro, una revisione delle attuali normativeRD/FT a livello sia UE che nazionale (Racc. 3), una maggiore armonizzazione alivello UE (Racc. 5), comprensibili politiche di protezione dei dati (Racc.12), chiare informazioni per le misure RD/FT visibili, come questionari, e lalimitazione dei servizi (Racc. 13), e la rigorosa e chiara applicazione delprincipio della limitazione delle finalità nelle normative RD/FT (Racc. 15-16).

* Occorre affrontare i principi e gli obblighi in questo settore in modo equilibrato, tenendo contodelle varie opinioni, dei vari interessi e del quadro giuridico nell'UE e al difuori dell'UE. Gli esempi includono la stesure di norme e orientamenti RD/FT(Racc. 2), il ricorso a valutazioni preliminari ai fini della protezione deidati (Racc. 7-9), un uso equilibrato del feedback (Racc. 22), l'evitareregolamentazioni RD/FT esagerate (Racc. 23), sistemi equilibrati di scambio didati (Racc. 26), una visione equilibrata dei meccanismi di conservazione deidati (Racc. 28), e una visione equilibrata relativa alla rivelazione delleinformazioni riservate, che rispetti il diritto alla protezione dei dati (Racc.12-13).

* Nel settore in oggetto, occorre sempre affrontare ed elaborare idiritti e gli obblighi in materia di vita privata e di protezione dei dati in modo positivo, invece che farviriferimento in modo negativo. Esempi di approcci negativi sono, ad esempio: ilfatto di presentare la privacy e la protezione dei dati come un ostacolo che sipuò o che occorre sempre aggirare; l'applicazione indiscriminata di deroghealla legislazione sulla protezione dei dati, senza tenere conto dellecondizioni richieste per tali deroghe, e senza proporre alcun contenuto osostanza reali per la protezione della privacy e dei dati nel contesto deltrattamento RD/FT. L'idea di un approccio positivo è illustrata fra l'altrodalle raccomandazioni che riguardano misure specifiche come: adozione dipolitiche pubbliche e documentate relative alla protezione della privacy e deidati da parte degli organismi tenuti all'obbligo di informazione, delle unitàdi informazione finanziaria, e degli organismi di vigilanza finanziaria (Racc.11); politiche di protezione dei dati interni e riservati (Racc. 14);prevenzione del furto di identità (Racc. 38), ricorso ai disclaimer delle unitàdi informazione finanziaria per l'uso delle tipologie (Racc. 19) e meccanismodi feedback (Racc. 21); garanzie appropriate per ogni operazione di profiling(Racc. 20); costante esame dell'esattezza dei dati (Racc. 29); conservazionedella fonte dei dati e della data per tutti i dati e tutte le valutazioni RD/FT(Racc. 30); accesso e supervisione attraverso le autorità di protezione deidati (Racc. 34); protezione dei dati sensibili (Racc. 37).

* Il Gruppo di lavororaccomanda che, per garantire una protezione reale ed effettiva, eil rispetto delle vita privata e della protezione dei dati in quest'ambito, siaintrapresa l'applicazione di varie forme di valutazione preliminare dellenormative, delle procedure e dei progetti RD/FT. Tali forme comprendonovalutazioni d'impatto sulla privacy, tecniche di audit, e il lavoro deifunzionari responsabili della protezione dei dati ... (Racc. 7-10). Sonoinoltre raccomandate valutazioni della qualità come test di stress BCR per leistituzioni che vogliono adottare tali norme (Racc. 39), criteri di riferimentopertinenti per il livello adeguato di protezione per i trasferimentiinternazionali (Racc. 40), e il ricorso a protocolli d'intesa da parte delleunità di informazione finanziaria come strumenti per la protezione dei dati(Racc. 43).

* Per garantire certezza del diritto a livello UE è necessaria una cooperazione continua econsolidata fra le varie parti interessate, fra cui le varieautorità di vigilanza come le autorità per la protezione dei dati, le unità diinformazione finanziaria e le autorità di regolamentazione finanziaria (Racc.17).

 

4. CONCLUSIONE

Il Gruppo di lavoro "Articolo 29" seguirà leraccomandazioni allegate e i rilevanti sviluppi nella legislazione e nelleprassi negli ambiti combinati della prevenzione del riciclaggio di denaro efinanziamento del terrorismo e della protezione della privacy e dei dati.

Fatto a Bruxelles, 13 giugno 2011

Per il Gruppo di lavoro

Il Presidente Jacob KOHNSTAMM