Il regolamento UE 2016/679 (25/05/2018) stabilisce precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.
Il consenso ad un certo trattamento, che fino ad oggi poteva essere tacito, diventa obbligatoriamente esplicito ed il cittadino potrà verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice.
Per le aziende e i professionisti cambia la visione generale che passa da una mera raccolta dei dati privacy ad una vera e propria verifica continua sull’adeguata applicazione del Regolamento.
La SCF dovrà garantire il trattamento dei dati in base ai principi fissati dal Regolamento Europeo.
L’oggetto della norma è qualsiasi attività di gestione del dato su qualsiasi supporto, anche con processi automatizzati (la sua raccolta, conservazione, modifica, consultazione, comunicazione, cancellazione).
La SCF dovrà decidere le modalità del trattamento dei dati dei propri clienti attraverso una valutazione d’impatto che tenga conto dei rischi noti e delle misure necessarie per mitigare tali rischi.
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento:
– Liceità, correttezza e trasparenza nei confronti dell’interessato;
– Limitazione della finalità del trattamento, anche per eventuali trattamenti successivi;
– Minimizzazione dei dati: i dati devono essere adeguati pertinenti e limitati a quanto necessario;
– Esattezza (con eventuale aggiornamento) dei dati, e cancellazione dei dati inesatti;
– Limitazione della conservazione: è necessario provvedere alla conservazione per un tempo necessario;
– Integrità e riservatezza: garantire la sicurezza adeguata dei dati personali.

La SCF deve essere sempre in grado di dimostrare che l’interessato ha prestato il proprio consenso.
La richiesta di consenso è prestata con apposita informativa fornita alla firma del contratto e dovrà contenere i dati del titolare, le finalità, il periodo di conservazione, se i dati vengono comunicati a terzi, se vengono trattati dati sensibili, le modalità di trattamento e i diritti dell’interessato.
Il rischio è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati che saranno analizzati con un processo di valutazione (Analisi dei rischi) che il consulente dovrà fare, tenendo conto dei rischi noti e delle misure che si ritiene di adottare per mitigare tali rischi. La SCF dovrà consegnare ai clienti un’informativa trasparente e comprensibile. Per quanto riguarda il minore con meno di 16 anni, tale trattamento è lecito se è prestato o autorizzato dai genitori. I clienti possono presentare un reclamo all’autorità di controllo.
La SCF dovrà designare i propri fornitori come responsabili esterni del trattamento dei dati; dovranno, dunque, sottoscrivere un accordo dove il fornitore si impegna a trattare i dati esclusivamente nell’ambito del contratto di fornitura.
La SCF dovrà redigere il registro il cui contenuto è previsto dal Garante per la Privacy e inserire nel proprio sito web la Privacy Policy.
Viene previsto per la prima volta il diritto alla portabilità dei dati. I titolari del trattamento dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore, ma la notifica dell’avvenuta violazione è subordinata alla valutazione del rischio per gli interessati che spetta al titolare (quindi non obbligatoria).
Le sanzioni sono fino al 4% del fatturato o a 20 ml di euro.
È consigliabile, non obbligatorio, che consulenti e SCF più strutturati nominino un DPO (Responsabile Protezione dati personali) che dovrà verificare l’applicazione del Regolamento.

L’identificazione e l’adeguata verifica della clientela deve essere svolta prima dell’instaurazione del rapporto continuativo. L’obiettivo è:

• Identificare il cliente e l’eventuale titolare effettivo e verificarne l’identità;
• Ottenere informazioni sullo scopo e sulla natura prevista dal rapporto continuativo;
• Svolgere un controllo nel corso del rapporto, analizzando tutte le transazioni concluse;
• Segnalare le operazioni sospette e conservare i dati e le informazioni

Come prassi di lavoro, va compilato e firmato un questionario. Successivamente i dati inseriti, attraverso un sistema informatico, si ottiene il punteggio o rischio riciclaggio. La metodologia di attribuzione del rischio tiene conto di residenza, cariche politiche, attività, origine dei fondi e area geografica, scopo prevalente del rapporto, comportamento tenuto dal cliente.

Per i controlli di Pep, Pil, Adverse Media e Sanction List generalmente, per costi modici, la SCF si affida a società specializzate.

Nel caso in cui si sospetta di operazioni di riciclaggio o finanziamento del terrorismo o se si sospetta che i fondi provengano da attività criminosa, il consulente è obbligato a trasmettere la segnalazione in via telematica all’UIF.

Banca d’Italia con provvedimento del 24/08/2010 ha pubblicato specifici indicatori di anomalia. Il consulente deve provvedere alla mappatura di ciascuno degli indicatori, sulla base dell’operatività specifica condotta.

Sono previste misure rafforzate di adeguata verifica:

• Per i clienti classificati con grado di rischio «alto»;
• Per i clienti residenti in Paesi Terzi ad alto rischio individuati dalla UE
• Per i rapporti di corrispondenza transfrontalieri con una banca di un Paese terzo;
• Per i rapporti continuativi con clienti che siano persone politicamente esposte.

È obbligatorio conservare i documenti per dieci anni e contengono:

– La data di instaurazione del rapporto continuativo;

– I dati di identificazione del cliente, del titolare effettivo e dell’esecutore;

– Le informazioni sullo scopo e la natura del rapporto;

– La data, l’importo e la causale dell’operazione;

– I mezzi di pagamento utilizzati.

Oggi, disponibili per i consulenti fee only strumenti tecnologici che permettono di effettuare identificazione a distanza in maniera easy e perfettamente conforme alla normativa.