Come è noto, il c.d. #amlpackage consiste di:
- una proposta di regolamento del Parlamento europeo e del Consiglio relativo alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo;
- una proposta di direttiva del Parlamento europeo e del Consiglio relativa ai meccanismi di prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che abroga la direttiva (UE) 2015/849;
- una proposta di regolamento del Parlamento europeo e del Consiglio che istituisce l’Autorità europea per il contrasto del riciclaggio di denaro e del finanziamento del terrorismo e che modifica i regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010;
- una proposta di regolamento del Parlamento europeo e del Consiglio sulle informazioni che accompagnano i trasferimenti di fondi e talune cripto-attività.
Il Garante europeo, valutati positivamente gli obiettivi perseguiti dal pacchetto legislativo, ritiene che l’approccio basato sul rischio al monitoraggio dell’uso del sistema finanziario a fini di riciclaggio debba essere ulteriormente specificato e chiarito e, al fine di garantire la conformità ai principi di necessità e proporzionalità e ai fini di una maggiore certezza del diritto per i soggetti obbligati in merito ai loro doveri, formula alcune osservazioni e raccomandazioni.
Nello specifico, il GEPD ha rappresentato la necessità di superare l’approccio sinora adottato con cui il legislatore europeo lascia sistematicamente la specificazione delle categorie di dati personali che i soggetti obbligati devono trattare per adempiere gli obblighi antiriciclaggio alle norme tecniche di regolamentazione. Al contrario, secondo il Garante europeo, tale individuazione dovrebbe essere prevista nello stesso pacchetto legislativo della Commissione.
Nello stesso senso, l’Autorità ritiene che la proposta normativa dovrebbe descrivere meglio le condizioni e i limiti del trattamento di categorie particolari di dati personali, compresi quelli riguardanti condanne e reati penali. In particolare, dovrebbe specificare quali tipi di categorie particolari di dati personali dovrebbero essere trattati dai soggetti obbligati, tenendo a mente la finalità specifica perseguita, ovverosia la prevenzione del riciclaggio e del finanziamento del terrorismo. In tale ottica, non dovrebbe essere permesso il trattamento dei dati personali relativi all’orientamento sessuale o all’origine etnica.
Con riferimento ai registri dei titolari effettivi, in particolare, il Garante europeo invita il legislatore a precisare che l’accesso agli stessi da parte delle autorità fiscali e degli organi di autoregolamentazione debba essere limitato alla finalità della lotta contro il riciclaggio di denaro e il finanziamento del terrorismo e, pertanto, l’accesso al registro deve essere autorizzato esclusivamente a tal fine. Ne deriva che, tra i rischi di cui gli Stati membri devono tenere conto nel definire i criteri per la concessione di deroghe all’accesso alle informazioni sui titolari effettivi, dovrebbe essere previsto un esplicito riferimento ai rischi per la protezione dei dati personali.
Inoltre, il GEPD raccomanda di inserire nel pacchetto legislativo antiriciclaggio una disposizione volta a istituire un meccanismo per segnalare l’efficacia dell’uso dei registri dei titolari effettivi.
Per quanto concerne la UIF.net, l’Autorità raccomanda che la proposta di regolamento che istituisce l’AMLA (o quanto meno una norma tecnica di attuazione da adottarsi a cura della Commissione) stabilisca chiaramente i ruoli di tutte le parti interessate coinvolte (AMLA, UIF) nell’ottica della protezione dei dati. Per quanto riguarda le fonti di informazioni per l’adeguata verifica della clientela, compresi gli elenchi di controllo, il pacchetto legislativo antiriciclaggio dovrebbe specificare, in particolare, i casi in cui i soggetti obbligati dovrebbero poter accedere a tali elenchi. A tale fine, il GEPD invita il legislatore a considerare se tale accesso agli elenchi possa essere consentito soltanto in caso di rischio elevato di riciclaggio di denaro o di finanziamento del terrorismo.
Inoltre, il Garante richiede di specificare nella proposta normativa che i soggetti obbligati siano tenuti a verificare debitamente le informazioni contenute negli elenchi di controllo, in particolare in termini di veridicità e accuratezza dei dati.