Italia
I controlli antiriciclaggio effettuati da banche e intermediari finanziari devono rispettare le garanzie previste dalla normativa sulla riservatezza ed essere proporzionati al profilo di rischio del cliente e alle caratteristiche dell’operazione da effettuare.
E’ quanto stabilito dal Garante privacy che ha ordinato a Poste italiane di modificare in questo senso la propria rete informatica e di istruire adeguatamente il personale. Il sistema di Poste attualmente prevede un blocco automatico allo sportello per tutte le operazioni superiori ad un certo importo e controlli non solo sugli effettivi titolari dei rapporti ma anche sui semplici esecutori di una operazione.
Il caso è stato portato all’attenzione dell’Autorità da un dipendente pubblico che si è recato all’ufficio postale per effettuare un versamento di poche migliaia di euro per conto del Comune presso il quale lavora. In tale occasione l’impiegato allo sportello, anziché limitarsi a “identificarlo” come semplice esecutore di un’operazione intestata all’ente, ha aperto una verifica nei suoi confronti e analizzato i suoi rapporti personali con Poste (il conto corrente cointestato con il padre e una tessera prepagata).
Il dipendente si è allora rivolto al Garante privacy lamentando una “palese intromissione” nella sua sfera di riservatezza per aver subito controlli ingiustificati. Al dipendente comunale era stato inoltre richiesto, per poter effettuare il versamento, di aggiornare i dati personali relativi al suo conto corrente.
Nell’accogliere i rilievi sollevati dall’interessato il Garante ha ritenuto illecito il comportamento di Poste e ha prescritto alla società di adottare opportune misure formative e tecnico organizzative in grado di prevenire trattamenti di dati personali che esulino dal criterio dell'”approccio basato sul rischio” fissato dalla normativa antiriciclaggio.
Secondo il Garante, infatti, i controlli della clientela, cui sono tenuti gli intermediari finanziari in base alle norme antiriciclaggio, oltre a rispettare le garanzie stabilite dalla normativa in materia di protezione dei dati personali, devono anche risultare “proporzionati” al rischio di riciclaggio rapportato al tipo di cliente e all’operazione che intende effettuare.
Criterio disatteso nel caso in esame, in cui sono state svolte verifiche obiettivamente eccedenti e non giustificate dal basso “profilo di rischio” di una persona delegata dal Comune, dall’esiguità dell’importo e dal tipo di operazione (acquisto di semplici buoni lavoro da assegnare ad alcuni pensionati).