loader image
ANTIRICICLAGGIO & AVVOCATO: Le nuove linee guida del CNF

ANTIRICICLAGGIO & AVVOCATO: Le nuove linee guida del CNF

Con le linee guida approvate il 20 Settembre, il perimetro degli obblighi a carico degli Avvocati in materia di antiriclaggio è molto più chiaro.

Prima di tutto, sono state identificate le attività forensi che non soggiaciono alla disciplina antiriciclaggio, fra cui, a titolo esemplificativo:

  • la consulenza stragiudiziale che ha per oggetto atti e negozi di natura non patrimoniale;
  • attività di assistenza, difesa e rappresentanza del cliente in giudizio avanti a qualsivoglia Autorità giudiziaria o arbitrale, incluse la mediazione e la negoziazione assistita e ogni attività a queste prodromica o conseguente, comprese conciliazioni e transazioni;
  • attività di assistenza, difesa e rappresentanza in tutte le procedure di natura amministrativa o tributaria;
  • incarichi in veste di amministratore di sostegno, tutore e curatore.

1. IL DOCUMENTO DI VALUTAZIONE DEL RISCHIO ANTIRICICLAGGIO.

Il primo passo è dunque quello di valutare se l’attività del mandato professionale rientra fra il novero delle attività che richiedono i controlli e gli adempimenti della disciplina antiriclaggio.

Se la valutazione dà esito positivo occorre attuare una serie di misure organizzative rapportate al grado di rischio riciclaggio o di finanziamento del terrorismo a cui il professionista sarebbe esposto nel corso del proprio mandato.

Si deve anzitutto redigere il documento di valutazione del rischio, annotando i fattori di rischio connessi al caso di specie, come la tipologia di clientela, l’area geografica in cui la stessa opera, i canali distributivi o i servizi offerti.

Per ovvie ragioni, il documento va redatto prima di qualsiasi prestazione professionale e costituisce una prova di conformità alla disciplina antiriciclaggio (c.d. accountability) in caso di controllo ispettivo.

Le linee guida del CNF si preoccupano poi di fornire indicazioni specifiche in ordine ai presidi e alle misure di prevenzione che un Avvocato o uno Studio Legale dovrebbe attuare per dimostrare un adeguato grado di compliance alla normativa. L’elenco comprende:

  • la partecipazione (con frequenza almeno annuale) a corsi di formazione in materia antiriciclaggio organizzati dagli Ordini professionali;
  • l’organizzazione di riunioni di Studio fra soci e collaboratori per approfondire le novità in materia antiriciclaggio, con cadenza almeno quadrimestrale; in alternativa la redazione di un report che dia contezza delle misure organizzative attuate negli ultimi 4 mesi;
  • l’inserimento – all’interno del fascicolo cartaceo o telematico – di tutti i dati richiesti dalla normativa per adempiere agli obblighi di registrazione e adeguata verifica;
  • la nomina del socio di riferimento in materia di antiriciclaggio;
  • la definizione di una procedura per le segnalazioni interne (c.d. whistleblowing) garantendo la massima riservatezza a favore del collaboratore o dipendente (whistleblower).

2. MISURE SEMPLIFICATE IN CASO DI BASSO RISCHIO.

Vengono inoltre identificati i clienti a basso rischio. Fra questi vi rientrano ad esempio le pubbliche amministrazioni, gli organismi o enti che svolgono funzioni pubbliche; società ammesse alla quotazione su mercati regolamentati UE o extra UE, a patto che non siano situate in Paesi ad alto rischio ed enti sottoposti a vigilanza.

In questi casi vige, a favore dell’Avvocato o dello Studio Legale, un regime semplificato con esenzioni per quanto concerne:

  • la raccolta di informazioni dettagliate sulla situazione patrimoniale del cliente;
  • la verifica specifica della provenienza dei fondi e delle risorse che si trovano nella disponibilità del cliente.


GDPR: in caso di Data Breach cosa fare?

GDPR: in caso di Data Breach cosa fare?

Partiamo da una premessa fondamentale: cos’è un Data Breach?

Sul punto, il GDPR (il Regolamento Europeo sulla protezione dei dati personali) è molto chiaro: per Data Breach si intende una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

 

Casi concreti ed esempi di Data Breach

Traduciamo questa definizione in esempi concreti.

● L’accesso o l’acquisizione dei dati personali da parte di terzi non autorizzati (per esempio: un cyber criminale che riesce ad accedere al nostro database);

● Il furto o la perdita di dispositivi informatici contenenti dati personali (per esempio: la perdita di una chiavetta USB non criptata in luogo esterno al perimetro aziendale);

● La deliberata alterazione di dati personali (per esempio: il dipendente che, in malafede, decide di alterare alcuni dati aziendali ai quali può accedere in ragione della propria mansione);

● L’impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni, virus, malware, eccetera. (per esempio: l’attivazione di un Ransomware che inibisce l’accesso al database infettato, richiedendo un riscatto);

● La perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità (per esempio: un incendio che distrugge gran parte degli hard disk esterni);

● La divulgazione non autorizzata dei dati personali (per esempio: l’email confidenziale inviata al destinatario sbagliato o con più indirizzi in chiaro senza l’utilizzo dello strumento ccn).

 

Notifica entro 72 ore: è sempre necessaria?

Il titolare del trattamento dei dati personali (soggetto pubblico, impresa, associazione o professionista) deve notificare il Data Breach al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza (qui puoi scaricare il modello di notifica al Garante).

Questo obbligo, però, scatta solo nel caso in cui il Data Breach comporti un rischio per i diritti e le libertà delle persone fisiche.

La valutazione riguardante l’entità del rischio è molto delicata e deve essere effettuata da consulenti esperti che vi possono suggerire in tempi brevi quale soluzione adottare (72 ore è un tempo relativamente breve per chi deve affrontare una emergenza!).

gdpr e data breach

 

E se è elevato il rischio Data Breach cosa fare?

Se la violazione Data Breach comporta un rischio elevato per i diritti delle persone interessate (vale a dire un rischio che potrebbe concretizzarsi in un evento dannoso di una certa entità, come ad esempio il rischio di frode), il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Giocano infatti un ruolo decisivo le misure tecniche e organizzative implementate “a monte” dal Titolare, per mitigare l’ipotesi di rischio che, in caso di Data Breach, si concretizza.

Per semplificare, riportiamo un esempio:

L’agente Tizio della Società Alfa, nel corso di una visita in loco presso un potenziale cliente, perde il Tablet aziendale, contenente dati personali acquisiti nel corso dell’attività di procacciatore.

La società, proprio al fine di mitigare le conseguenze di un tale evento, aveva a suo tempo predisposto la crittografia dell’hard disk del Tablet, per rendere i dati incomprensibili a chi non possedeva la password di decodifica, inibendo così il rischio che soggetti terzi non autorizzati potessero accedere ai dati personali in esso contenuti.

Una misura di sicurezza che, pertanto, annulla qualsiasi ipotesi di danno economico, sociale, reputazionale a danno degli interessati, dal momento che i dati di quel Tablet sono inaccessibili a terzi, oltre che “inutilizzabili”.

Pertanto, la Società Alfa non dovrà procedere alla notifica al Garante, nè dovrà informare i propri clienti dell’accaduto, con tutti i benefici del caso, soprattutto in termini di reputazione aziendale. (Proprio sugli effetti negativi di un Data Breach in termini di danno di immagine, abbiamo scritto un approfondimento a questo link).

 

Data Breach cosa fare e quando non occorre notificare al Garante?

La parola d’ordine in questi casi è una sola: documentare. Anche se il Data Breach non comporta un rischio per i diritti e le libertà delle persone fisiche, il GDPR richiede che siano spiegate le ragioni per cui tale rischio non sussiste.

Dunque, occorre prendere nota del Data Breach in un apposito registro ed elencare le misure tecniche e organizzative che hanno mitigato il rischio, scongiurando l’ipotesi di una notifica al Garante (nell’esempio di prima, andrà motivata la mancata notifica in ragione della crittografia dati dell’hard disk).

Si potrebbe pensare che tale procedura, volta a documentare una violazione sostanzialmente innocua, sia da considerarsi superflua. E invece non lo è affatto. Perchè?

La risposta è piuttosto semplice: il Garante Privacy – in sede di controllo – si avvale di tecnici informatici in grado di riportare alla luce episodi passati di Data Breach. In questi casi, un comportamento specchiato e trasparente nei confronti dell’Autorità può essere un elemento decisivo per evitare qualsiasi ipotesi di sanzione! (Scarica il nostro modello di Registro Data Breach per annotare eventuali violazioni).

 

Le Linee Guida del Garante Privacy Europeo (EDPB) sulla notifica di un Data Breach

Con le recenti Linee Guida adottate il 14 Gennaio 2021, L’EDPB ha voluto raccogliere una serie di esempi di Data Breach, frutto dell’esperienza maturata in questi anni dalle Autorità Garanti Europee.

L’obiettivo è quello di fornire un pratico supporto alle aziende nel gestire al meglio questi eventi emergenziali, dispensando consigli utili in merito ai fattori da considerare durante la valutazione del rischio (risk assessment) che il Titolare è chiamato ad effettuare in seguito al Data Breach, per comprendere se è necessaria o meno la notifica al Garante e, in caso di rischio elevato, se la stessa va estesa anche ai propri clienti e/o fornitori.

Il primo passo è quello di identificare la causa principale che ha dato origine al Data Breach, per capire se le vulnerabilità di sicurezza sono ancora presenti e sfruttabili da terzi malintenzionati.

Individuato il problema è possibile valutarne il rischio conseguente. In alcuni casi questo processo potrebbe richiedere molto tempo per cui, nell’attesa, si consiglia di avviare subito la notifica al Garante dal momento che un atteggiamento prudenziale è sempre ben visto dall’Autorità di Controllo e ripara l’azienda da possibili sanzioni.

 

Hai avuto problemi di sicurezza informatica?

Sei già stato vittima di un Data Breach o hai riscontrato problemi di sicurezza e avresti necessità di conoscere quali sono le possibili soluzioni per aumentare il livello di protezione dei tuoi dati?

Lo Studio Legale è disponibile per un primo incontro conoscitivo in cui analizzare lo stato attuale della sicurezza aziendale e fornire una valutazione del rischio per comprendere quali dovranno essere le misure necessarie per raggiungere lo standard di protezione richiesto dalla Normativa Europea sulla Privacy.