Antiriciclaggio nella PA. In tempo di redazione del PTPC è meglio ricordarcelo.

La norma viene anticipata dal DM 25/09/2015, e si rimanda da subito ad altre norme , la solita storia , qui il primo post ,

https://www.rtd.cloud/procedura-antiriciclaggio-da-adottare-anche-nelle-ppaa/

Ancor prima però vediamo la fonte, l’articolo 10 del D.lgs 231/07 che chiaramente inserisce la PP AA tra i destinatari degli obblighi antiriciclaggio.

Art. 10. (( (Pubbliche amministrazioni). ))

((1. Le disposizioni di cui al presente articolo si applicano agli uffici delle Pubbliche amministrazioni competenti allo svolgimento di compiti di amministrazione attiva o di controllo, nell’ambito dei seguenti procedimenti o procedure: a) procedimenti finalizzati all’adozione di provvedimenti di autorizzazione o concessione; b) procedure di scelta del contraente per l’affidamento di lavori, forniture e servizi secondo le disposizioni di cui al codice dei contratti pubblici; c) procedimenti di concessione ed erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, nonche’ attribuzioni di vantaggi economici di qualunque genere a persone fisiche ed enti pubblici e privati.

2. In funzione del rischio di riciclaggio o di finanziamento del terrorismo, il Comitato di sicurezza finanziaria, anche sulla base dell’analisi nazionale del rischio di cui all’articolo 14, individua categorie di attivita’ amministrative, svolte dalle Pubbliche amministrazioni responsabili dei procedimenti di cui al comma 1, rispetto a cui non trovano applicazione gli obblighi di cui al presente articolo. Con le medesime modalita’ e secondo i medesimi criteri, il Comitato di sicurezza finanziaria puo’ individuare procedimenti, ulteriori rispetto a quelli di cui al comma 1, per i quali trovano applicazione gli obblighi di cui al presente articolo.

3. Il Comitato di sicurezza finanziaria elabora linee guida per la mappatura e la valutazione dei rischi di riciclaggio e finanziamento del terrorismo cui gli uffici delle Pubbliche amministrazioni, responsabili dei procedimenti di cui al comma 1, sono esposti nell’esercizio della propria attivita’ istituzionale. Sulla base delle predette linee guida, le medesime Pubbliche amministrazioni adottano procedure interne, proporzionate alle proprie dimensioni organizzative e operative, idonee a valutare il livello di esposizione dei propri uffici al rischio e indicano le misure necessarie a mitigarlo.

4. Al fine di consentire lo svolgimento di analisi finanziarie mirate a far emergere fenomeni di riciclaggio e di finanziamento del terrorismo, le Pubbliche amministrazioni comunicano alla UIF dati e informazioni concernenti le operazioni sospette di cui vengano a conoscenza nell’esercizio della propria attivita’ istituzionale. La UIF, in apposite istruzioni, adottate sentito il Comitato di sicurezza finanziaria, individua i dati e le informazioni da trasmettere, le modalita’ e i termini della relativa comunicazione nonche’ gli indicatori per agevolare la rilevazione delle operazioni sospette.

5. Le Pubbliche amministrazioni responsabili dei procedimenti di cui al comma 1, nel quadro dei programmi di formazione continua del personale realizzati in attuazione dell’articolo 3 del decreto legislativo 1° dicembre 2009, n. 178, adottano misure idonee ad assicurare il riconoscimento, da parte dei propri dipendenti delle fattispecie meritevoli di essere comunicate ai sensi del presente articolo.

6. L’inosservanza delle norme di cui alla presente disposizione assume rilievo ai fini dell’articolo 21, comma 1-bis, del decreto legislativo 30 marzo 2001, n. 165.))

Si individua il GESTORE ANTIRICICLAGGIO, colui che deve raccogliere le segnalazioni interne nel RPCT od in alternativa in altra figura apicale.

Il citato DM 25/09/2015 elenca gli indicatori di anomalia, una sorta di cassetta degli attrezzi per le PA, gli stessi indicatori sono poi riportati nelle LLGG UIF 269/18.

Le aree da monitorare per verificare se ci sono eventi sospetti sono :

  • procedimenti di autorizzazione
  • procedura di scelta del contraente
  • procedimenti di concessione ed erogazione di altri vantaggi economici

A ben vedere le aree PNA 2013 .

Vi allego per maggiore chiarezza e per non dilungarmi un vademecum UIF per gli aspetti da monitorare,LLGG UIF in GU, una lettera di nomina GESTORE e le comunicazioni tra gli uffici ed il GESTORE

Soprattutto , preventivamente, censitevi al servizio SOS del UIF con il gestionale  INFOSTAT-UIF.

qui il link.

https://uif.bancaditalia.it/portale-infostat-uif/modalita-accesso/index.html

Procedure ANTIRICICLAGGIO per tutte le PPAA. Da NON SOTTOVALUTARE

Per chi ha fretta posto il link per il censimento dei gestori antiriciclaggio,

https://uif.bancaditalia.it/portale-infostat-uif/modalita-accesso/index.html

 

Per tutti gli altri rimando al mio post.

https://www.rtd.cloud/antiriciclaggio-nella-pa-in-tempo-di-redazione-del-ptpc-e-meglio-ricordarcelo/

 

 

 

 

 

 

 

Antiriciclaggio nella PA. In tempo di redazione del PTPC è meglio ricordarcelo.

La norma viene anticipata dal DM 25/09/2015, e si rimanda da subito ad altre norme , la solita storia , qui il primo post ,

 

Ancor prima però vediamo la fonte, l’articolo 10 del D.lgs 231/07 che chiaramente inserisce la PP AA tra i destinatari degli obblighi antiriciclaggio.

 

Art. 10. (( (Pubbliche amministrazioni). ))

((1. Le disposizioni di cui al presente articolo si applicano agli uffici delle Pubbliche amministrazioni competenti allo svolgimento di compiti di amministrazione attiva o di controllo, nell’ambito dei seguenti procedimenti o procedure: a) procedimenti finalizzati all’adozione di provvedimenti di autorizzazione o concessione; b) procedure di scelta del contraente per l’affidamento di lavori, forniture e servizi secondo le disposizioni di cui al codice dei contratti pubblici; c) procedimenti di concessione ed erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, nonche’ attribuzioni di vantaggi economici di qualunque genere a persone fisiche ed enti pubblici e privati.

2. In funzione del rischio di riciclaggio o di finanziamento del terrorismo, il Comitato di sicurezza finanziaria, anche sulla base dell’analisi nazionale del rischio di cui all’articolo 14, individua categorie di attivita’ amministrative, svolte dalle Pubbliche amministrazioni responsabili dei procedimenti di cui al comma 1, rispetto a cui non trovano applicazione gli obblighi di cui al presente articolo. Con le medesime modalita’ e secondo i medesimi criteri, il Comitato di sicurezza finanziaria puo’ individuare procedimenti, ulteriori rispetto a quelli di cui al comma 1, per i quali trovano applicazione gli obblighi di cui al presente articolo.

3. Il Comitato di sicurezza finanziaria elabora linee guida per la mappatura e la valutazione dei rischi di riciclaggio e finanziamento del terrorismo cui gli uffici delle Pubbliche amministrazioni, responsabili dei procedimenti di cui al comma 1, sono esposti nell’esercizio della propria attivita’ istituzionale. Sulla base delle predette linee guida, le medesime Pubbliche amministrazioni adottano procedure interne, proporzionate alle proprie dimensioni organizzative e operative, idonee a valutare il livello di esposizione dei propri uffici al rischio e indicano le misure necessarie a mitigarlo.

4. Al fine di consentire lo svolgimento di analisi finanziarie mirate a far emergere fenomeni di riciclaggio e di finanziamento del terrorismo, le Pubbliche amministrazioni comunicano alla UIF dati e informazioni concernenti le operazioni sospette di cui vengano a conoscenza nell’esercizio della propria attivita’ istituzionale. La UIF, in apposite istruzioni, adottate sentito il Comitato di sicurezza finanziaria, individua i dati e le informazioni da trasmettere, le modalita’ e i termini della relativa comunicazione nonche’ gli indicatori per agevolare la rilevazione delle operazioni sospette.

5. Le Pubbliche amministrazioni responsabili dei procedimenti di cui al comma 1, nel quadro dei programmi di formazione continua del personale realizzati in attuazione dell’articolo 3 del decreto legislativo 1° dicembre 2009, n. 178, adottano misure idonee ad assicurare il riconoscimento, da parte dei propri dipendenti delle fattispecie meritevoli di essere comunicate ai sensi del presente articolo.

6. L’inosservanza delle norme di cui alla presente disposizione assume rilievo ai fini dell’articolo 21, comma 1-bis, del decreto legislativo 30 marzo 2001, n. 165.))

 

Si individua il GESTORE ANTIRICICLAGGIO, colui che deve raccogliere le segnalazioni interne nel RPCT od in alternativa in altra figura apicale.

Il citato DM 25/09/2015 elenca gli indicatori di anomalia, una sorta di cassetta degli attrezzi per le PA, gli stessi indicatori sono poi riportati nelle LLGG UIF 269/18.

Le aree da monitorare per verificare se ci sono eventi sospetti sono :

  • procedimenti di autorizzazione
  • procedura di scelta del contraente
  • procedimenti di concessione ed erogazione di altri vantaggi economici

A ben vedere le aree PNA 2013 .

Vi allego per maggiore chiarezza e per non dilungarmi un vademecum UIF per gli aspetti da monitorare,LLGG UIF in GU, una lettera di nomina GESTORE e le comunicazioni tra gli uffici ed il GESTORE

Soprattutto , preventivamente, censitevi al servizio SOS del UIF con il gestionale  INFOSTAT-UIF.

qui il link.

https://uif.bancaditalia.it/portale-infostat-uif/modalita-accesso/index.html

 

 

 

 

REGOLAMENTO PER LE ISTITUZIONI SCOLASTICHE, D.I. 129/2018, non sbagliate scrivendo regolamenti inutili.

Arieccoci!!!!!!

E’ cambiato il testo di riferimento per le ISA, addio al 44/01 e benvenuto al decreto interministeriale n. 129/2018.

Cosa dire ?, già nato vecchio e già violentato ( ufficio complicazione affari semplici) alcuni DSGA e DS che hanno regolamentato quello che non andava regolamentato, le procedure di acquisto.

Ma andiamo in ordine.

Il punto più importante , purtroppo passato in sordina è quello della promessa, o minaccia, di adottare il SIOPE + entro breve tempo, infatti il primo articolo al comma 2 richiama il D.lgs 91/11. Si tratta di una novità importante, l’armonizzazione dei flussi , fossi in voi piuttosto che scrivere regolamenti che non servono ( e che vi vincolano ) inizierei a studiarmi il 91/2011…. ci organizziamo ?

Ancora una volta il legislatore , perdono, il regolamentatore, crea terrorismo lessicale e lascia intendere ( pur non vietandolo espressamente ) il divieto dell’anticipazione di cassa, tralasciando che spesso sfugge la gerarchia delle fonti e che esiste il D.lgs 231/02 e che quindi se non utilizzo i travasi contabili l’istituzione scolastica pagherà, senza preventiva messa in mora, interessi altissimi.

Art. 4 d.lgs 231/02 ((Termini di pagamento)) 1. Gli interessi moratori decorrono, senza che sia necessaria la costituzione in mora, dal giorno successivo alla scadenza del termine per il pagamento.

Una cosa fatta bene , a mio avviso, è la centralità del programma triennale dell’offerta formativa, più volte richiamato , ad esempio agli artt 4 ,5, ed al 44 et 45.

Però, e figuriamoci se non ci mettevo un però, ancora il legislatore ha dimenticato di ricordare ( ossimoro ? ) che la primaria norma, quella della programmazione degli acquisti su base biennale, resta disciplinata dall’articolo 21 del D.lgs 50/16 e DM 14/2018 MIT ( per tutte le PA, anche le scuole, cfr art 1 comma 2 165/01).

Riporto appresso un post.

In sintesi la programmazione articolo 4 del 129/18 deve essere una vision allungata del biennio se letta assieme all’articolo 21 della NORMA FONDAMENTALE.

Anche se non normativamente nuovo, esisteva anche nel 44/01, è dettagliatamente disciplinato l’utilizzo della carta di credito all’articolo 19, non volete usarla ?Perderete alcune occasioni di noti marketplace.

Non mancheranno complicazioni , volute, anche per l’applicazione dell’articolo21 del REGOLAMENTO 129/18, il fondo per le minute spese, che come sempre sarà scelto basso, il mio consiglio, visto il richiamo proprio del secondo comma del 21 è quello di fissare gli importi ex D.Lgs 231/07 ad euro 250 per ogni transizione, vi sembra alto ? ok non mettetelo però a 20 euro.

Ora voglio toccare tre punti che vedono un focus su due reati, il danno erariale e la violazione dell’articolo 7 del D.Lgs 165/01.

Gli articoli 41 e 42 del 129/18 dicono chiaramente che non si dovrebbero utilizzare software terzi per la gestione documentale ( 42 ) e contabile-amministrativa ( 41) , in particolare , ma ormai il danno grosso è fatto richiamando al secondo comma, ultimo capoverso, del 42 si cita l’articolo 71 del CAD ( ed io vi riporto il 61 della penultima revisione, il 179/16 )

Fino all’adozione ((delle Linee guida di cui all’articolo 71 del decreto legislativo n. 82 del 2005)), l’obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all’articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, e’ sospeso, salva la facolta’ per le amministrazioni medesime di adeguarsi anteriormente.

È chiaro che l’utilizzo di software contabili e documentali ( prima delle LLGG che ancora non sono uscite ) è rischioso, sento odore di danno all’erario.

Ancora ricordatevi che quello che può e deve essere fatto internamente con le professionalità che dovrebbero esserci, non può essere dato all’esterno, vedi articolo 43 comma 3, norma vecchia ( che trae origine dal 7 del 165/01, presente nel 44/01 ) ma sempre disattesa.

Per quanto riguarda la capacità negoziale troviamo uno strano valore, 10000 euro , leggibile all’articolo 45 comma 2 lett. a.
Pur non condividendo questa interferenza dell’organo collegiale, condivido ancora di meno, perché illegittimo, che molte ISA ( dietro spinta di associazioni di Ds e DSGA) hanno ulteriormente regolamentato la procedura, alla faccia della semplificazione. La norma contenuta nel 45 comma 2 lett a chiaramente dice che di volta in volta va deliberato, non parla di regolamenti interni, l’unico regolamento interno da adottare è quello dell’inventario ex articolo 29.

Nulla di nuovo nemmeno per l’altra norma molto disattesa, la convenzione di cassa di cui all’articolo 20 del 129/18 ( che resta sostanzialmente identico al 16 del 44/01). Le novità sono la possibilità di accordo di rete ( solo lessicale, in realtà era già esistente ) e la possibilità CONSIP ( uguale a prima).

Perchè disatteso ? Nella mia esperienza non ho . mai visto l’evidenza pubblica.

Le altre novità sono il richiamo al 33/13 e finalmente la dichiarazione esplicita di rifarsi al decreto sul codice degli appalti pubblici.

Qualche perplessità , dal punto di vista delle responsabilità, avviene per l’articolo 39, la manutenzione , che può avvenire programmando un capitolo di spesa dietro delega con l’ente locale, o …bada bada tramite anticipazione di cassa e travaso di partite, comma 2.

Problemi reali non esistono , se non quelli atavici di spese superflue, problemi gravi sono stati creati dai regolamenti degli acquisti mai citati nel decreto, a parte l’iter sempre errato ( cfr articolo 32 l. 69/09 e 12 del 33/13) i regolamenti che girano fanno acqua.

Ci lamentiamo della responsabilità eccessiva e poi in maniera illegittima vogliamo altre responsabilità, bah! , diamo i limiti dei mille auro quando poi l’articolo 1 comma 130 della l. 145/18 ha innalzato il valore ad euro 5000 ed allo stesso articolo al comma 912 gli affidamenti diretti per i lavori sono innalzati a 150000.

Come sempre, se volete, organizzatevi ed organizziamo la formazione…non sul 129 ma sul 50/16, norma dinamica e mutevole.

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel  quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Senbra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

Pubblicita’ e diritto alla conoscibilita’ 1. Tutti i documenti, le informazioni e i dati oggetto ((di accesso civico, ivi compresi quelli oggetto)) di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7. ((1-bis. L’Autorita’ nazionale anticorruzione, sentito il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali, con propria delibera adottata, previa consultazione pubblica, in conformita’ con i principi di proporzionalita’ e di semplificazione, e all’esclusivo fine di ridurre gli oneri gravanti sui soggetti di cui all’articolo 2-bis, puo’ identificare i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della disciplina vigente per i quali la pubblicazione in forma integrale e’ sostituita con quella di informazioni riassuntive, elaborate per aggregazione. In questi casi, l’accesso ai dati e ai documenti nella loro integrita’ e’ disciplinato dall’articolo 5. 1-ter. L’Autorita’ nazionale anticorruzione puo’, con il Piano nazionale anticorruzione, nel rispetto delle disposizioni del presente decreto, precisare gli obblighi di pubblicazione e le relative modalita’ di attuazione, in relazione alla natura dei soggetti, alla loro dimensione organizzativa e alle attivita’ svolte, prevedendo in particolare modalita’ semplificate per i comuni con popolazione inferiore a 15.000 abitanti, per gli ordini e collegi professionali.))

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

   1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, le
modalita',  i  limiti  per  l'esercizio  del  diritto  di  accesso  a
documenti  amministrativi  contenenti  dati  personali, e la relativa
tutela  giurisdizionale,  restano  disciplinati  dalla legge 7 agosto
1990,  n.  241, e successive modificazioni e dalle altre disposizioni
di  legge in materia, nonche' dai relativi regolamenti di attuazione,
anche  per  cio' che concerne i tipi di dati sensibili e giudiziari e
le   operazioni  di  trattamento  eseguibili  in  esecuzione  di  una
richiesta  di  accesso.  Le attivita' finalizzate all'applicazione di
tale disciplina si considerano di rilevante interesse pubblico.
articolo 3 FOIA Pubblicita' e diritto alla conoscibilita' 
 
  1. Tutti i documenti, le informazioni e i dati oggetto ((di accesso
civico, ivi compresi quelli oggetto)) di  pubblicazione  obbligatoria
ai sensi della normativa vigente sono pubblici e chiunque ha  diritto
di  conoscerli,  di  fruirne  gratuitamente,  e  di   utilizzarli   e
riutilizzarli ai sensi dell'articolo 7. 
  ((1-bis. L'Autorita' nazionale anticorruzione, sentito  il  Garante
per la protezione dei dati personali nel caso in cui siano  coinvolti
dati personali, con propria delibera adottata,  previa  consultazione
pubblica, in conformita' con i  principi  di  proporzionalita'  e  di
semplificazione, e all'esclusivo fine di ridurre gli  oneri  gravanti
sui soggetti di cui all'articolo 2-bis, puo' identificare i dati,  le
informazioni e i documenti oggetto di pubblicazione  obbligatoria  ai
sensi della disciplina vigente per i quali la pubblicazione in  forma
integrale e'  sostituita  con  quella  di  informazioni  riassuntive,
elaborate per aggregazione. In questi casi, l'accesso ai  dati  e  ai
documenti nella loro integrita' e' disciplinato dall'articolo 5. 
  1-ter. L'Autorita' nazionale  anticorruzione  puo',  con  il  Piano
nazionale  anticorruzione,  nel  rispetto  delle   disposizioni   del
presente decreto,  precisare  gli  obblighi  di  pubblicazione  e  le
relative modalita'  di  attuazione,  in  relazione  alla  natura  dei
soggetti, alla loro dimensione organizzativa e alle attivita' svolte,
prevedendo in particolare modalita' semplificate  per  i  comuni  con
popolazione inferiore a 15.000 abitanti, per  gli  ordini  e  collegi
professionali.))

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio  Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

Qualcuno potrebbe obiettare : ” si ok, capisco l’ambito proessionale ma perchè anche nella PA ?”

La risposta è che l’antiriciclaggio nella PA rientra tra le norme maggiormente disattese , consiglio questi post :

https://www.rtd.cloud//procedura-antiriciclaggio-da-adottare-anche-nelle-ppaa/

https://www.rtd.cloud//differenze-tra-esenzione-ed-esclusione-delliva-come-incidono-le-voci-sulle-gare-di-appalto-e-sullantiriciclaggio-nelle-pa/

https://www.rtd.cloud//antiriciclaggio-nella-pubblica-amministrazione-il-dlgs-23107-ed-il-dm-250915/

Nuovi servizi e scadenze prossime

Per adempiere alle scadenze di fine 2017 e Maggio 2018 occorre partire per tempo, anzi per chi non ha una struttura informatica a norma direi che siamo in ritardo.

 

Per chiarimenti e delucidazioni chiamateci.

 

In particolare si ricorda l’obbligo di :

  • nominare responsabile alla transizione digitale ex articolo 17 D.Lgs 82/05
  • predisporre il piano di sicurezza informatica circolare 2 / agid
  • nominare DPO ed iniziare a lavorare al nuovo GDPR.

 

ISO 31000 e valutazione rischio riciclaggio. L’operativita quotidiana, come la Direttiva 2015/849 cambia il D.Lgs 231/07

Tutta la struttura dell’antiriciclaggio, essendo norma fortemente COMPLIANCE, deve essere inquadrata , come chiarito anche nella Direttiva 2015/849, ad un approccio sul rischio costante, indi è indispensabile avere un profilo operativo basato sulla ISO 31000, ricordando inoltre che :

  • la gestione del rischio crea valore
  • la gestione del rischio  tiene conto dell’incertezza e che il miglioramento continuo ne riduce l’entità
  • la gestione del rischio si basa sulle migliori informazioni disponibili
  • la gesrione del rischio favorisce il migliormanento continuo .

E’ chiaro che uno dei presidi per la gestione del rischio è ” la politica dei controlli “, ne consegue che occorre utilizzare le regole del DRUCKER del 1977, cioé i controlli :

  1. Devono essere economici
  2. Devono essere significativi
  3. Devono essere appropriati
  4. Devono essere congruenti
  5. Devono essere tempestivi
  6. Devono essere semplici
  7. Devono essere opeartivi

 

 

 

Nel momento in cui si instaura un nuovo rapporto professionale , oppure un solo e singolo affare, corre l’obbligo di verificare la clientela.

Il nuovo articolo 17 del D.Lgs 231/07 chiarisce inoltre che questo adempimento deve esserefatto anche dai revisori ed altre figure che insturano rapporti di consulenza e controllo alle aziende.

Conviene precisare, che l’adeguata verifica della clientela diviene un processo fondamentale per ogni studio professionale.

Con l’adeguata verifica si va  a censire il cliente tenendo sopratutto conto che  ( articolo 17 comma 3 d.Lgs 231/07)   :

I soggetti obbligati adottano misure di adeguata verifica della clientela proporzionali all’entita’ dei rischi di riciclaggio e di finanziamento del terrorismo e dimostrano alle autorita’ di cui all’articolo 21, comma 2, lettera a), e agli organismi di autoregolamentazione che le misure adottate sono adeguate al rischio rilevato. Nel graduare l’entita’ delle misure i soggetti obbligati tengono conto, quanto meno, dei seguenti criteri generali:

a) con riferimento al cliente:

1) la natura giuridica;

2) la prevalente attivita’ svolta;

3) il comportamento tenuto al momento del compimento dell’operazione o dell’instaurazione del rapporto continuativo o della prestazione professionale;

4) l’area geografica di residenza o sede del cliente o della controparte;

b) con riferimento all’operazione, rapporto continuativo o prestazione professionale:

1) la tipologia dell’operazione, rapporto continuativo o prestazione professionale posti in essere;

2) le modalita’ di svolgimento dell’operazione, rapporto continuativo o prestazione professionale;

3) l’ammontare dell’operazione;

4) la frequenza e il volume delle operazioni e la durata del rapporto continuativo o della prestazione professionale;

5) la ragionevolezza dell’operazione, del rapporto continuativo o della prestazione professionale, in rapporto all’attivita’ svolta dal cliente e all’entita’ delle risorse economiche nella sua disponibilita’;

6) l’area geografica di destinazione del prodotto e l’oggetto dell’operazione, del rapporto continuativo o della prestazione professionale.

 

Allegati Utili :

verificacliente

verificatitolareeffettivo

Dichiarazione di controllo costante

Verbale formazione

obblighiconservazione

valutazione rischio

formazione del personale

 

 

 

 

 

 

Antiriciclaggio nella Pubblica Amministrazione.

Uno degli aspetti meno considerati della normativa antiriciclaggio, riguarda l’onere di segnalazione da parte della Pubblica Amministrazione, in particolare del segnalante che viene chiamato “gestore” .

La carenza, invero, deriva dalla mancanza degli strumenti solo annunciati nel D.Lgs 231/07, ed attuati con quasi un decennio di ritardo.

L’articolo 10 del D.Lgs 231/07 individua tra le PA i destinatari della norma, rimandando poi ( articolo 41) ad una serie di indicatori specifici per la PA.

Il Ministero dell’Interno, con decreto del 25 Settembre 2015 , quindi con otto anni di ritardo, pubblica il decreto con gli indicatori di anomalia e lobbligo di segnalazione da perte della PA.

DM 25.09.2015.

L’ambito di operatività è descritto dall’articolo 2, che in sintesi riguarda operazioni di persone finische e giuridiche in ambito fiscale, lavori e forniture pubbliche , finanziamenti alle imprese.

Gli indicatori rappresentano  un alert da parte del “gestore” per le segnalazioni all’UIF, non un obbligo.

Il gestore,quindi, con l’utilizzo degli indicatori e dei sub indicatori dell’allegato unico al DM 25.09.2015 , deve attuare, in caso di forte sospetto, le procedure previste dall’articolo 6 ( di ulteriore verifica di rischiosità ) e poi far partire la segnalazione secondo l’articolo 7.


 

 

 

Breve Panoramica sulla Direttiva 2015/849

Il provvedimento in analisi sostituisce per i soggetti destinatari dell’applicazione il concetto di adeguata verifica, trasportandolo da un’analisi stock ad un processo dinamico.

L’articolo 11 individua tre gruppi di operazioni che fanno nascere l’obbligo di adeguata verifica :

1) accensione di un rapporto d’affari / professionale

2) operazioni individuate preventivamente da un punto di vista qualitativo e/o quantitativo

3) operazioni nelle quali vi siano indici di particolare sospetto / gravità

Eccezioni del momento dell’adeguata verifica sono richiamate all’articolo 14.

L’accertamenro dell’identita del cliente o del titolare effettivo della situazione giuridica di norma deve avvenire prima che il rapporto professionale / di affari sia instaurato o l’operazione eseguita.

Qualora ci siano evidenze di bassa rischiosità l’accertamento potrà essere eseguito anche dopo l’instaurazione di un rapporto professionale.

L’elenco di cause e situazioni che fanno “presumere” un basso rischio sono elencate all’articolo 16, che rimanda all’allegato II della Direttiva 2015/849.

Contrapposto all’articolo 16 c’è il 18 che rimanda invece all’allegato III della IV Direttiva per la verifica c.d. rafforzata.

Quando un operatore viene a conoscenza, sospetta o solitamente dubita che i fondi finanziari analizzati in ottemperanza del mandato professionale, ha l’obbligo di segnalazione . E’ importante evidenziare che il quantum del fondo sospetto è irrilevante, non esiste un intervallo verso il basso a partire dal quale c’è l’obbligo di adoperarsi per la segnalazione. Articolo 33.

Alcune categorie di operatori, possono godere del c.d. legal privilege , sancito dall’articolo 34 . Con questa agevolazione il segnalante viene scudato dall’albo di afferenza .

L’articolo 40, non differisce nei contenuti della III direttiva per quanto concerne la conervazione dei dati fatta dal seganalante.

In particolare occorre conservare :

– copia dei documenti o analitici riferimenti agli stessi richiesti per l’adeguata verifica per cinque anni successivi alla cessazione del rapporto professionale o decorrenti dalla data dell’episodico affare

– scritture di contabilità , brogliacci, note per lo stesso periodo del precedente punto.