Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

  • Sistemi di gestione per l’Antiriciclaggio (SGAR),
  • Sistemi di gestione per l’Anticorruzione (SGAC),
  • Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
  • Sistemi di gestione della sicurezza delle informazioni (SGSI),
  • Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

  1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

La Repubblica di San Marino, il GDPR e la Protezione delle persone fisiche con riguardo al trattamento dei dati personali: considerazioni relative all’istituto della Certificazione.

La Repubblica di San Marino (RSM) non è Stato membro dell’Unione Europea tuttavia il combinato disposto:

  1. ex art. 3/679/2016, § 1: Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  2. ex art. 3/171/2018, comma 1: La presente legge si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, effettuato da chiunque è stabilito nel territorio della Repubblica di San Marino o in un luogo comunque soggetto alla sovranità della Repubblica di San Marino

evidenzia come il Regolamento UE 679/2016 sia del tutto applicabile, ed obbligatorio, anche per le organizzazioni sammarinesi.
Inoltre, la normativa ivi legiferata consente di considerare la RSM un Paese nel quale sono presenti le cosiddette garanzie adeguate di cui all’art. 46/679/2016 ed al Considerando 108 del Regolamento Ue.

Con riferimento alla Certificazione, ex artt. 42 e 43 del GDPR, discende che le relative disposizioni debbano, parimenti, essere prese nella dovuta considerazione.
Ciò premesso, doverosamente, occorre rilevare che l’accreditamento degli Organismi di Certificazione (OdC) richiamati all’art. 44/171/2018 è effettuato, in presenza di presupposti, unicamente dall’Autorità Garante per la protezione dei dati personali della RSM.

Per quanto riguarda l’altro aspetto rilevante, ovvero il fatto che il meccanismo di certificazione debba fondarsi sui requisiti della ISO 17065 piuttosto che della ISO 17021, non ci sono indicazioni specifiche.
Logica vuole che, sulla base delle considerazioni in premessa, le Autorità locali si allineino alle disposizioni del GDPR … e non vedo, personalmente, alternative.

L’art. 43/171/2018, c. 1, infatti, recita: <<Il titolare del trattamento o il responsabile del trattamento possono sottoporre il trattamento effettuato ad un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità alla presente legge dei trattamenti effettuati dai medesimi titolari e responsabili del trattamento>>.
Identica disposizione di quanto all’art. 42/679/2016, § 1, per la parte di nostro interesse: <<Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento>>.

Da quanto sopra si rileva, ancora una volta, come la valutazione di conformità di un meccanismo di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati trovi soddisfazione nella norma UNI CEI EN ISO/IEC 17065 che riguarda, compiutamente, i Requisiti per organismi che certificano prodotti, processi e servizi e non nella norma UNI CEI EN ISO/IEC 17021 che, diversamente, riguarda i Requisiti per gli organismi che forniscono certificazione di sistemi di gestione.

A questo punto manca un solo tassello.
La garanzia che gli Organismi di certificazione operino nel rispetto dei requisiti della ISO 17065 è data dall’accreditamento degli stessi da parte dell’Ente nazionale di accreditamento, in Italia, Accredia.
In assenza di un ente di accreditamento nella Repubblica di San Marino trovo estremamente utile ed oltremodo ragionevole prevedere, al comma 2 dell’art. 44/171/2018, anche il requisito dell’accreditamento degli OdC, per altro inclusivo di quanto alle lettere da a) a d), in conformità della norma UNI CEI EN ISO/IEC 17065.

Così facendo, insieme ad un ulteriore allineamento ed uniformità con il Regolamento UE 679/2016, tutte le organizzazioni della Repubblica di San Marino potrebbero facilmente identificare, fra gli altri, lo schema ISDP 10003:2018 certificato Accredia come lo strumento più idoneo a dimostrare la conformità dei trattamenti effettuati dai titolari e responsabili del trattamento così come previsto dalla Legge 21 Dicembre 2018 n.171.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant