Archivio degli autori Luca

DiLuca

Articoli pubblicati dal Dott. Aldo Pedico

Non sei autorizzato ad accedere a questa pagina.
DiLuca

PRIVACY BY NIGHT – ALRIGHT!!!

Lunedì 20 Dicembre 2021 – ore 16.00

presso il Laboratorio Aperto Rimini Tiberio – Via dei Cavalieri, 22 – 47921 Rimini (RN)

Programma:

16.00 – Saluti istituzionali

16.15 – Ci incontreremo per parlare delle nuove regole dei cookie insieme a Carmine Andrea Trovato,

Consigliere giuridico della Vicepresidente dell’ Autorità Garante per la protezione dei dati personali

16.45 – CONSEGNA DELLA PERGAMENA 2021 al Dott. Giuseppe Giuliano Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dati personali.

17.15 – I saluti e le testimonianze dei soci per un anno trascorso insieme

18.00 – LA PRIVACY NON È UN GIOCO: INDOVINA L’ARTICOLO!
Iscrivendosi all’evento, riceverai il link per partecipare ad un momento di festa e divertimento assicurato!

19.00 – SALUTI E SCAMBIO DEGLI AUGURI

Per tutti gadget e piccoli doni di natale.

Iscrizione obbligatoria:

https://attendee.gotowebinar.com/register/9176029684188961550?source=Sito

DiLuca

Al via i corsi di formazione a pagamento

Clicca qui per scaricare la locandina!

    Calendario corsi:

    6 Dicembre - DATA PROTECTION IN AMBITO BANCARIO. L’ACCESO AI DATI BANCARI: TIPOLOGIA, DECISIONI ABF (ARBITRO BANCARIO FINANZIARIO) ED I PROVVEDIMENTI DEL GARANTE CHE INDIRIZZANO SIFFATTE PROCEDURE16 Dicembre – L’IMPATTO PRIVACY SULLE NUOVE TECNOLOGIE IN AMBITO SANITARIO19 Gennaio – COME GESTIRE UN AUDIT ED INTERFACCIARSI CON IL TITOLARE ED IL RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI

    Al fine di formalizzare l'iscrizione al corso, è necessario compilare tutti i campi sotto riportati:

    Dati partecipante

    SINO




    Dati fatturazione








    - € 150,00 iva esclusa per i soci dell’ Associazione Protezione Diritti e Libertà Privacy
    - € 200,00 iva esclusa per i non associati ad Associazione Protezione Diritti e Libertà Privacy
    Per eventuali adesioni https://www.associazionedirittiprivacy.it/domanda-di-ammissione/ (quota associativa € 25,00 con validità annuale)

    Pagamento tramite:
    - Bonifico Bancario Associazione Protezione Diritti e Libertà Privacy IBAN: IT 16 Y 08995 24211 000000079495 - Riviera Banca – Filiale Gros Rimini

    Informazioni sul trattamento dei dati ai sensi dell’art. 13 del Regolamento Europeo (UE) 2016/679(GDPR)"]
    ASSOCIAZIONE PROTEZIONE DIRITTI E LIBERTA’ PRIVACY, nella qualità di Titolare del trattamento, la informa che i Suoi dati
    personali sono trattati, sia in forma cartacea che con strumenti elettronici, per garantire l’espletamento della richiesta ricevuta
    ed il conferimento degli stessi è obbligatorio. In ogni momento Lei potrà chiedere l’accesso, la rettifica, la cancellazione (ove
    applicabile), la limitazione, dei suoi dati, in riferimento agli art. da 15 a 22del GDPR, nonché proporre reclamo all'autorità di
    controllo competente art. 77 del GDPR. I contatti che può utilizzare sono, Tel 0541 1795431 – Fax 0541 1794118,
    email: info@associazionedirittiprivacy.it

    Il/la sottoscritto/a
    DICHIARA
    - di inviare la distinta di pagamento della quota associativa tramite bonifico bancario intestato ad Associazione
    Protezione Diritti e Libertà Privacy - IBAN: IT 16 Y 08995 24211 000000079495 Banca RIVIERA BANCA Filiale di Rimini.

    L'informativa privacy completa è disponibile sul sito www.associazionedirittiprivacy.it nella sezione “Privacy Policy”


    Leggi tutto

    DiLuca

    NO PRIVACY, NO MONEY! IL VALORE ECONOMICO DEI DATI PERSONALI IN AMBITO BANCARIO

    Mercoledì 17 Novembre 2021

    Ore 15.30 – 18.30

    Relatori:
    • Gloriamaria Paci, Consulente in materia di privacy – Data Protection Officer – Presidente Associazione protezione diritti e libertà privacy
    • Luca Di Leo, Consulente in materia di privacy – Data Protection Officer – Vice Presidente Associazione protezione diritti e libertà privacy
    • Francesco Modafferi – Dirigente Autorità Garante per la protezione dei dati personali – Dipartimento realtà economiche e produttive
    • Valentino Notarangelo, UO Data Protection Officer del Gruppo Bancario Cooperativo Iccrea presso Iccrea Banca S.p.A.
    • Anna Clementi, Consulente in materia di privacy – Data Protection Officer, già dirigente di compliance di Bancoposta – Avv. di Codacons e Dpo di Tivù Srl
    • Gianluca Di Ascenzo – Presidente Codacons
    • Mario Mosca – BNPP PARIBAS GROUP – Italy Data Protection Officer
    • Francesca Santilli, Ufficio Consulenza Legale e Societaria Associazione Bancaria Italiana

    Clicca qui per visualizzare il programma!

    – Riconosciuti crediti formativi Ordine dei Dottori Commercialisti
    – Riconosciuti crediti formativi Ordine dei Dottori Commercialisti ed Esperti Contabili di San Marino
    – Riconosciuti crediti formativi Ordine degli Avvocati di Rimini

     

    Iscrizione obbligatoria:
    https://attendee.gotowebinar.com/register/5373222483794061835?source=Web

    DiLuca

    GREEN PASS E PRIVACY

    La Presidente dell’ Associazione, Dott.ssa Gloriamaria Paci, Mercoledì 20 Ottobre alle ore 18.00 parteciperà all’evento “Green Pass e Privacy” assieme al Dott. Antonio Carmine Didona.

    DiLuca

    SMART WORKING E L’IMPATTO SUI LAVORATORI: I PROFILI DELLA PROTEZIONE, IL CONTROLLO E LA SICUREZZA DEI DATI

    Mercoledì 13 Ottobre 2021  – Ore 15.30 – 17.30

     

    Relatori:

    GLORIAMARIA PACI, Consulente in materia di privacy Data Protection Officer – Presidente Associazione Protezione Diritti e Libertà Privacy

    ELENA PESARESI, Dipartimento realtà pubbliche Garante per la protezione dei dati personali

    LUCA DI LEO, Consulente in materia di privacy – Data Protection Officer – Vice Presidente Associazione Protezione Diritti e Libertà Privacy

    BEATRICE NEPOTI, Data Protection Officer di Lepida Scpa

    FABIO MALAGNINO, Coordinatore ufficio stampa Consiglio Regionale del Piemonte e professore a contratto presso l’Università di Torino

    Iscrizione obbligatoria attraverso il seguente link:

    https://attendee.gotowebinar.com/register/7182700863848359184?source=Web

    DiLuca

    EventiPrivacy.it il sito degli eventi privacy in Italia e all’estero

     

    Un progetto dell’ Associazione Protezione Diritti e Libertà Privacy. 🐞

    Ringraziamo tutti per la collaborazione che potrete fornirci per promuovere il sito che vuole facilitare la ricerca e la partecipazione a tutti gli eventi dedicati alla sicurezza e protezione dei dati personali

    www.eventiprivacy.it

    DiLuca

    IL SOTTILE CONFINE TRA SICUREZZA E SORVEGLIANZA DI MASSA

    Seminario Formativo Gratuito Online

    Giovedì 30 Settembre 2021 – ore 09.00/12.00

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/3155690048764438031?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Green Pass: il punto di equilibrio tra esigenze di sanità pubblica e diritto alla protezione dei dati personali

    In attesa della pubblicazione sulla Gazzetta Ufficiale del Decreto Legge che dal 15 Ottobre estenderà a tutti i lavoratori pubblici e privati l’obbligo dell’esibizione del Green Pass, Giovedì 23 Settembre, dalle ore 11.00 ne parleremo insieme in occasione della diretta con Pa Social.

    Vi aspettiamo!

    DiLuca

    IL DIGITALE E’ DI STRADA INCONTRA RIMINI. L’Associazione fra i partner che hanno organizzato l’evento

    COMUNICATO 31 AGOSTO 2021

    IL DIGITALE E’ DI STRADA INCONTRA RIMINI

    Il progetto “Il Digitale è di Strada” è un tour che porta in strada – e per la prima volta in spiaggia a Rimini – gratuitamente a disposizione di tutti un team di professionisti del digitale ed è organizzato dall’associazione IL DIGITALE È DI STRADA in collaborazione con ECOROMAGNA per la tappa di Rimini.

    La seconda edizione partita il 28 agosto da Piazza Vittorio, Roma e passerà per: Piazza Matteotti a Ferentino (FR), Piazza Monumento a Termoli, Piazza Salotto a Pescara, Piazza del Mare a Giulianova (TE), Giardino di Liburni a San Marino e terminerà il 5 settembre a nella spiaggia di Rimini al BAGNO 49-50.

    Il team di esperti del digitale tratteranno in presentazioni specifiche tematiche di attualità relative alle nuove tecnologie quali blockchain e robotica, diritti e privacy e sovranità digitale con un occhio ai lavori del futuro, ovvero le figure lavorative che nasceranno nei prossimi anni e di cui ci sarà forte richiesta sul mercato.

    La possibilità di comprendere la tecnologia e gli strumenti che utilizziamo quotidianamente permette di migliorare la qualità della vita grazie ad un nuovo alfabetismo digitale che ci abilita ad un uso consapevole delle tecnologie legata alla TOKENOMICS.

    L’obiettivo è quello di condividere queste competenze digitali anche con i cittadini di Rimini e della Romagna per comprendere quali siano i rischi di un uso sfrenato del digitale e le opportunità di crescita e lavorative nate negli ultimi anni grazie a questo settore sempre più presente nella vita di tutti.

    Ogni tappa prevede l’intervento da parte di esperti del settore tech e legal e robotica, i quali saranno poi disponibili a rispondere anche alle domande dei partecipanti: il tema della tappa di Rimini sarà “IL DIGITALE E LA CURA DEI DATI”

    Nel rispetto delle nuove misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali ed economiche (GU Serie Generale n.175 del 23-07-2021) l’organizzazione Il Digitale È di Strada e ECOROMAGNA in partnership con LeSpiagge di Rimini e la Cooperativa Bagnini di Rimini richiede ai partecipanti di prenotare gratuitamente l’iscrizione online tramite questa piattaforma

    https://www.eventbrite.it/e/biglietti-il-digitale-e-di-strada-incontra-rimini-168929393363

    e l’invio del modulo di partecipazione all’evento “IL DIGITALE È DI STRADA INCONTRA RIMINI” 5 settembre 2021 protocollo ANTI COVID-19 che potete scaricare da questo link:

    https://mega.nz/file/fkM0URAJ#Wb6DUNevWMMyTV2eEdBkURKZ3xO4JGatu9Nbgf-EtQs

    CON IL PATROCINIO DEL COMUNE DI RIMINI 

    PROGRAMMA

    “IL DIGITALE E LA CURA DEI DATI”

    IN PARTNERSHIP CON

    ECOROMAGNA

    INNOVABILITA

    Le Spiagge Rimini

    Cooperativa Bagnini di Rimini

    Happy coaching & counseling

    Associazione Protezione Diritti e Libertà Privacy

    BITCHAIN RIMINI

    VOLONTARIMINI

    HTROBOTICS

    COOPERATIVA LUPPOLI ITALIANI

    ZIENTA DI BORG

    MAKERN

    DISPENSO

    Media Partner

    RomagnaRadio 

    IL DIGITALE È DI STRADA

    Le Spiagge di Rimini e Primo Olivieri

    in collaborazione  con la cooperativa bagnini di Rimini

    danno il benvenuto alla delegazione dell’Associazione

    Il Digitale è di Strada e le istituzioni locali e ringrazia i partner che saranno

    a disposizione delle persone presenti per networking e Q&A diretto

     

    DOMENICA 5 SETTEMBRE 2021

    DALLE ORE 18:00

    {PRESENTAZIONI DI MASSIMO 14 MINUTI} 

    APERITIVO DIGITALE 

    LA DELEGAZIONE DELL’ASSOCIAZIONE

    IL DIGITALE E’ DI STRADA INCONTRA I RAPPRESENTANTI ISTITUZIONALI E ASSOCIAZIONI E AZIENDE INNOVATIVE LOCALI

     

    MUSICA D’ASCOLTO

    STAFF ECOROMAGNA

    in collaborazione con ROMAGNARADIO

     

    Conduce il Presidente dell’associazione

    Il Digitale è di Strada

    Avvocato Alessandro Ghiani

     

    Tematiche

    Il Bitcoin, la nuova libertà finanziaria

    a cura di

    BLOC LawTech Firm

    Alessandro Ghiani

    Il futuro degli NFT in Italia

    a cura

    di Digital Oracles

    con Sara Simeone

     

    Influencer nell’era on life

    a cura di Michele Capuozzo

    Il Digitale come strumento sociale

    a cura di INNOVABILITA con Fabrizio Fantini

    PANEL 1

    l’ALBERO DELLE IDENTITA’ 4.0

    a cura di Happy coaching & counseling con Stefano Battiato

    PANEL 2

    I nostri dati: un bene da proteggere a cura dell’Associazione Protezione Diritti e Libertà Privacy con Gloria Paci

    PANEL 3

    Esperienze digitali della tokenomics a cura diBITCHAINRIMINIECOROMAGNA con Alessandro Polverelli

    PANEL 4

    ECONOMIA ROBOTICA  a cura diHTROBOTICS con Paolo Bertello

    PANEL 5

    ESPERIENZE IN ITALIA  DI ROBOTICA EDUCATIVA e STAMPA 3D a cura di

    VOLONTARIMINI

    MAKERN

    DISPENSO

    con Luca Berardi

    PANEL 6

    ESPERIENZE DI DATI DI VALORE DEL MADE IN ITALY 

    IL LUPPOLO E I DATI DI VALORE DELLE FILIERE DEL MADE IN ITALY

    INTERVENTO DI MICHELA NATI PRESIDENTESSA COOPERATIVA LUPPOLI ITALIANI

    PRESENTAZIONE PROGRAMMA REGIONALEPROHOPSMARTCHAIN

    FILIERA PROFESSIONALE E DIGITALIZZATA DEL LUPPOLO MADE IN ITALY:

    IN COLLABORAZIONE CONINNOVABILITAXFARM,POSTI,G!USTA

     

    PANEL 7

    APPLICAZIONI DIGITALI PER CONTRASTARE  

    LA VIOLENZA PSICOLOGICA 

    a cura diEvey

    con Marco Galli e Sara Stefanelli

    _______________________________________________________________________________

    I partecipanti potranno interagire e confrontarsi con esperti del settore digitale

    per scoprire insieme quali sono le opportunità e i rischi del web nel 2021.

    Nel rispetto delle nuove misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali

    ed economiche (GU Serie Generale n.175 del 23-07-2021) l’organizzazione

    Il Digitale È di Strada e ECOROMAGNA in partnership con LeSpiagge di Rimini

    e la Cooperativa Bagnini di Rimini richiede ai partecipanti di prenotare

    gratuitamente l’iscrizione online:

    https://www.eventbrite.it/e/biglietti-il-digitale-e-di-strada-incontra-rimini-168929393363

    e la sottoscrizione del modulo di partecipazione all’evento

    “IL DIGITALE È DI STRADA INCONTRA RIMINI” 5 settembre 2021 protocollo ANTI COVID-19 da inviare via email afabrizio@ecoromagna.com

    oppure da consegnare all’entrata scaricabile qui:

    https://mega.nz/file/fkM0URAJ#Wb6DUNevWMMyTV2eEdBkURKZ3xO4JGatu9Nbgf-EtQs

    CI INCONTRIAMO IN UN LUOGO PUBBLICO PER PARLARE DI DIGITALE PER IL NOSTRO BENE!

    Condividete l’evento tra gli utenti del social network più famoso nel mondo occidentale che utilizza i nostri dati digitali in modo poco autorevole:

    https://fb.me/e/2raIzr2gy

     

    DEGUSTAZIONE PRODOTTI LOCALI OFFERTA DACOOPERATIVA LUPPOLI ITALIANI ECOROMAGNA IN COLLABORAZIONE CONLE SPIAGGE DI RIMINI

    PER INFORMAZIONI DETTAGLIATE

    O RICHIESTE SPECIFICHE INVIARE MESSAGGIO Afabrizio@ecoromagna.com

    CI INCONTRIAMO IN UN LUOGO PUBBLICO PER PARLARE DI DIGITALE

    PER IL NOSTRO BENE!

     

    #ILDIGITALEEDISTRADA

    #ECOROMAGNA

    #LESPIAGGERIMINI

    #RIMINIDIGITALE

    #ildigitaleedistrada #ECOROMAGNA #RIMINIDIGITALE #HAPPYCOCO

    https://digitaledistrada.it

    FABRIZIO FANTINI

    REFERENTE AREA ROMAGNA

    DiLuca

    Green Pass e protezione dei dati

    Che cos’è il Green Pass?

    DECRETO-LEGGE 22 aprile 2021, n. 52

    DECRETO-LEGGE 23 luglio 2021, n. 105

    PROVVEDIMENTI DELL’ AUTORITA GARANTE

    – Garante per la protezione dei dati personali
    Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52
    (23 aprile 2021)

    Garante per la protezione dei dati personali
    Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19
    (25 maggio 2021)

    Garante per la protezione dei dati personali
    Provvedimento del 3 giugno 2021 (app Mitiga)
    (3 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO
    (9 giugno 2021)

    Garante per la protezione dei dati personali
    Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass
    (9 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento del 16 giugno 2021 (App IO)
    (16 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento recante garanzie per l’utilizzo dell’App IO per recuperare le certificazioni verdi Covid-19
    (17 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19
    (18 giugno 2021)

    Garante per la protezione dei dati personali
    Provvedimento del 22 luglio 2021 (Avvertimento alla Regione Sicilia)
    (22 luglio 2021)

     

    AUDIZIONI E ALTRI DOCUMENTI DELL’ AUTORITA’ GARANTE

    – Garante per la protezione dei dati personali
    Memoria del Presidente del Garante per la protezione dei dati personali – Profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS-COV2
    (8 aprile 2021)

    – Garante per la protezione dei dati personali
    Audizione informale del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione sulle tematiche relative alla certificazione verde Covid-19
    (6 maggio 2021)

    – Garante per la protezione dei dati personali
    Documento di indirizzo – Vaccinazione nei luoghi di lavoro indicazioni generali per il trattamento dei dati personali
    (13 maggio 2021)

    – Garante per la protezione dei dati personali
    Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziali
    (14 maggio 2021)

    – Garante per la protezione dei dati personali
    Relazione tecnica sulle interazioni dell’App IO con i servizi di Google, Mixpanel e Instabug
    (10 giugno 2021)

    – Garante per la protezione dei dati personali
    Nota del Presidente del Garante per la protezione dei dati personali
    Trattamenti di dati personali effettuati nell’ambito dell’emissione, del rilascio e della verifica delle certificazioni verdi di cui al decreto legge n. 52/2021
    (21 giugno 2021)

    – Garante per la protezione dei dati personali
    Risposta a un quesito sull’identificazione degli intestatari del Green Pass
    (10 agosto 2021)

     

    COMUNICATI STAMPA DELL’ AUTORITA’ GARANTE

    – Garante per la protezione dei dati personali
    Covid: Garante privacy, no a “pass vaccinali” per accedere a locali o fruire di servizi senza una legge nazionale
    (Comunicato stampa del 1° marzo 2021)

    – Garante per la protezione dei dati personali
    “Decreto riaperture”: gravi criticità per i pass vaccinali. Il Garante privacy invia un avvertimento formale al Governo
    (23 aprile 2021)

    – Garante per la protezione dei dati personali
    “Coronapass Alto Adige”: il Garante privacy apre un’istruttoria
    (30 aprile 2021)

    – Garante per la protezione dei dati personali
    Green pass: no a iniziative locali che violano la normativa privacy. Il Garante invia un avvertimento formale alla Regione Campania
    (26 maggio 2021)

    – Garante per la protezione dei dati personali
    Il Garante privacy blocca l’app Mitiga
    (4 giugno 2021)

    – Garante per la protezione dei dati personali
    Certificazioni verdi: via libera del Garante, con adeguate garanzie. Disposto il blocco provvisorio per l’App IO
    (10 giugno 2021)

    – Garante per la protezione dei dati personali
    App IO: il Garante mette a disposizione la relazione tecnica
    (11 giugno 2021)

    – Garante per la protezione dei dati personali
    App IO: PagoPA adotterà le misure richieste dal Garante privacy a tutela degli utenti
    (16 giugno 2021)

    – Garante per la protezione dei dati personali
    Garante privacy: ok all’uso di App IO per le certificazioni verdi. Parere favorevole dopo le modifiche apportate da PagoPA
    (18 giugno 2021)

    Garante per la protezione dei dati personali
    Covid 19: Il Garante privacy “avverte” la Regione Sicilia
    (22 luglio 2021)

    Garante per la protezione dei dati personali
    Green pass: Garante privacy risponde a Regione Piemonte
    (10 agosto 2021)

     

    INTERVISTE E INTERVENTI COMPONENTI DELL’ AUTORITA’ GARANTE

     

    DOCUMENTI DELL’EDPB E DI ALTRE ISTITUZIONI

    – Comitato europeo per la protezione dei dati – EDPB e European Data Protection Supervisor – EDPS
    EU data protection authorities adopt joint opinion on the Digital Green Certificate Proposals
    (6 aprile 2021)

    – GPA-Global Privacy Assembly
    GPA Executive Committee joint statement on the use of health data for domestic or international travel purposes
    (31 marzo 2021)

    – GPA-Global Privacy Assembly
    Using COVID-19 health data as travel requirement calls for ‘privacy by design’ approach
    (16 aprile 2021)

     

     

    Fonte:

    Garante Privacy

    DiLuca

    Privacy On The Road 31 – Luglio 2021

    La privacy si tinge di rosa in occasione dell’evento più famoso della Riviera Romagnola: La Notte Rosa! 🎆

    Vi invitiamo Sabato 31 Luglio 2021 alla prima festa dedicata alla protezione dei dati personali!

    Tante le attività in programma!⬇️
    Ore 16.30 Caccia ad un nuovo tesoro: i tuoi dati
    Ore 18.30 Aperiprivacy
    Ore 21.00 Rimini Valley

    Partecipazione gratuita

    Per motivi organizzativi si chiede di effettuare l’iscrizione ai singoli eventi, grazie!

    https://www.eventbrite.it/e/biglietti-privacy-on-the-road-161060256563

    Clicca qui per visualizzare la locandina!

     

    DiLuca

    PA Social Day 2021. Martedì 8 giugno in tutta Italia

    12:40 Marche – Ancona – Privacy e partecipazione

    In diretta da: sede della Provincia di Ancona

     

     

     

     

     

     

    Marco Porcu

    Marco Porcu

    Coordinatore PA Social Marche

    Luigi Cerioni

    Luigi Cerioni

    Presidente della Provincia di Ancona

    Gloria Maria Paci

    Gloria Maria Paci

    Consulente in materia di privacy, Data Protection Officer, Presidente Associazione Protezione Diritti e libertà privacy

    Saverio Concetti

    Saverio Concetti

    DPO Comune di Ancona

    Francesco Cardinali

    Francesco Cardinali

    Docente di comunicazione e advertising all’Università di Macerata

    DiLuca

    SocializziAmo: Un progetto di PA Social a cui collabora l’ Associazione

    Social network e minori – Presentazione del progetto “SocializziAmo”, iniziativa di informazione visiva per un uso consapevole e corretto dei social network da parte dei minori.

    Progetto ideato e curato da PA Social.

     

     

     

     

     

     

     

     

     

     

    DiLuca

    La Dott.ssa Gloriamaria Paci, partecipa a Innovazione digitale: bene comune

    L’Associazione Protezione Diritti e Libertà Privacy, nella persona della Dott.ssa Gloriamaria Paci, partecipa a Innovazione digitale: bene comune

    Guardare al digitale come uno strumento democratico, inclusivo, prioritario e indispensabile per lo sviluppo sostenibile.

    È questo l’obiettivo che si pone Innovazione digitale: bene comune, la serie di “laboratori di cittadinanza digitale ” che affrontano le nuove sfide lanciate dall’ Agenda Digitale della Regione Emilia-Romagna ADER “Data Valley Bene Comune ” sui temi della cittadinanza digitale in tutti i suoi aspetti.

    Undici talk rivolti alla comunità riminese per informare e sensibilizzare tutti i cittadini sull’importanza fondamentale dell’ADER quale strumento strategico e indispensabile per diffondere le competenze digitali, trasformare la pubblica amministrazione e i settori produttivi, connettere il territorio e contrastare marginalità geografiche e di genere.

    Ogni talk affronterà una differente tematica per cogliere una delle otto “sfide” al cambiamento, comprendere come affrontarla e individuare strumenti, metodi e strategie per poterla superare e vincere.

    “Innovazione digitale: bene comune” rientra come contributo “ispirazionale”, in materia di digitale, all’interno processo di attualizzazione del Patto per il Lavoro e il Clima Regionale del territorio provinciale di Rimini.

    Tutti i talk saranno trasmessi live streaming sulla pagina Facebook e sul canale YouTube del Laboratorio Aperto Rimini Tiberio.

    Per informazioni: laboratorioaperto@comune.rimini.it

    Programma:

    mercoledì 26 maggio | 17.30 – 18.30

    Presentazione dell’ADER “Data Valley Bene Comune”

    • Maurizio Ermeti – Presidente Piano Strategico di Rimini
    • Eugenia Rossi di Schio – Assessore all’Innovazione digitale, ricerca e sviluppo, servizi civici del Comune di Rimini
    • Paola Salomoni – Assessore Scuola, Università, Ricerca e Agenda Digitale Regione Emilia-Romagna

     

    mercoledì 9 giugno| 17.30 – 18.30

    Trasformazione digitale e sviluppo sostenibile

    • Andrea Orlando – Capo Gabinetto Presidenza Giunta Regionale Emilia-Romagna
    • Valentina Ridolfi – Coordinatrice progetti Piano Strategico di Rimini
    • Sergio Duretti – Direttore divisione welfare digitale Lepida
    • Giovanna Sissa – Ricercatrice dell’Università di Genova sulla sostenibilità ambientale del digitale

     

    lunedì 14 giugno | 17.30 – 18.30

    Educare alla cittadinanza digitale attiva

    • Nicolò Pranzini – Referente ART-ER Area S3 Rimini  
    • Massimiliano Tarozzi – Centro di ricerca sulla Global Citizenship Education – Università di Bologna – Campus di Rimini
    • Massimo Fustini – Referente Agenda Digitale della Regione Emilia-Romagna

     

    mercoledì 16 giugno | 17.30 – 18.30

    Digitale e tecnologie emergenti

    • Massimo Carnevali – Cluster Manager Clust-ER Innovazione nei servizi
    • Francesco Fullone – Direttore del Founder Istitute, business designer, mentor e investitore in aziende tecnologiche
    • Massimo Fustini – Referente Agenda Digitale della Regione Emilia-Romagna

     

    lunedì 21 giugno | 17.30 – 18.30

    Digitale e contrasto al gendar gap

    • Barbara Santi – Referente Agenda Digitale della Regione Emilia-Romagna
    • Valentina Bazzarin – Ricercatrice, formatrice e data-feminist

     

    mercoledì 23 giugno 2021 | 17.30 – 18.30

    I pericoli del digitale

    • Gloriamaria Paci – Consulente in materia di privacy – DPO e Presedente Associazione Diritti e Libertà Privacy
    • Arturo Di Corinto – Psicologo cognitivo, docente universitario e giornalista, esperto di Internet, tecnologie e comportamenti sociali

     

    lunedì 28 giugno | 17.30 – 18.30

    La Trasformazione digitale delle imprese

    • Morena Diazzi – Dirigente generale economia della conoscenza, del lavoro e dell’impresa Regione Emilia- Romagna
    • Roberto Albonetti – Segretario generale della Camera di Commercio della Romagna Forlì-Cesena e Rimini

     

    mercoledì 30 giugno | 17.30 – 18.30

    La trasformazione digitale della PA

    • Francesco Frieri – Direttore Generale alle Risorse, Europa, Innovazione e Istituzioni della Regione Emilia-Romagna  
    • Gianluca Mazzini – Direttore Generale Lepida

     

    lunedì 5 luglio | 17.30 – 18.30

    L’impatto del 5G, dell’IoT e delle tecnologie emergenti sui nuovi servizi pubblici

    • Francesco Frieri – Direttore Generale alle Risorse, Europa, Innovazione e Istituzioni della Regione Emilia-Romagna
    • Marco Chiani – Professore CNIT – Università di Bologna, esperto di 5G e nuove tecnologie

     

    mercoledì 7 luglio | 17.30 – 18.30

    Le community digitali

    • Dimitri Tartari – Coordinatore Agenda Digitale della Regione Emilia-Romagna
    • Marina Silverii – Direttore operativo ART-ER

     

    lunedì 12 luglio | 17.30 – 18.30

    Diritti e doveri digitali

    • Stefania Sparaco – Regione Emilia-Romagna Centro di Competenza per la trasformazione digitale
    • Ernesto Belisario – Avvocato studio legale E-Lex, esperto di diritto delle nuove tecnologie

     

    DiLuca

    Un anniversario speciale intervista con il Dott. Antonello Soro

    In occasione del terzo anniversario della piena applicazione al Reg. UE 2016/679, e cinque anni dell’entrata in vigore, facciamo un bilancio insieme al Dott. Antonello Soro, che ha presieduto l’Autorità Garante da giugno del 2012 a luglio del 2020.

     

    DiLuca

    PUBBLICHE AMMINISTRAZIONI SENZA PRIVACY

    Seminario Formativo Gratuito Online

    In collaborazione con Lepida Scpa

    Martedì 25 Maggio 2021 – ore 15.30/17.30

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/2317135408520878860?source=Web

    Clicca qui per visualizzare il programma!

     

    DiLuca

    Vaccinazioni a prova di privacy? Si, grazie!

    Seminario Formativo Gratuito Online

    Lunedì 3 Maggio 2021 – ore 15.00/18.00

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/6978069651530741776?source=Web

    Clicca qui per visualizzare il programma!

    Concesso patrocinio gratuito dalla camera di Commercio della Romagna, l’ Assemblea Legislativa Regione Emilia-Romagna e Ausl Romagna.

    DiLuca

    Cyberbullo a chi? Il valore dei dati e della vita privata

    Seminario Formativo Gratuito Online

    Venerdì 30 Aprile 2021 – ore 09.00/12.30

    • Prima Sessione rivolta a dirigenti scolastici, docenti, studenti terza media – scuole superiori

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/1208790303015145999?source=Web

    Venerdì 30 Aprile 2021 – ore 20.45/22.30

    • Seconda sessione rivolta a genitori, educatori, professionisti del settore sanitario e legale

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:

    https://attendee.gotowebinar.com/register/5174030554519623183?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Privacy, marketing e comunicazione: la morale è sempre quella, solo guai a chi si ribella

    Seminario Formativo Gratuito Online

    Giovedì 22 Aprile 2021 – ore 09.30/12.30

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/3555686877386508815?source=Web

    Riconosciuti crediti formativi ordine degli avvocati!
    Riconosciuti crediti formativi ordine dei giornalisti!

    Clicca qui per visualizzare il programma!

    DiLuca

    “Dilemmi di sprivacy”

    Inaugurata la rubrica settimanale "Dilemmi di Sprivacy"

    Un appuntamento con video brevissimi dei relatori che hanno partecipato alle attività dell’ Associazione.

    Piccole perle di saggezza da condividere con tutti voi!

    25° Puntata - 23.07.2021

    24° Puntata - 16.07.2021

    23° Puntata - 09.07.2021

    22° Puntata - 02.07.2021

    21° Puntata - 25.06.2021

    20° Puntata - 18.06.2021

    19° Puntata - 11.06.2021

    18° Puntata - 04.06.2021

    17° Puntata - 28.05.2021

    16° Puntata - 21.05.2021

    15° Puntata - 14.05.2021

    14° Puntata - 07.05.2021

    13° Puntata - 30.04.2021

    12° Puntata - 23.04.2021

    11° Puntata - 16.04.2021

    10° Puntata - 09.04.2021

    9° Puntata - 02.04.2021

    8° Puntata - 26.03.2021

    7° Puntata - 19.03.2021

    6° Puntata - 12.03.2021

    5° Puntata - 05.03.2021

    4° Puntata - 26.02.2021

    3° Puntata - 19.02.2021

    2° Puntata - 12.02.2021

    1° Puntata - 05.02.2021

    DiLuca

    Regolamento per la partecipazione (GDP)

     

    REGOLAMENTO PER LA PARTECIPAZIONE AL CONTEST

    1. È indetto il contest “Informative privacy più chiare grazie alle icone? È possibile” al quale potranno partecipare addetti ai lavori, sviluppatori, esperti, avvocati, designer, studenti universitari e chiunque voglia proporre soluzioni che – attraverso l’uso di icone, simboli o altre soluzioni grafiche – rendano le informative privacy più semplici, chiare e immediatamente comprensibili.

    2. Le proposte grafiche, da realizzare a norma dell’art. 12, par. 7 del Regolamento europeo 2016/679, dovranno essere presentate in formato elettronico – entro il giorno 30 maggio 2021 – all’indirizzo mail: icone@gpdp.it.

    3. Le proposte dovranno contenere tutte le informazioni previste negli artt. 13 o 14 del Regolamento europeo 2016/679.

    4. Le proposte saranno esaminate e valutate da un’apposita Commissione costituita presso l’Autorità.

    5. Le proposte ritenute più efficaci e coerenti con le norme del Regolamento verranno rese disponibili, in licenza CC BY a chiunque voglia utilizzarle, con l’indicazione dell’autore.

    6. Il Garante tratterà i dati personali dei partecipanti all’iniziativa in conformità all’informativa disponibile alla pagina www.gpdp.it/informativechiare.

     

    INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI

    Per le informazioni relative al trattamento dei dati personali effettuato dal Garante per la protezione dei dati personali a seguito della ricezione dei dati anagrafici necessari per la partecipazione alla presente iniziativa, si rappresenta che il Garante per la protezione dei dati personali, in qualità di titolare del trattamento (con sede in Piazza Venezia n. 11, IT-00187, Roma; Email: protocollo@gpdp.it; PEC: protocollo@pec.gpdp.it*; Centralino: +39 06696771), tratterà i dati personali conferiti con modalità prevalentemente informatiche e telematiche, per le finalità previste dal Regolamento (Ue) 2016/679 e dal Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 e s.m.i.), in particolare per l’esecuzione dei propri compiti di interesse pubblico o comunque connessi all’esercizio dei propri pubblici poteri, ivi incluse le finalità di promozione della consapevolezza e comprensione del pubblico e dei titolari e responsabili del trattamento rispettivamente riguardo alle garanzie e ai diritti riconosciuti e agli obblighi imposti dal Regolamento.

    Il conferimento dei dati è obbligatorio e la loro mancata indicazione non consente di prendere in considerazione l’opera presentata. I dati acquisiti nell’ambito della presente iniziativa saranno conservati in conformità alle norme sulla conservazione della documentazione amministrativa.

    I dati saranno trattati esclusivamente dal personale e da collaboratori dell’Autorità o delle imprese espressamente nominate come responsabili del trattamento. I dati dei partecipanti delle opere che verranno selezionate saranno diffusi tramite pubblicazione sul sito dell’Autorità al fine di attestare la paternità dell’opera presentata.

    Gli interessati hanno il diritto di ottenere dal Garante, nei casi previsti, l’accesso ai propri dati personali e la rettifica o la limitazione del trattamento che li riguarda. L’apposita istanza all’Autorità è presentata contattando il Responsabile della protezione dei dati presso il Garante (Garante per la protezione dei personali – Responsabile della Protezione dei dati personali, Piazza Venezia, 11, 00187, Roma, email: rpd@gpdp.it).

    * (questo indirizzo è configurato per ricevere SOLO comunicazioni provenienti da posta elettronica certificata)

    DiLuca

    La tutela dei dati in ambito sanitario: il contributo dei mezzi di comunicazione

    Un nuovo seminario formativo online gratuito che si svolgerà Martedì 9 Marzo 2021.

    Ci si soffermerà per la prima volta sull’impatto negativo derivante da un’ errata diffusione sui dati della salute.

    Iscrizione obbligatoria: https://attendee.gotowebinar.com/register/6953675885214926094?source=Web

    Clicca qui per visualizzare il programma!

    DiLuca

    Cinque punti di condivisione per genitori e figli

    Apri l’articolo per poter scaricare la locandina!

    Prima imparare per poi insegnare

    1. SOCIAL MEDIA
    2. ALLARME CHALLENGE
    3. OCCHIO AI CAMBIAMENTI
    4. LA CHAT DI CLASSE UTILE SE..
    5. AVVOCATO PER UN GIORNO

    Clicca qui per scaricare il file!

    DiLuca

    Annuncio

    ANNUNCIO

    CERCASI INTERESSATI CHE VOGLIONO RISPETTARE LA NORMATIVA PRIVACY!!!
    RISCHIO EVITATO CON IL BIGLIETTO CLICCATO!

    REGOLAMENTO EUROPEO

    2016/679

    AMBITO DI APPLICAZIONE

    DEL. REG. EU 2016/679

    INFORMAZIONI SUL TRATTAMENTO

    ARTT. 13/14 DEL REG. EU 2016/679

    REGISTRO ATTIVITÁ DEL TRATTAMENTO

    ART. 30 DEL REG. EU 2016/679

    ANALISI DEI RISCHI

    ARTT. 25/32 DEL REG. EU 2016/679

    VALUTAZIONE D'IMPATTO

    ART. 35 DEL REG. EU 2016/679

    VIOLAZIONI (DATA BREACH)

    ART. 33 DEL REG. EU 2016/679

    ATTIVITÁ FORMATIVA

    ART. 29 DEL REG. EU 2016/679
    ART. 2 QUATERDECIES D.LGS 196/03

    ACCOUNTABILITY

    ARTT. 5/24 DEL REG. EU 2016/679

    IMPIANTO SANZIONATORIO

    DiLuca

    NON C’E’ SCUOLA SENZA PRIVACY

    RIFLESSIONI, SPUNTI ED INIZIATIVE PER PROTEGGERE I DIRITTI E LE LIBERTA’ FONDAMENTALI DEGLI INTERESSATI

    Seminario Formativo Gratuito Online dedicato interamente alle scuole.

    Approfondimenti sul cyberbullismo.

    Venerdì 5 Marzo 2021 – ore 9.00

    Clicca qui per visualizzare il programma!

    Iscrizione:

    Prima sessione: Dirigenti scolastici, studenti di terza media e scuole superiori
    https://attendee.gotowebinar.com/register/3987675099544194064?source=Web

    Seconda sessione: Docenti
    https://attendee.gotowebinar.com/register/873503027427232271?source=Web

    Terza sessione: Genitori ed educatori
    https://attendee.gotowebinar.com/register/1884795339748674575?source=Web

    DiLuca

    Esonero dal Ministero dell’Istruzione per il personale scolastico – “Non c’è scuola senza privacy”

    Considerato il particolare interesse che l’argomento trattato riveste e avuto riguardo a quanto disposto dall’art. 453 del D. L.vo 297/94, così come modificato ed integrato dall’art. 26, comma 11, della L.

    23.12.1998 n. 448, tenute presenti le disposizioni della C.M. n. 166 prot. n. 11497/308/BD datata 23.5.1981, nonché delle disposizioni contenute all’art. 64 del CCNL Comparto Scuola, si consente in

    via straordinaria che gli interessati all’evento suddetto, compatibilmente con le esigenze di servizio e nel rispetto dell’esigenza di continuità dell’insegnamento, vi partecipino a proprie spese e senza alcun

    onere né responsabilità a carico dell’amministrazione scolastica, con esonero dall’obbligo di servizio nel giorno sopraindicato.

    Si ritiene opportuno ricordare che, nel corso di uno stesso anno scolastico, il periodo di assenza per partecipare a congressi e a convegni non può superare i 5 giorni per ciascun dipendente e che in nessun

    caso si può procedere alla nomina di supplenti in sostituzione dei docenti interessati. Al rientro in sede gli interessati presenteranno all’autorità scolastica competente la dichiarazione di

    partecipazione rilasciata dai responsabili dell’iniziativa.

    https://www.miur.gov.it/convegni-e-seminari

    Vi ricordiamo che  “Non c’è scuola senza privacy”, è un seminario formativo gratuito on line che si svolgerà Venerdì 5 Marzo 2021 a partire dalle ore 9,00.

     Suddiviso in tre diverse sessioni per favorire la partecipazione ed il coinvolgimento del maggior numero di Dirigenti scolatici, studenti, docenti e genitori/educatori, l’evento si presenta come una vera e propria staffetta in cui i partecipanti, accompagnati dai relatori,  si confronteranno e  rifletteranno su tematiche di grande attualità.

    Quale relatore parteciperà anche la Dott.ssa Antonietta D’Amato, in qualità di Responsabile per la protezione dei dati personali del Ministero dell’Istruzione e porterà i saluti istituzionali in rappresentanza del Ministro la Dott.ssa Gianna Barbieri, Direttore Generale della Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica.

    Il seminario formativo vuole essere un momento di confronto e riflessione costruttiva fra chi vive la scuola e chi si fa portavoce di promuovere e sensibilizzare la cultura della normativa sulla protezione dei dati.

    Ad oggi abbiamo avviato un sondaggio anonimo I giovani e la rete: condividiamo le esperienze”. Questo il link per partecipare al sondaggio https://forms.gle/YZsZYokbNi4jQZ746

    Dieci domande di carattere generale sulla rete, pensate per i ragazzi delle scuole medie e superiori, finalizzate a comprendere il rapporto fra i giovani e la rete. Le informazioni raccolte, rigorosamente anonime ed elaborate su un campione rappresentativo di scuole ubicate su tutto il territorio nazionale, saranno presentate in occasione del seminario formativo gratuito on line https://www.associazionedirittiprivacy.it/non-ce-scuola-senza-privacy/

     

    Per partecipare al seminario formativo del 5 marzo 2021 iscrizione obbligatoria:  

     Prima Sessione: Dirigenti ScolasticiStudenti Classi di Terza media e Superiori

    https://attendee.gotowebinar.com/register/3987675099544194064?source=Mail

     

    Seconda Sessione: Docenti

    https://attendee.gotowebinar.com/register/873503027427232271?source=Mail

     

    Terza Sessione: Genitori ed educatori

    https://attendee.gotowebinar.com/register/1884795339748674575?source=Mail

     

    DiLuca

    Non c’è scuola senza privacy. Il sondaggio sui giovani e la rete

    Egregio Dirigente Scolastico,

    con la presente sono a chiedere la disponibilità a supportarci nella somministrazione del sondaggio anonimo I giovani e la rete: condividiamo le esperienzepromosso dall’Associazione protezione diritti e libertà privacy. Per accedere al sondaggio https://forms.gle/YZsZYokbNi4jQZ746

     

    Dieci domande di carattere generale sulla rete, pensate per i ragazzi delle scuole medie e superiori, finalizzate a comprendere il rapporto fra i giovani e la rete.

     

    Le informazioni raccolte, rigorosamente anonime ed elaborate su un campione rappresentativo di scuole ubicate su tutto il territorio nazionale, saranno presentate in occasione del seminario formativo gratuito on line “Non c’è scuola senza privacy” che si svolgerà Venerdì 5 Marzo 2021 a partire dalle ore 9,00  https://www.associazionedirittiprivacy.it/non-ce-scuola-senza-privacy/

     

    Per partecipare al seminario iscrizione obbligatoria:  

    Prima Sessione:Dirigenti Scolastici ~ Studenti Terza Media e Superiori

    https://attendee.gotowebinar.com/register/3987675099544194064?source=Mail

     

    Seconda Sessione: Docenti

    https://attendee.gotowebinar.com/register/873503027427232271?source=Mail

     

    Terza Sessione: Genitori ed educatori

    https://attendee.gotowebinar.com/register/1884795339748674575?source=Mail

     

     

    Quale riconoscimento e ringraziamento a tutti gli studenti che hanno aderito all’iniziativa, l’esito del sondaggio sarà illustrato proprio da un alunno delle scuole superiori che ha contribuito fattivamente alla predisposizione delle domande nonché alla sensibilizzazione dei coetanei ad aderire alla ricerca.

     

    I risultati del sondaggio, con l’indicazione degli Istituti Scolastici che hanno contribuito,  saranno altresì pubblicati sul sito dell’Associazione e messi a disposizione del Ministero per l’Istruzione che a sua discrezione, potrà utilizzare o meno per individuare azioni di miglioramento per i bisogni e le esigenze mutevoli dei giovani rispetto all’utilizzo della rete.

    Per ringraziare della preziosa collaborazione fornita, ogni Istituto Scolastico riceverà un’attestazione per aver contribuito al sondaggio.

    Per partecipare al sondaggio, se possibile sollecitati e/o supportati dal docente individuato quale Referente del cyberbullismo nonché dall’Animatore digitale, è necessario collegarsi al link https://forms.gle/YZsZYokbNi4jQZ746

     

    A disposizione per chiarimenti, ringraziando per la collaborazione, porgo cordiali saluti.

    Buone cose.

    Gloria Paci

    DiLuca

    Minori e web, il Garante della privacy a Leggo: «Possiamo bloccare i social ma il primo controllore è il genitore»

    Lunedì 1 Febbraio 2021

    Allarme challenge. Cresce il numero di minori coinvolti in sfide estreme sui social. Il Garante per la protezione dei dati personali ha preso misure per TikTok e ha aperto fascicoli per Facebook e Instagram.

    Pasquale Stanzione, giurista, presidente dell’Autorità garante dal 29 luglio scorso, cosa sta succedendo?
    «Il Garante ha ritenuto indifferibile esigere dalle piattaforme il rispetto di alcuni obblighi essenziali a tutela dei minori, primo tra tutti il dovere di verificare l’età degli utenti. I social devono predisporre sistemi che riescano davvero a garantire che chi apra un profilo abbia l’età per farlo: almeno 14 anni in Italia».

    Quali le misure attuali per contrastare i rischi per i minori sui social?
    «Oltre all’age verification, occorre tutelarli dai contenuti illeciti, tramite l’ineludibile controllo dei genitori in via preventiva e, in via successiva, l’intervento di magistratura, polizia, in particolare postale, ma anche Garante, soprattutto rispetto al cyberbullismo».

    Come si verifica l’età senza violare la privacy?
    «Le possibilità sono diverse purché si coniughi la necessità di accertamento univoco dell’età con l’esigenza di evitare di fare, di ogni social, una sorta di anagrafe mondiale della popolazione».

    Non teme che, imposte tali verifiche ai social, i ragazzi trovino altri modi, senza controllo, per sfidarsi in Rete?
    «Purtroppo la tecnica, se sorretta da intenti illeciti, rende possibile eludere quasi ogni norma. Non è esclusa l’eventualità che le sfide illecite si perseguano in altri canali, più sfuggenti alla regolamentazione. Ma non è un buon motivo per rinunciare a disciplinare. Anzi, tale possibilità deve indurre a rafforzare i controlli, giungendo anche ai livelli della Rete più nascosti».

    I minori, ora, sono spesso connessi, pure per la Dad, come si gestisce la nuova mole di rischio?
    «Vanno garantite la sicurezza dei canali in cui i dati, specie dei minori, transitano e un’adeguata formazione digitale dei ragazzi, che li renda consapevoli di opportunità e rischi della Rete».

    I social impongono interventi a livello internazionale.
    «La cooperazione a livello europeo è intensa e costante, ma va estesa a livello globale: la protezione dei dati deve assurgere a diritto universalmente tutelato».

    E se i social non rispetteranno le misure?
    «L’inosservanza di provvedimenti individuali inibitori determina responsabilità amministrativa e persino penale, ma confido che la persuasione faccia più della coercizione».

    © RIPRODUZIONE RISERVATA

    Fonte: Leggo

     

    DiLuca

    Giornata Europea della Privacy – 28 Gennaio 2021.

    La nostra storia.

    I nostri traguardi raggiunti grazie a tutti voi. 💕

    Giornata Europea della Privacy – 28 Gennaio 2021.

    “Privacy Social Therapy” il progetto cresce e dà vita al gruppo “Sei abile o disabile se…”,

    come dice Vanni Oddera, insieme si raggiungono traguardi impensati!

     

    DiLuca

    Giornata Europea della Privacy

    Giovedì 28 Gennaio 2021

    Giornata Europea della Privacy

     

    Il campione di Free style motocross Vanni Oddera partecipa e promuove il progetto della Privacy Social Therapy:

     

     

    “Privacy Social Therapy” il progetto cresce e dà vita al gruppo “Sei abile o disabile se…”,

    come dice Vanni Oddera, insieme si raggiungono traguardi impensati!

    DiLuca

    Lunedì 28 Dicembre alle ore 17.00 cerimonia di consegna online della “Pergamena 2020” al Prof. Francesco Pizzetti e al Dott. Antonello Soro

    Un ambito riconoscimento che l’ Associazione Protezione Diritti e Libertà Privacy riconoscerà ogni anno a chi si è adoperato per favorire i diritti e le libertà fondamentali delle persone con particolare riguardo ai dati personali.

    Partecipazione gratuita

    Iscrizione obbligatoria: https://attendee.gotowebinar.com/register/3031702514661741327?source=Web

    Clicca qui per visualizzare la locandina!

    Vi Aspettiamo!

    DiLuca

    Associazione Protezione Diritti e Libertà Privacy incontra gli studenti dell’ Università “La Sapienza” di Roma

    Luca Di Leo – Vicepresidente dell’ Associazione Protezione Diritti e Libertà Privacy viene intervistato dagli studenti del corso di laurea in comunicazione delle scienze biomediche dell’ Università “La Sapienza” di Roma.

    All’interno del questionario realizzato per la campagna vaccinazione antinfluenzale 2020 Luca Di Leo, ha illustrato gli aspetti relativi alla normativa privacy nel mondo sanitario.

    DiLuca

    Sicurezza dei dati e sicurezza sul lavoro

    Seminario Formativo Gratuito Online

    Lunedì 21 Dicembre 2020 – Ore 15.00

    Iscrizione obbligatoria attraverso il seguente link:

    https://attendee.gotowebinar.com/register/99154369656856332?source=Sito+web

     

    DiLuca

    Linee Guida dell’EDPB: esercizio di stile o strumento d’aiuto alla corretta applicazione del GDPR

    19 Novembre 2020

    Le Linee Guida dell’EDPB, così come le raccomandazioni e le migliori prassi, dovrebbero avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per la migliore attuazione alla normativa sulla protezione dei dati personali, ma non sempre è così. Proviamo a fare un po’ di chiarezza

    Negli ultimi mesi l’European Data Protection Board (EDPB) ha pubblicato ben tre Linee Guida su temi di estrema rilevanza poiché riguardano:

    1. la relazione tra il Regolamento 2016/679/UE (nel seguito “GDPR”) e la Direttiva 2015/2366/EU c.d. PSD2;
    2. i ruoli di Titolare, CO-Titolare e Responsabile del trattamento;
    3. il rapporto tra i diversi soggetti che agiscono nel mondo dei social e della promozione on-line.

    Si tratta davvero di ambiti molto importanti che presentano numerosi aspetti che richiederebbero una visione che riesca non solo a coordinare differenti normative con rilevanti ambiti di sovrapposizione ma che, ponendosi nell’ottica dei destinatari (Titolari, Co-Titolari e Responsabili), sia in grado di costituire un ausilio concreto e pragmatico.

    Linee Guida dell’EDPB: quale dovrebbe essere il loro ruolo

    D’altra parte, se guardiamo ai compiti dell’EDPB ex art. 70 del GDPR in diverse lettere del comma 1 viene riportata la seguente previsione: “pubblica linee guida, raccomandazioni e migliori prassi”.

    Ora senza voler fare l’esegesi della terminologia utilizzata sembra potersi evincere che le linee guida, le raccomandazioni e le migliori prassi dovrebbero, sostanzialmente, avere l’obiettivo di dare indicazioni sulle corrette modalità da adottare per dare la migliore attuazione alla normativa sulla protezione dei dati personali.

    Purtroppo, a parere di chi scrive, sembra che in luogo di tali obiettivi, le Linee Guida contribuiscano a rendere ancora più confusa e complessa l’applicazione della normativa anche perché, in diversi casi, sembrano contenere delle “prescrizioni” ulteriori rispetto a quelle del GDPR, andando quasi a costituire una fonte di diritto secondaria, anziché preoccuparsi di chiarire quelle già rinvenibili nella normativa.

    EDPB e sentenze della Corte di Giustizia Europea: manca un approccio critico

    Altro aspetto estremamente importante che, in particolare nelle ultime due linee guida poste in consultazione emerge, è quello relativo allo svilimento del ruolo che l’EDPB dovrebbe svolgere come faro illuminante anche nei confronti delle altre Istituzioni comunitarie: ci riferiamo in particolare alla posizione assunta nei confronti delle sentenze della Corte di Giustizia Europea (CJEU) ed alle valutazioni da quest’ultima espresse rispetto alle quali ci si sarebbe aspettato un approccio critico frutto della specifica competenza sui temi della protezione dei dati personali.

    E invece nulla di tutto questo è accaduto tant’è che nella seconda e terza delle Linee Guida in parola l’EDPB ha fatto proprie le valutazioni della CJEU che nella Sentenza Jehovah’s Witnesses, C-25/17 ha ritenuto che l’Associazione religiosa dei Testimoni di Geova e le singole persone fisiche che, avendo aderito a questa religione, agiscano per diffondere il loro credo e fare proselitismo, debbano essere considerati “Co-Titolari del trattamento” relativamente al trattamento dei dati dei soggetti che vengono contattati, molte volte con il porta a porta e con postazioni site nelle strade delle nostre città.

    Una tale valutazione appare davvero bizzarra poiché mette sullo stesso piano l’Associazione religiosa e il singolo credente che si attiva per fare proseliti andando a stabilire che entrambi definiscono le “finalità e gli strumenti” con i quali vengono raccolti e trattati i dati: crediamo che sia davvero difficile ritenere tale statuizione della CJEU condivisibile poiché non solo non rappresenta la realtà oggettiva che vede l’Associazione religiosa dei Testimoni di Geova, nel suo complesso e attraverso la propria struttura gerarchica, essere l’unico soggetto che determina le finalità e le modalità di trattamento lasciando alle singole persone fisiche che svolgono l’attività di proselitismo il ruolo di “autorizzato al trattamento” e questo a voler tacere della circostanza che nelle fasi di proselitismo, sia porta a porta che con le postazioni nelle strade, appare davvero difficile ritenere che vi sia un vero e proprio trattamento di dati personali che, eventualmente, potrebbe realizzarsi solo successivamente nella fase di pre-adesione/adesione al credo religioso.

    L’EDPB ha, quindi, non solo ritenuto di non dover esprimere una propria posizione rispetto a quanto affermato dalla CJEU, ma ha fatto propria tale indicazione richiamandola ripetutamente nelle citate linee guida come un importante riferimento.

    Il caso della linea guida sul targeting dei social media

    In un altro caso, sentenza CJEU 210/16 Wirtschaftsakademie, la Corte specifica che “la Facebook Inc. e, per quanto riguarda l’Unione, la Facebook Ireland devono essere considerate coloro che determinano, in via principale, le finalità e gli strumenti del trattamento dei dati personali degli utenti di Facebook nonché delle persone che hanno visitato la fanpage presente su Facebook e rientrano pertanto nella nozione di «Titolare del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46” e anche che “il mero fatto di utilizzare un social network quale Facebook non rende un utilizzatore di Facebook corresponsabile di un trattamento di dati personali effettuato da tale network” e che solo in determinate circostanze sia possibile considerare che l’amministratore di una pagina su Facebook possa essere considerato “Titolare del trattamento” e ciò quando, ad esempio consente a Facebook di installare sulla propria pagina i cookies di quest’ultima ovvero relativamente all’acceso alla propria pagina di utenti che non siano anche registrati sulla piattaforma di Facebook.

    Anche con riferimento a questa sentenza l’EDPB non solo si è limitato a condividerla ma ha anche eliminato l’inciso che “solo in determinate circostanze” il gestore della pagina Facebook possa essere considerato “Co-Titolare” del trattamento.

    Vale la pena di sottolineare che, vigente la Direttiva 95/46, che sostanzialmente individuava solo in capo al “Titolare del trattamento” l’onere del risarcimento per i danni cagionati all’Interessato, la Corte considera che la presenza di Co-Titolari possa accrescere la possibilità di un ristoro dei danni subiti, valutazione che appare non tenere in debita considerazione che se i distinti soggetti agiscono quali autonomi “Titolari del trattamento” le tutele e le prerogative degli interessati mantengono lo stesso livello di garanzia.

    Queste valutazioni hanno condotto ad affermare che, si veda l’esempio 1) della Linea Guida sul targeting dei social media, il soggetto che “compra” una campagna pubblicitaria (Targeter) per il semplice fatto che indichi le caratteristiche dei destinatari ai quali intende di far pervenire il suo messaggio pubblicitario debba essere considerato “Co-Titolare” del trattamento con il Social Media che è il soggetto che ha raccolto i dati in qualità di Titolare del trattamento e l’eventuale consenso al loro utilizzo per finalità di marketing diretto.

    Una tale posizione non tiene in nessuna considerazione non solo la complessità che tale previsione impone dovendosi predisporre accordi di Co-Titolarità anche per una campagna one-shoot, con un aggravio di attività per la quale non se ne comprendono gli eventuali benefici in capo all’Interessato.

    Infatti, l’accordo di Co-Titolarità da solo non sarebbe sufficiente alla compliance poiché, almeno, dovrebbe essere predisposta una Informativa ex art. 13 e 14 del GDPR che andrebbe data all’Interessato al momento della raccolta dei dati mentre, in un caso del genere, avverrebbe successivamente e, in molti casi, a notevole distanza di tempo.

    Inoltre, ci si domanda quando dovrebbe essere fornita tale Informativa che modifica le previsioni inizialmente comunicate in fase di raccolta dei dati personali.

    Tale valutazione risulta, a parere di chi scrive, del tutto non condivisibile anche tenendo conto dell’eventuale trasmissione al Targeter, da parte del Social Media, di un report “statistico” contenente i numeri dei destinatari nonché, ad esempio, l’indicazione del numero dei soggetti che hanno “letto” la comunicazione: non vi è nessuna comunicazione di dati personali in un report statistico volto a dare evidenza dell’efficacia della campagna di comunicazione.

    Il semplice fatto che il Targeter abbia indicato le caratteristiche dei soggetti ai quali intende far pervenire la propria comunicazione promozionale non può essere considerato come la definizione delle finalità e, tantomeno, delle modalità con le quali viene effettuato il trattamento che continuano ad essere quelle indicate dal social media nell’informativa fornita all’Interessato al momento della raccolta dei dati personali.

    Inoltre, relativamente all’esempio 1), sembra essere chiaro che la finalità del trattamento è il “marketing diretto” mentre la scelta dei destinatari verso i quali indirizzare la comunicazione possa essere, più correttamente, considerata come una attività strumentale al perseguimento della citata finalità e non una ulteriore finalità.

    Altri aspetti che sollevano numerosi interrogativi sono contenuti nei punti da 44 a 46 delle Linee Guida in commento laddove sembra ricavarsi il possibile impiego, come base giuridica per le attività indicate nell’esempio 1) del “legittimo interesse” di cui all’art. 6 c1 lett. f) del GDPR.

    Questa indicazione appare non del tutto in linea con le prescrizioni contenute nelle Linee Guida sui “cookies” pubblicata dall’EDPB a maggio di quest’anno. In quelle Linee Guida, infatti, viene indicato come la base legale per l’utilizzo dei cookies con finalità di marketing diretto sia solo ed esclusivamente, il consenso “esplicito ed informato”: come è possibile avere un consenso esplicito ed informato nel caso in cui, dopo aver raccolto i dati ed il consenso, sottoscrivo un accordo di Co-Titolarità per effettuare una campagna di marketing diretto per conto di un soggetto distinto dal quello che lo aveva inizialmente raccolto?

    Le Linee Guida EDPB e il rischio di indicazioni inapplicabili

    A tal riguardo, peraltro, si riporta il testo del punto 69 delle Linee Guida che, ancora una volta, fornisce indicazioni che risultano del tutto inapplicabili “The EDPB also recalls that in a case where the consent sought is to be relied upon by multiple (joint) controllers or if the data is to be transferred to or processed by other controllers who wish to rely on the original consent, these organisations should all be named”: come è possibile indicare nell’Informativa il nome di un soggetto con il quale stabilirò un rapporto commerciale per una campagna di marketing diretto solo successivamente.

    Sono interrogativi ai quali le Linee Guida non forniscono riscontro limitandosi, purtroppo, a dare indicazioni di fatto inapplicabili.

    Negli esempi 2) e 3) delle Linee Guida sul targeting e social media l’EDPB si focalizza sul fatto che nel momento in cui la banca “comunica” i dati al Social Media inizia la condizione di “Co-Titolarità” tra i due soggetti ma non si preoccupa di fornire indicazioni circa le basi legali per rendere tale “comunicazione” legittima ai sensi del GDPR, aspetto che sarebbe molto più rilevante, visti i flussi di dati di internet, e che ha ampi margini di indeterminatezza che sarebbe molto utile chiarire.

    Per quanto riguarda le Linee Guida su Titolare, Co-Titolare e Responsabile valgono le stese riflessioni già sopra riportate alle quali ne va sicuramente aggiunta una di carattere generale che riguarda proprio l’esigenza di fornire utili esemplificazioni al fine di aiutare alla corretta valutazione del ruolo “agito” nell’ambito del trattamento dei dati personali, esigenza estremamente sentita ma alla quale sono state forniti davvero pochi riscontri.

    L’EDPB ritiene che “The concepts of controller and processor are functional” e anche “The concepts of controller and processor are also autonomous concepts in the sense that, although external legal sources can help identifying who is a controller, it should be interpreted mainly according to EU data protection law” ma nel documento non sviluppano in modo pratico tali affermazioni.

    Venendo agli esempi relativi al ruolo di Titolare presenti nel documento non si capisce perché nell’Example: Bank payments si considera il ruolo della Banca che fornisce i servizi bancari a favore di una Società Alfa per il pagamento degli stipendi dei dipendenti quello di Titolare mentre, avendo a riferimento l’Example: Market research, se la stessa Società Alfa decide di utilizzare i servizi della Società Beta per una “ricerca di mercato” fornendo una lista di domande e ricevendo solo un report complessivo debba essere considerata Titolare e la Società Beta designata Responsabile del trattamento senza alcuna valutazione delle caratteristiche del servizio in parola.

    Ed infatti se la configurazione Alfa-Titolare e Beta Responsabile può essere corretta nel caso in cui l’analisi di mercato riguardi i Clienti di Alfa, che quindi fornisce oltre alle indicazioni sui temi da analizzare anche la lista dei soggetti da intervistare, non appare condivisibile quando la Società Beta contatta un panel che potrebbe aver precedentemente selezionato e i cui dati personali acquisiti, quindi, nella veste di Titolare del trattamento.

    Relativamente alla sezione delle Linee Guida dedicate alla Co-Titolarità si confermano i dubbi già sopra espressi circa l’approccio che vede l’EDPB, partendo dalle decisioni della CJEU commentate, considerare applicabile tale modello in una numerosa casistica che in molti casi si fa davvero fatica a condividere.

    In particolare relativamente all’Example: Headhunters appare davvero poco condivisibile che l’Headhunter e la società che commissiona la ricerca di personale debbano essere considerati Co-Titolari nel momento in cui, nella conduzione della ricerca, l’Headhunter, che utilizza un proprio DB costituito da CV raccolti in qualità di Titolare procedere ad elaborare anche i CV ricevuti direttamente dalla società che ha commissionato la ricerca: a parte la problematicità già sopra evidenziata relativamente ai CV raccolti dall’Headhunter sulla base di una propria informativa quale Titolare del trattamento che richiederebbe, quindi, il rilascio di un aggiornamento dell’informativa in precedenza prestata resta il fatto che tale impostazione creerebbe una proliferazione di accordi di Co-Titolarità “necessari” alla gestione di ogni singola ricerca di personale senza che da tale modello possa derivarne alcun beneficio concreto per il Candidato e, nemmeno, per la protezione dei dati personali.

    Quando le Linee Guida dell’EDPB vanno oltre il dettato del GDPR

    Per quanto riguarda, poi, la sezione delle Linee Guida dedicata al Responsabile del trattamento sembra potersi confermare che l’EDPB in luogo di perseguire il fine di offrire chiarimenti ed indicazioni esplicative atte ad indirizzare correttamente le operatività di questi ultimi, intende utilizzare tale strumento per formulare ulteriori e più stringenti prescrizioni andando ben oltre quello che è il dettato dell’art. 28 del GDPR.

    Innanzitutto l’EDPB non sembra voler tenere in alcuna considerazione la realtà fattuale del contesto nel quale la normativa deve essere calata laddove, in modo abbastanza semplicistico, afferma che “the imbalance in the contractual power of a small data controller with respect to big service providers should not be considered as a justification for the controller to accept clauses and terms of contracts which are not in compliance with data protection law, nor can it discharge the controller from its data protection obligations” poiché è davvero poco accettabile che, pur consapevoli “that the contract and its detailed terms of business are prepared by the service provider rather than by the controller” si scarichi sullo “small controller” l’onere di farsi carico di “obbligare” il proprio interlocutore, in molti casi soggetti con un elevato potere economico, ad accettare modifiche agli Atti di designazione a Responsabile del trattamento da questi ultimi predisposti.

    Per contro sarebbe, invece, auspicabile che la Commissione Europea e le DPA nazionali, con il supporto dell’EDPB, definiscano le Standard Contractual Cluses previste dai commi 7 e 8 dell’art. 28 proprio al fine di ribilanciare i differenti pesi specifici dei soggetti.

    Appare poi un inutile aggravio la previsione che oltre a dover sottoscrivere un atto formale per regolare la designazione a Responsabile del trattamento che contenga tutte le indicazioni e prescrizioni dell’art. 28 del GDPR venga richiesto di allegare anche procedure, la descrizione delle misure di sicurezza proposte dal Responsabile, il dettaglio delle procedure che regolano l’assistenza verso il Titolare nella gestione delle richieste degli Interessa eccetera.

    Peraltro, viene anche sottolineato come si debba anche tener conto del contesto, della tipologia dei dati trattati, del rischio relativo e, aggiungiamo, anche delle caratteristiche del Titolare e/o del Responsabile anche dal punto di vista economico, ma di indicazioni concrete a tal riguardo non ve ne è traccia.

    Invece, sembra che si voglia anche mettere in dubbio una delle significative novità introdotte dal GDPR che ha equiparato il Titolare ed il Responsabile dal punto di vista della “accountability” e di conseguenza delle responsabilità connesse al proprio operato, quando da una parte si afferma che Titolare e Responsabile hanno degli obblighi “autonomi ed individuali” che discendono dalle prescrizioni dell’art. 32 salvo poi affermare che “The contract needs to include or reference information as to the security measures to be adopted, an obligation on the processor to obtain the controller’s approval before making changes, and a regular review of the security measures so as to ensure their appropriateness with regard to risks, which may evolve over time” e questo dopo avere affermato “the requirement that the processor itself adopts adequate security measures, where the processing operations of the processor fall within the scope of the GDPR, they remain two distinct obligations, since one refers to the processor’s own measures and the other refers to the controller’s”, il tutto con l’unico risultato di rendere confusi anche quegli aspetti del GDPR che sembravano essere sufficientemente chiari e condivisi.

    La posizione dell’EDPB sulla Direttiva PSD2

    Concludiamo queste nostre riflessioni sulle Linee Guida relative all’interworking tra il GDPR e la Direttiva 2015/2366/EU (nel seguito “PSD2”) che, dopo la consultazione, dovrebbero essere quasi pronte per esser pubblicate.

    Vale la pena di partire da una risposta che a luglio 2018 l’EDPB aveva fornito sul tema della PSD2 ad una richiesta di una deputata del Parlamento Europeo che segnalava come vi fossero dubbi interpretativi circa il “consenso”, più volte richiamato nella PSD2 come condizione imprescindibile per dare correttamente avvio ad un pagamento elettronico, ed il consenso di cui all’art. 6 c. 1 lett. a) del GDPR quale base giuridica per il trattamento dei dati personali.

    Nel formulare il riscontro il Board aveva, giustamente, chiarito come si trattasse di due piani distinti: il primo riguardava la conclusione di un contratto ed aveva lo scopo di conseguire la consapevolezza del soggetto che effettuava la transazione, come richiesto dall’art. 94 (2) della PSD2, mentre il consenso del GDPR è una delle basi giuridiche sulla quali può poggiare il trattamento dei dati personali e, nell’ambito di una transazione economica, quindi di fatto nell’ambito dell’esecuzione di un “contratto”, è questa la base giuridica per il trattamento dei dati personali (art. 6 c. 1 lett. b)).

    Nelle Linee Guida in commento l’EDPB, anche alla luce delle Linee Guida 2/2019, riaffronta il tema della base giuridica del trattamento in ambito servizi di pagamento elettronici sottolineando l’esigenza che vi sia una attenta valutazione delle finalità perseguite evidenziando come sia imprescindibile che il Titolare garantisca che il trattamento sia “‘Necessary for performance’ clearly requires something more than a contractual clause”.

    Questo richiamo ricorre in numerosi passaggi del documento quasi a testimoniare che l’EDPB ritenga il servizio attraverso il quale un soggetto richiede al proprio fornitore di strumenti di pagamento elettronico, non possa essere sempre considerato un “contratto”, ad esecuzione immediata, con il quale viene dato seguito, appunto, ad un ordine di pagamento spingendosi ad affermare che potrebbe non essere valido nemmeno “for taking relevant pre-contractual steps at the request of the data subject”: davvero una simile posizione appare non condivisibile e, soprattutto, foriera di dubbi applicativi sulla corretta scelta della base giuridica che, sarebbe auspicabile, le Linee Guida contribuissero ad indirizzare nel modo più semplice e corretto.

    Paradossale appare, poi, la posizione pilatesca espressa dall’EDPB che, circa l’applicabilità dell’art. 6 c .4 del GDPR relativamente alle finalità di trattamento che discendono in capo agli AISP (Account Information Services Provider) o ai PISP (Payment Initation Services Providers) dalla Direttiva 2015/849/UE ai fini del contrasto delle attività di riciclaggio e di finanziamento del terrorismo, ci informa come “Note that a thorough examination of the question whether the anti-money laundering directive meets the standard of Art. 6 (4) GDPR falls outside of the scope of this document”!

    Appare, inoltre, davvero poco comprensibile che “the EDPB highlights that the payment service user must be able to choose whether or not to use the service and cannot be forced to do so”: in che modo il PISP, che riceve un ordine di pagamento da parte del payment service user potrebbe forzalo ad effettuare una transazione visto che il suo intervento avviene a valle della libera decisione dell’user di comprare un prodotto o un servizio, o di effettuare un pagamento, al solo fine di consentire il trasferimento di una somma a favore di un terzo.

    Ancora meno comprensibile l’enfasi che l’EDPB pone sulla figura del destinatario di un pagamento, il c.d. Silent Party, e sul relativo trattamento dei dati personali dedicando all’argomento una serie di riflessioni che davvero si fa fatica a condividere.

    Qual è la differenza tra un pagamento effettuato presso lo sportello fisico di un Istituto Bancario nel quale il Cliente dispone un bonifico nei confronti di un soggetto e quello realizzato mediante un PISP relativamente al trattamento dei dati personali del destinatario del pagamento?

    Come mai tale attenzione emerge solo oggi visto che i servizi bancari datano al 1400 e tale aspetto non è stato sino ad oggi ritenuto rilevante ai sensi della direttiva 96/45/UE?

    Perché il PISP dovrebbe invocare il proprio “legittimo interesse” quale base giuridica per dare seguito ad una “richiesta di pagamento” effettuata dal payment service user: il PISP si limita a dare esecuzione a quanto gli è stato richiesto sulla base di un “contratto” che, attraverso la richiesta di transazione formulata dall’user si è impegnato ad eseguire.

    Anche gli aspetti relativi alla “eventuale” presenza di dati particolari ricavabili più o meno direttamente dalle transazioni e alla necessità di garantire il rispetto delle prescrizioni ex art. 9 del GDPR sembra dimostrare poca dimestichezza sul funzionamento del “servizio” al quale ci si riferisce.

    È davvero difficile comprendere come a fronte di una richiesta del payment service user di procedere ad effettuare un pagamento e, tenuto conto del contesto nel quale questo avviene che spazia dall’utilizzo di un POS presso un punto vendita “fisico” ad una transazione completamente virtuale collegata ad un acquisto effettuato su di un sito di e-commerce e che vede, in ambedue i casi, l’intervento del PISP come soggetto esterno alla transazione commerciale con il solo ruolo di procedere al trasferimento di denaro dall’acquirente verso il venditore, questi sia tenuto a raccogliere un consenso al trattamento dei dati particolari eventualmente e, in ogni caso, solo indirettamente rinvenibili nella transazione.

    Per poter avere contezza della tipologia dei dati personali coinvolti nella transazione il PISP dovrebbe effettuare delle analisi di dettaglio sulle caratteristiche dei beni acquistati per i quali interviene come soggetto che garantisce il pagamento.

    Paradossalmente il PISP, seguendo le indicazioni delle Linee Giuda, viene spinto a dover raccogliere ed elaborare una quantità di dati indispensabile a poter valutare la presenza di dati particolari: questa indicazione appare quantomeno essere non del tutto in linea con i principi di “privacy by design e by default” poiché tali dati aggiuntivi non sarebbero indispensabili ad effettuare il trattamento richiesto ai fini del perfezionamento della transazione.

    In una tale ipotesi il PISP dovrebbe analizzare il contenuto descrittivo della transazione, ove questo fosse presente, per valutare se da tali informazioni sia inferibile che questa ha ad oggetto dati personali particolari.

    Nella realtà l’intervento del PISP si limita, nel caso del POS fisico, alla lettura della banda magnetica della carta di pagamento ed all’associazione con il PIN, mentre nelle transazioni on-line al payment service user viene presentata un form dove inserire i dati dello strumento di pagamento e il PISP riceve, di norma, solo tali informazioni.

    È vero che in funzione del punto fisico di presenza del POS ovvero del sito di e-commerce, si possa indirettamente inferire su una potenziale presenza di dati particolari, es. se acquisto presso un sexy-shop fisico o on-line, ma che in tale circostanza debba essere il PISP a farsi carico della raccolta del consenso appare davvero non solo impraticabile ma senza senso.

    Tali trattamenti sarebbero da considerare “strumentali” ad una richiesta dell’Interessato – payment service user – il quale volontariamente, coscientemente e liberamente decide di procedere all’acquisto e, di conseguenza, anche nel caso in cui vi fosse la presenza di dati particolari, ”il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato, come recita l’art. 9 c. 2 lett. e) del GDPR ma una tale valutazione richiederebbe, da parte dell’EDPB, una pragmaticità che, purtroppo, non sembra esser rinvenibile nelle Linee Guida.

    Un’ultima necessaria considerazione riguarda il Silent Party per il quale, anche rispetto al trattamento dei dati particolari, l’EDPB ha ritenuto indispensabile fornire adeguati caveat circa la necessità di raccogliere un eventuale consenso salvo non preoccuparsi in alcun modo di valutare se sia davvero possibile dare applicazione ad una simile previsione.

    Peraltro, non si capisce il perché sarebbe necessario un consenso se chi riceve il pagamento è il “proprietario-gestore” del sito di e-commerce dove è avvenuta la transazione e, quindi, è ben consapevole di cosa ha venduto mentre, nel caso di una transazione avente a destinatario un partito politico, un sindacato, una associazione religiosa o culturale, non si capisce il senso del riferimento al trattamento di dati particolari visto la loro connotazione univoca.

    Conclusioni

    Dalla lettura dei documenti in commento si rileva una significativa distanza tra l’EDPB ed il contesto reale e concreto delle esigenze dei destinatari che sono chiamati a dare puntuale applicazione al GDPR.

    Manca la capacità di cogliere il reale meccanismo di funzionamento che sottende il trattamento dei dati personali nel sempre più complesso mondo dei big data che ci circonda.

    Al tempo stesso le Linee Guida che, nelle indicazioni rinvenibili nei Considerando e nell’art. 70 del GDPR, dovrebbero svolgere una funzione di aiuto e ausilio per i diversi soggetti (Titolari, Co-Titolari e Responsabili) che a vario titolo effettuano il trattamento dei dati personali nella corretta applicazione della normativa, non solo non sembrano conseguire tale scopo ma, al contrario, creano ulteriori incertezze introducendo vincoli e indicazioni, fornendo esemplificazioni e valutazioni, che non sembrano essere rinvenibili nella normativa che dovrebbero contribuire a far applicare in modo corretto.

    Inoltre, anche il meccanismo di funzionamento della “consultazione pubblica” appare carente poiché non si capisce come mai, a seguito delle consultazioni, i documenti finali mantengano, sostanzialmente, gli stessi contenuti iniziali nonostante in molti casi, e chi scrive ha in diverse occasioni inviato contributi, le tematiche affrontate presentavano aspetti rilevanti che hanno sicuramente stimolato i diversi soggetti interessati.

    A tal riguardo, proprio nell’ottica della trasparenza tante volte citata nei documenti in parola, sarebbe auspicabile che l’EDPB fornisse visibilità sui contenuti e commenti ricevuti e spiegasse le ragioni del loro mancato accoglimento.

    Luciano Delli Veneri
    DPO, consulente compliance organizzativa e privacy, Privacy Officer certificato TUV
    Gloria Marcoccio
    DPO, consulente security&privacy, Privacy Officer certificato TUV, ISO27001 Lead Auditor
    Fonte:

    Cybersecurity 360

    DiLuca

    Giornata Internazionale delle Persone con Disabilità

    Il giorno 3 dicembre, come ogni anno, si celebra la “Giornata Internazionale delle Persone con Disabilità”, con lo scopo di promuovere i diritti e sostenere la piena inclusione delle persone con disabilità in ogni ambito della vita, ma anche di allontanare ogni forma di discriminazione e violenza.
    In occasione di tale ricorrenza, alle ore 16 si svolgerà il webinar “Dalla parte delle persone con disabilità ai tempi del Covid”, organizzato dall’ Ufficio Relazioni con il Pubblico e il Comitato Consultivo Misto del Policlinico di Bari – Giovanni XXIII.

    Per collegarsi al webinar: https://bit.ly/35S4MZN

     

     

    DiLuca

    Diffondiamo un articolo scritto dal Dott. Luciano Delli Veneri, componente del Comitato Scientifico

    Le nuove clausole contrattuali standard per il trasferimento di dati personali extra UE in consultazione pubblica: alcuni spunti di riflessione per non perdere di vista la realtà

    14.11.2020

    Gloria Marcoccio, Luciano Delli Veneri

    Le standard contractual clauses(SCC)  sul trasferimento dati personali extra EU, sottoposte dalla Commissione Europea a consultazione pubblica dal 12 novembre al 10 dicembre 2020, purtroppo ben rappresentano il livello di confusione, complessità e contraddittorietà delle attuali normative in materia di privacy, che contrariamente ai propositi della Commissione, potrebbero avere come principali effetti quelli di scoraggiare le realtà imprenditoriali, sia europee che extra europee, dall’operare in accordo a tale norme, e di aumentare il livello di sfiducia dei cittadini nei riguardi di ciò che sulla carta è propagandato a tutela dei loro diritti e libertà fondamentali.

    Certamente non ha giovato alle problematiche di trasferimento di dati personali extra EU la decisione della Corte di Giustizia Europea del 16 luglio 2020 che non solo ha invalidato il Privacy Shield ma, di fatto, ha creato uno sconfortante clima di incertezza sull’effettiva applicabilità delle attuali SCC (in particolare quelle da esportatore Titolare ad importatore Responsabile – Decisione 2010/87/EU) richiedendo in ultima analisi a queste realtà imprenditoriali di svolgere analisi e valutare se un paese terzo rispetto la UE abbia in vigore leggi che rispettano l’essenza dei diritti e delle libertà fondamentali e non eccedono quanto è necessario e proporzionato in una società democratica.

    Le conseguenti reazioni, spesso in ordine sparso, dei vari Garanti privacy europei nonostante quanto in materia pubblicato dall’EDPB, incluse le ultime arrivate: le recentissime ‘Recommendations 02/2020 on the European Essential Guarantees for surveillance measures adopted on 10 November 2020’ del EDPB, non fanno ben presagire se le nuove SCC andranno in onda così come sono, inclusi i diversi riferimenti al consultare/comunicare…riferiti alle Autorità di protezione dati personali nazionali (Autorità) di volta in volta competente per un caso di trasferimento di dati all’estero.

    Auspicabile, ovviamente, che la consultazione pubblica possa recepire le critiche costruttive, le considerazioni, le proposte che certamente non tarderanno ad arrivare alla Commissione, perché la voce delle varie realtà imprenditoriali e degli esperti del settore che risponderanno alla consultazione, saranno espressione, ancora una volta, delle reali difficoltà nell’operare, che non possono sempre essere tacciate di insofferenza delle aziende verso un qualunque obbligo imposto dalle leggi specie in ambito privacy.

    Qui di seguito alcuni dei possibili spunti di riflessione sul testo delle nuove SCC sottoposte a consultazione.

    Zero attenzione verso le SME

    Prima di tutto ed ancora una volta, nonostante il proposito più volte espresso nel Reg. EU 2016/679 (GDPR) di tenere conto delle esigenze delle piccole e medie imprese, queste SCC richiedono capacità, impegni e responsabilità che, e non è sempre detto, possono di fatto avere solo le grandi imprese, dotate di capacità economiche e competenze specifiche, indispensabili per poter interpretare ed applicare nel concreto e nel continuo quanto previsto dalle SCC. Si prenda ad esempio quanto riportato nella Sezione II OBLIGATIONS OF THE PARTIES ‘Clause 2 Local laws affecting compliance with the Clauses’ laddove si richiede alle Parti di garantire di ‘… non avere motivo di ritenere che le leggi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, inclusi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano i dati importatore dall’adempimento dei propri obblighi ai sensi delle presenti clausole.’ e di fornire tali garanzie tenendo ‘…in debito conto in particolare i seguenti elementi: i) le circostanze specifiche del trasferimento, compreso il contenuto e la durata del contratto; l’entità e la regolarità dei trasferimenti; la lunghezza della catena di elaborazione, il numero di attori coinvolti e i canali di trasmissione utilizzati; il tipo di destinatario; lo scopo del trattamento; la natura dei dati personali trasferiti; qualsiasi esperienza pratica pertinente con casi precedenti o l’assenza di richieste di divulgazione da parte delle autorità pubbliche ricevute dall’importatore di dati per il tipo di dati trasferiti; (ii) le leggi del paese terzo di destinazione pertinenti alla luce delle circostanze del trasferimento, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o l’autorizzazione all’accesso da parte di tali autorità, nonché le limitazioni e le garanzie applicabili; (iii) eventuali garanzie aggiuntive rispetto a quelle previste dalle presenti Clausole, comprese le misure tecniche e organizzative applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.’

    E’ forse il caso di ricordare che tale complesso di valutazioni può di volta in volta fornire risultati diversi a parità di condizioni (stesso paese estero, stesso contesto di trasferimento, …) a seconda della profondità, completezza e disponibilità di risorse nel condurre le analisi, ferma restando una ‘soggettività’ di vedute che non si può mai escludere. E cosa accadrà se, a giudizio di una Autorità o di una associazione no profit che opera ai sensi del GDPR Art 80(1), l’esito della valutazione verrà considerato errato?

    Da ricordare poi che la Commissione nel condurre analoghe analisi allo scopo di concedere a certi Paesi Terzi le utilissime ‘Adequacy Decision’ ai sensi del GDPR Art 45, impiega a volte molti anni: come può un’azienda svolgere in tempo utile per il proprio business, e magari in un quadro complesso di concorrenza, simili valutazioni.

    Forse sarebbe utile pensare meccanismi che vedano protagoniste le Autorità/enti controllati dalle Autorità stesse che forniscano elementi valutativi oggettivi vincolanti, che liberino le imprese dalla responsabilità di porre in essere simili complesse analisi, soprattutto per le SME.

    Ruoli privacy considerati: tra le varie… ed i Contitolari?

    Le nuove SCC prendono in esame ben 4 tipologie di relazioni: 1) Titolare->Titolare, 2) Titolare -> Responsabile, 3) Responsabile -> (Sub) Responsabile e 4) Responsabile->Titolare.  Di certo, per quanto riguarda le relazioni 2) e 3), si deve certamente apprezzare l’approccio seguito nel considerare le SCC comprensive anche dell’accordo che deve essere posto in essere ai sensi del GDPR Art 28: è stato ed è tutt’ora infatti inutilmente dispersivo e operativamente complesso avere separati accordi, uno per il contratto con il ruolo Responsabile e l’altro per il trasferimento di dati all’estero. In tale contesto è però assolutamente imperativo che le nuove SCC incorporino tutti gli obblighi previsti in GDPR Art 28(3): non facile nell’attuale testo ritrovare l’obbligo del Responsabile di supportare il Titolare riguardo le misure di sicurezza commensurate ai rischi (Art 32) e Valutazione di Impatto (Artt 35 e 36).

    Si evidenzia però, in termini di completa rappresentazione di tutte le possibili relazioni tra ruoli privacy anche in contesto di trasferimento di dati all’estero, la mancanza di una seppur minima menzione al caso dei Contitolari, che difficilmente su può considerare coperto dall’attuale caso 1): il rapporto tra Contitolari è ben più stretto, se non altro per quanto riguarda le responsabilità e gli impegni a loro richiesti quando l’interessato esercita i suoi diritti privacy ‘..nei confronti e contro ciascun contitolare’. Anche un riferimento all’accordo ex GDPR Art 26(1) dovrebbe essere presente, seppur in modo più conciso rispetto a quanto presente nelle nuove SCC per l’accordo ex GDPR Art 28 per i Responsabili.

    Converrà ancora ricorrere alle BCR per i gruppi internazionali?

    Le nuove SCC sono pensate per essere siglate da più Parti, e nulla vieta che queste siano tutte interne ad un Gruppo internazionale. Inoltre sono già predisposte per contemplare più tipologie di relazioni privacy, inclusi i termini per l’accordo ex GDPR Art 28, (vedasi punto precedente) ed appendici per documentare i trattamenti-trasferimenti in oggetto e le classi di misure di sicurezza a protezione dei dati. Probabilmente con non moltissimi apporti aggiuntivi, l’impalcatura contrattuale derivante potrebbe essere presa in considerazione da Gruppi internazionali per disciplinare al proprio interno (…e non solo) i ruoli privacy e gli obblighi da osservare per i trasferimenti dati personali intragruppo tra legal entity europee ed extra-europee: per definizione sarebbero presenti tutte le caratteristiche che concorrono a tutelare i diritti e le libertà fondamentali degli interessati in relazione al trattamento dei loro dati personali. Tenendo presente la complessità e durata (e costi) dell’attuale iter da seguire per veder approvate e poter cominciare ad utilizzare le BCR -Norme vincolanti di impresa ai sensi del GDPR Art 47, un Gruppo internazionale potrebbe essere almeno tentato di analizzare il trad-off tra le due possibili soluzioni: BCR vs le nuove SCC opportunamente integrate.

    Obblighi di notifica di Violazione dati personali quando l’Importatore è Titolare: davvero si può pretendere? E a cosa serve?

    Nella ‘Clause 1 Data protection safeguards’ -modulo relativo alla relazione Titolare ->Titolare, al punto 1.5 dedicato alla sicurezza nel trattamento è riportato che ‘…Se è probabile che una violazione dei dati comporti effetti negativi significativi, l’importatore di dati lo notifica senza indebito ritardo sia all’esportatore di dati sia all’autorità di controllo competente…’. Non è facile capire quale possa essere il razionale di una simile previsione, invece ben chiaro nel contesto della relazione Titolare->Responsabile ai sensi del GDPR Art 28(2), quando il trattamento dei dati è fatto per conto del Titolare. Nel caso di Importatore Titolare, evidentemente, il trattamento è svolto da questi per proprie finalità e determinando i mezzi del trattamento: una volta che i dati sono stati trasferiti ed è iniziato il trattamento da parte dell’Importatore cosa mai puoi fare e per quale motivo deve essere coinvolto il Titolare Esportatore quando presso l’Importatore Titolare avviene una violazione dati personali? Per gli stessi motivi sfugge il coinvolgimento anche dell’Autorità competente nei riguardi dell’Esportatore. Teniamo inoltre presente che la legge vigente presso il paese estero di stabilimento per il Titolare Importatore potrebbe già prevedere obblighi di notifica alle autorità nazionali per incidenti di sicurezza, dunque in tali casi sarebbe ulteriormente incomprensibile l’obbligo di notificare in Europa sia all’Esportatore che all’Autorità europea competente. Sarebbe dunque raccomandabile eliminare una simile previsione, salvo che non vengano chiarite dalla Commissione quali ulteriori reali e concrete tutele potrebbero derivarne per gli Interessati.

     Esportatore estero soggetto al GDPR: cosa farne delle SCC

    La ‘Clause 9 Supervision’ di pagina 22 fa nascere l’attenzione su un contesto particolare, ossia quando ‘…esportatore di dati non è stabilito in uno Stato membro, ma rientra nell’ambito di applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 2’. Ora, se da una parte è vero che un tale soggetto debba operare in conformità al GDPR, la sua condizione che lo porta ad essere, in casi particolari, un Esportatore dovrebbe essere analizzata ed affrontata in modo più specifico e puntuale in riferimento alla realtà operativa. Facciamo un esempio: il gestore di un sito web estero che offre beni e servizi anche a persone fisiche che si trovano nella Unione Europea, se si avvale di fornitori di servizi che si trovano nel suo stesso paese e che in funzione di tali servizi trattano dati personali, dovrà davvero allegare al contratto di servizi con essi le SCC stabilite dalla UE?

    Fonte: https://www.linkedin.com/pulse/standard-contracual-clauses-alcuni-spunti-dal-mondo-reale-marcoccio/

    DiLuca

    Cooperative Sociali

    Seminario Formativo Gratuito Online

    Venerdì  13 Novembre 2020 – ore 10.30/13.00

    ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
    https://attendee.gotowebinar.com/register/1933342073723550475?source=Siti+Web

    Clicca qui per visualizzare il programma!

    Nel rispetto del nuovo DPCM del 18 Ottobre u.s., il seminario formativo potrà esser svolto solo in modalità online!

    DiLuca

    La Dott.ssa Gloriamaria Paci illustra il seminario formativo del 29 Ottobre in TV!

    Finalmente ci siamo!🐞 Oggi pomeriggio si terrà il seminario formativo “LA V DIRETTIVA E L’IMPATTO SUI DATI PERSONALI ANCHE ALLA LUCE DELLE RIFORME IN MATERIA DI CAPTAZIONE INFORMATICA”. Potete riguardare l’intervista rilasciata dalla Dott.ssa Gloriamaria Paci.
    Fino all’inizio dell’evento è possibile iscriversi attraverso il link: https://attendee.gotowebinar.com/register/7910059683187172367?source=Web

    DiLuca

    Il decreto legislativo di recepimento della V direttiva n.125 del 4/10/2019

    Il decreto legislativo di recepimento della V direttiva:

    
    
    DiLuca

    La V direttiva: il Quadro normativo di riferimento

    Il Decreto legislativo n. 125 del 2019 (AG 95) ha recepito la V direttiva antiriciclaggio (2018/843/UE) che modifica la direttiva 2015/849/UE, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Da molto tempo i legislatori nazionale e comunitario si concentrano sulle tematiche del riciclaggio di denaro, soprattutto al fine di contrastare la criminalità organizzata e il terrorismo internazionale. Vedi qui il dossier.

    Link: Descrizione:
    La V direttiva”: DIRETTIVA (UE) 2018/843 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 30 maggio 2018
    che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di
    riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE/td>
    Il decreto legislativo di recepimento della V direttiva n.125 del 4/10/2019 – Modifiche ed integrazioni ai decreti legislativi
    25 maggio 2017, n. 90 e n. 92, recanti attuazione della direttiva (UE) 2015/849, nonche’ attuazione della
    direttiva (UE) 2018/843 che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema
    finanziario ai fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE.
    Dato Il dossier del 15 Luglio 2019 della Camera e del Senato per la V direttiva Prevenzione dell’uso del sistema finanziario
    a fini di riciclaggio o di finanziamento del terrorismo

     

    DiLuca

    Direttiva (UE) 2018/843 del Parlamento Europeo e del consiglio

    Di seguito il testo della V direttiva antiriciclaggio:

    19.6.2018

    IT

    Gazzetta ufficiale dell’Unione europea

    L 156/43


    DIRETTIVA (UE) 2018/843 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

    del 30 maggio 2018

    che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE

    (Testo rilevante ai fini del SEE)

    IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

    visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114,

    vista la proposta della Commissione europea,

    previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

    visto il parere della Banca centrale europea (1),

    visto il parere del Comitato economico e sociale europeo (2),

    deliberando secondo la procedura legislativa ordinaria (3),

    considerando quanto segue:

    (1)

     

    La direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (4) costituisce il principale strumento giuridico per la prevenzione dell’uso del sistema finanziario dell’Unione a fini di riciclaggio di denaro e finanziamento del terrorismo. Tale direttiva, il cui recepimento è stato previsto entro il 26 giugno 2017, definisce un quadro giuridico efficiente e completo per il contrasto della raccolta di beni o di denaro a scopi terroristici prescrivendo agli Stati membri di individuare, comprendere e mitigare i rischi collegati al riciclaggio di denaro e al finanziamento del terrorismo.

    (2)

    I recenti attentati terroristici hanno evidenziato l’emergere di nuove tendenze, in particolare per quanto riguarda le modalità con cui i gruppi terroristici finanziano e svolgono le proprie operazioni. Taluni servizi basati sulle moderne tecnologie stanno diventando sempre più popolari come sistemi finanziari alternativi, considerando che restano al di fuori dell’ambito di applicazione del diritto dell’Unione o che beneficiano di deroghe all’applicazione di obblighi giuridici che potrebbero essere non più giustificate. Per stare al passo con queste nuove tendenze è opportuno adottare ulteriori misure volte a garantire la maggiore trasparenza delle operazioni finanziarie, delle società e degli altri soggetti giuridici, nonché dei trust e degli istituti giuridici aventi assetto o funzioni affini a quelli del trust («istituti giuridici affini»), allo scopo di migliorare l’attuale quadro di prevenzione e di contrastare più efficacemente il finanziamento del terrorismo. È importante rilevare che le misure adottate dovrebbero essere proporzionate ai rischi.

    (3)

    Le Nazioni Unite (ONU), Interpol ed Europol segnalano la crescente convergenza tra la criminalità organizzata e il terrorismo. L’intreccio tra la criminalità organizzata e il terrorismo e i collegamenti fra gruppi criminali e terroristici rappresentano una crescente minaccia per la sicurezza dell’Unione. La prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo costituisce parte integrante di qualsiasi strategia intesa a contrastare tale minaccia.

    (4)

    Se è vero che negli ultimi anni si sono registrati miglioramenti significativi, a livello degli Stati membri, per quanto riguarda l’adozione e l’applicazione delle norme del gruppo di azione finanziaria internazionale (GAFI) e il sostegno al lavoro svolto dall’Organizzazione per la cooperazione e lo sviluppo economico in materia di trasparenza, è evidente che occorre accrescere ulteriormente la trasparenza generale del contesto economico e finanziario dell’Unione. La prevenzione del riciclaggio di denaro e del finanziamento del terrorismo può essere efficace solo se l’ambiente circostante è ostile ai criminali che cercano di proteggere le loro attività finanziarie attraverso strutture non trasparenti. L’integrità del sistema finanziario dell’Unione dipende dalla trasparenza delle società e di altri soggetti giuridici, trust e giuridici affini. L’obiettivo della presente direttiva è non solo quello di individuare i casi di riciclaggio di denaro e di indagare al riguardo, ma anche di evitare che essi si verifichino. Il rafforzamento della trasparenza potrebbe essere un potente deterrente.

    (5)

    Pur salvaguardando gli obiettivi della direttiva (UE) 2015/849, qualsiasi modifica apportata a quest’ultima dovrebbe essere coerente con l’azione dell’Unione attualmente in corso nel settore della lotta contro il terrorismo e il finanziamento dei terroristi, nel rispetto del diritto fondamentale alla protezione dei dati di carattere personale così come nel rispetto e in applicazione del principio di proporzionalità. La comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni dal titolo «Agenda europea sulla sicurezza» ha indicato la necessità di misure che consentano di affrontare il finanziamento del terrorismo in maniera più efficace e globale, sottolineando che l’infiltrazione dei mercati finanziari permette il finanziamento del terrorismo. Anche nelle conclusioni del Consiglio europeo del 17-18 dicembre 2015 si è sottolineata la necessità di adottare rapidamente ulteriori iniziative contro il finanziamento del terrorismo in tutti i settori.

    (6)

    La comunicazione della Commissione al Parlamento europeo e al Consiglio dal titolo «Piano d’azione per rafforzare la lotta al finanziamento del terrorismo» sottolinea la necessità di adeguarsi alle nuove minacce e di modificare a tal fine la direttiva (UE) 2015/849.

    (7)

    Le misure dell’Unione dovrebbero inoltre rispecchiare con esattezza gli impegni assunti e gli sviluppi a livello internazionale. Si deve pertanto tener conto della risoluzione del Consiglio di sicurezza delle Nazioni Unite (UNSCR) 2195 (2014) sulle minacce alla pace e alla sicurezza internazionali e delle UNSCR 2199 (2015) e 2253 (2015), sulle minacce alla pace e alla sicurezza internazionali causate da atti di terrorismo. Tali UNSCR riguardano, rispettivamente, i legami tra il terrorismo e la criminalità organizzata transnazionale, le misure per impedire ai gruppi terroristici di accedere alle istituzioni finanziarie internazionali, e l’estensione dell’ambito di applicazione delle sanzioni per includervi lo Stato islamico dell’Iraq e del Levante.

    (8)

    I prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute aventi corso legale (vale a dire le monete e le banconote considerate a corso legale e la moneta elettronica di un paese, accettate quale mezzo di scambio nel paese emittente) e i prestatori di servizi di portafoglio digitale non sono soggetti all’obbligo dell’Unione di individuare le attività sospette. Pertanto, i gruppi terroristici possono essere in grado di trasferire denaro verso il sistema finanziario dell’Unione o all’interno delle reti delle valute virtuali dissimulando i trasferimenti o beneficiando di un certo livello di anonimato su queste piattaforme. È pertanto di fondamentale importanza ampliare l’ambito di applicazione della direttiva (UE) 2015/849 in modo da includere i prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute legali e i prestatori di servizi di portafoglio digitale. Ai fini dell’antiriciclaggio e del contrasto del finanziamento del terrorismo (AML/CFT), le autorità competenti dovrebbero essere in grado di monitorare, attraverso i soggetti obbligati, l’uso delle valute virtuali. Tale monitoraggio consentirebbe un approccio equilibrato e proporzionale, salvaguardando i progressi tecnici e l’elevato livello di trasparenza raggiunto in materia di finanziamenti alternativi e imprenditorialità sociale.

    (9)

    L’anonimato delle valute virtuali ne consente il potenziale uso improprio per scopi criminali. L’inclusione dei prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute reali e dei prestatori di servizi di portafoglio digitale non risolve completamente il problema dell’anonimato delle operazioni in valuta virtuale: infatti, poiché gli utenti possono effettuare operazioni anche senza ricorrere a tali prestatori, gran parte dell’ambiente delle valute virtuali rimarrà caratterizzato dall’anonimato. Per contrastare i rischi legati all’anonimato, le unità nazionali di informazione finanziaria (FIU) dovrebbero poter ottenere informazioni che consentano loro di associare gli indirizzi della valuta virtuale all’identità del proprietario di tale valuta. Occorre inoltre esaminare ulteriormente la possibilità di consentire agli utenti di presentare, su base volontaria, un’autodichiarazione alle autorità designate.

    (10)

    Le valute virtuali non dovrebbero essere confuse con la moneta elettronica quale definita all’articolo 2, punto 2, della direttiva 2009/110/CE del Parlamento europeo e del Consiglio (5), con il più ampio concetto di «fondi» di cui all’articolo 4, punto 25, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (6), con il valore monetario utilizzato per eseguire operazioni di pagamento di cui all’articolo 3, lettere k) e l), della direttiva (UE) 2015/2366, né con le valute di gioco che possono essere utilizzate esclusivamente all’interno di un determinato ambiente di gioco. Sebbene le valute viruali possano essere spesso utilizzate come mezzo di pagamento, potrebbero essere usate anche per altri scopi e avere impiego più ampio, ad esempio come mezzo di scambio, di investimento, come prodotti di riserva di valore o essere utilizzate in casinò online. L’obiettivo della presente direttiva è coprire tutti i possibili usi delle valute virtuali.

    (11)

    Le valute locali, note anche come monete complementari, che sono utilizzate in ambiti molto ristretti, quali una città o una regione, e tra un numero limitato di utenti, non dovrebbero essere considerate valute virtuali.

    (12)

    Dovrebbero essere limitati i rapporti d’affari o le operazioni che coinvolgono i paesi terzi ad alto rischio qualora siano individuate carenze significative nel regime AML/CFT dei paesi terzi interessati, a meno che non siano applicate adeguate misure di mitigazione o contromisure addizionali. Gli Stati membri dovrebbero prescrivere ai soggetti obbligati, quando trattano tali casi ad alto rischio e detti rapporti d’affari od operazioni, di applicare misure rafforzate di adeguata verifica della clientela per gestire e mitigare tali rischi. Ciascuno Stato membro determina pertanto a livello nazionale il tipo di misure rafforzate di adeguata verifica da adottare relativamente ai paesi terzi ad alto rischio. Questa diversità di approccio tra gli Stati membri introduce elementi di debolezza nella gestione dei rapporti d’affari con i paesi terzi ad alto rischio individuati dalla Commissione. È importante migliorare l’efficacia dell’elenco dei paesi terzi ad alto rischio istituito dalla Commissione prevedendo un trattamento uniforme di tali paesi a livello di Unione. Tale approccio armonizzato dovrebbe concentrarsi principalmente sulle misure rafforzate di adeguata verifica della clientela, laddove misure di questo tipo non siano già richieste conformemente al diritto nazionale. Conformemente agli obblighi internazionali, gli Stati membri dovrebbero poter richiedere ai soggetti obbligati di applicare misure di mitigazione supplementari, se applicabili, a complemento delle misure rafforzate di adeguata verifica della clientela, secondo un approccio basato sul rischio e tenendo conto delle circostanze specifiche dei rapporti d’affari o delle operazioni. Organizzazioni e enti di normazione internazionali con competenze nel campo della prevenzione del riciclaggio di denaro e della lotta al finanziamento del terrorismo possono chiedere l’applicazione di adeguate contromisure per tutelare il sistema finanziario internazionale dai notevoli e continui rischi di riciclaggio di denaro e finanziamento del terrorismo provenienti da determinati paesi.

    Inoltre, gli Stati membri dovrebbero richiedere ai soggetti obbligati di applicare misure di mitigazione supplementari per i paesi terzi ad alto rischio individuati dalla Commissione tenendo conto degli appelli per l’adozione di contromisure e raccomandazioni, quali quelli espressi dal GAFI, così come degli obblighi derivanti da accordi internazionali.

    (13)

    Dato il carattere evolutivo delle minacce e delle vulnerabilità legate al riciclaggio di denaro e al finanziamento del terrorismo, l’Unione dovrebbe adottare un approccio integrato per quanto concerne la conformità dei requisiti a livello dell’Unione con i regimi nazionali in materia, sulla base di una valutazione dell’efficacia di questi ultimi. Per monitorare il corretto recepimento dei requisiti dell’Unione nei regimi nazionali AML/CFT, la loro effettiva attuazione e la capacità di tali regimi di realizzare un efficace quadro di prevenzione, la Commissione dovrebbe basare la sua valutazione sui regimi nazionali AML/CFT, ferme restando le valutazioni condotte dalle organizzazioni e dagli enti di normazione internazionali con competenze nel campo della prevenzione del riciclaggio di denaro e della lotta al finanziamento del terrorismo, quali il GAFI o il comitato di esperti per la valutazione delle misure antiriciclaggio e del finanziamento del terrorismo.

    (14)

    Le carte prepagate per uso generale sono impiegate per usi legittimi e contribuiscono all’inclusione sociale e finanziaria. Tuttavia le carte prepagate anonime possono facilmente essere utilizzate per il finanziamento di atti terroristici e dei relativi aspetti logistici. È pertanto indispensabile impedire ai terroristi di utilizzare questa modalità per finanziare le loro operazioni, riducendo ulteriormente i limiti e gli importi massimi al di sotto dei quali i soggetti obbligati sono autorizzati a non applicare determinate misure di adeguata verifica della clientela di cui alla direttiva (UE) 2015/849. Pertanto, pur tenendo in debito conto le esigenze dei consumatori per quanto riguarda gli strumenti prepagati per uso generale e senza impedire l’uso di tali strumenti per promuovere l’inclusione sociale e finanziaria, è fondamentale ridurre le soglie esistenti per le carte prepagate anonime per uso generale e identificare il consumatore in caso di operazioni di pagamento a distanza di importo superiore a 50 EUR.

    (15)

    L’utilizzo delle carte prepagate anonime emesse nell’Unione è essenzialmente limitato al territorio dell’Unione, mentre per quelle emesse in paesi terzi non sempre esiste questa limitazione. È quindi importante assicurare che le carte prepagate anonime emesse al di fuori dell’Unione possano essere utilizzate nell’Unione solo laddove possano essere ritenute conformi a requisiti equivalenti a quelli stabiliti dal diritto dell’Unione. Tale regola dovrebbe essere attuata nel pieno rispetto degli obblighi dell’Unione in materia di scambi internazionali, in particolare per quanto concerne le disposizioni dell’accordo generale sugli scambi di servizi.

    (16)

    Le unità di informazione finanziaria (FIU) svolgono un ruolo importante nell’individuare le operazioni finanziarie delle reti terroristiche, soprattutto quelle transfrontaliere, e i loro finanziatori. L’informazione finanziaria potrebbe essere di fondamentale importanza per smascherare le attività di sostegno dei reati terroristici, come pure le reti e le strutture di funzionamento delle organizzazioni terroristiche. A causa della mancanza di norme internazionali vincolanti, permangono differenze significative tra le unità di informazione finanziaria in termini di funzioni, competenze e poteri. Gli Stati membri dovrebbero adoperarsi per garantire un approccio più efficiente e coordinato in relazione alle indagini finanziarie in materia di terrorismo, incluse quelle relative all’uso improprio delle valute virtuali. Le differenze attuali non dovrebbero tuttavia incidere sulle attività delle FIU, e in particolare sulla loro capacità di effettuare analisi preventive a sostegno di tutte le autorità responsabili delle attività di carattere informativo, investigativo e giudiziario e della cooperazione internazionale. Nell’esercizio dei propri compiti le unità di informazione finanziaria dovrebbero poter accedere alle informazioni ed essere in grado di scambiarle senza ostacoli, anche attraverso un’adeguata cooperazione con le autorità di contrasto. In tutti i casi di sospetta attività criminale e, in particolare, nei casi riguardanti il finanziamento del terrorismo, le informazioni dovrebbero circolare direttamente e rapidamente senza indebiti ritardi. Pertanto è essenziale rafforzare ulteriormente l’efficacia e l’efficienza delle FIU, chiarendone le competenze e la cooperazione.

    (17)

    Le FIU dovrebbero poter ottenere da qualsiasi soggetto obbligato tutte le informazioni necessarie per l’esercizio delle loro funzioni. Il loro accesso incondizionato alle informazioni è essenziale per garantire il corretto tracciamento dei flussi di denaro e l’individuazione precoce di reti e flussi illegali. La necessità che le FIU ottengano ulteriori informazioni dai soggetti obbligati sulla base di un sospetto di riciclaggio di denaro o di finanziamento del terrorismo potrebbe manifestarsi non solo a seguito del ricevimento di una segnalazione di operazioni sospette ma anche, ad esempio, sulla scorta di analisi svolte dalle FIU stesse o di informazioni fornite dalle autorità competenti o detenute da un’altra FIU. Nell’ambito delle loro funzioni, le FIU dovrebbero pertanto poter ottenere informazioni da qualsiasi soggetto obbligato, anche in assenza di una segnalazione da parte del singolo soggetto obbligato. Tutto ciò riguarda solo le richieste di informazioni sulla base di presupposti definiti in modo sufficientemente chiaro, e non le richieste generiche di informazioni rivolte ai soggetti obbligati nell’ambito delle analisi svolte dalle FIU. Una FIU dovrebbe inoltre poter ottenere queste informazioni a seguito della richiesta presentata da un’altra FIU dell’Unione e poter scambiare le informazioni con l’unità richiedente.

    (18)

    La finalità delle FIU è quella di raccogliere e analizzare le informazioni ricevute, allo scopo di individuare le connessioni tra le operazioni sospette e l’attività criminosa sottostante per prevenire e combattere il riciclaggio e il finanziamento del terrorismo, nonché di comunicare alle autorità competenti i risultati delle loro analisi e qualsiasi altra informazione, qualora vi siano motivi di sospettare attività di riciclaggio, reati presupposto associati o attività di finanziamento del terrorismo. Una FIU non dovrebbe astenersi o rifiutare lo scambio di informazioni con un’altra FIU, spontaneo o su richiesta, per ragioni quali una mancata identificazione di un reato presupposto associato, le caratteristiche del diritto penale nazionale e le differenze tra le definizioni dei reati presupposto associati o l’assenza di un riferimento a determinati reati presupposto associati. Analogamente, affinché la funzione di diffusione delle informazioni possa essere assolta efficacemente, una FIU dovrebbe fornire a un’altra FIU il proprio previo consenso alla trasmissione delle informazioni alle autorità competenti, indipendentemente dal tipo di reato presupposto eventualmente associato. Le FIU hanno segnalato difficoltà nello scambio di informazioni basate su differenze nelle definizioni nazionali di taluni reati presupposto, come i reati fiscali, che non sono armonizzate dal diritto dell’Unione. Tali differenze non dovrebbero limitare lo scambio reciproco, la comunicazione alle autorità competenti e l’utilizzo di tali informazioni come definite dalla presente direttiva. Le FIU dovrebbero assicurare la massima cooperazione internazionale alle FIU di paesi terzi, in modo rapido, costruttivo ed efficace, per quanto riguarda il riciclaggio di denaro, i reati presupposto associati e il finanziamento del terrorismo, conformemente alle raccomandazioni del GAFI e ai principi del gruppo Egmont in materia di scambio di informazioni tra unità di informazione finanziaria.

    (19)

    Le informazioni di natura prudenziale relative agli enti creditizi e agli istituti finanziari, ad esempio informazioni circa la competenza e l’onorabilità di direttori e azionisti, ai meccanismi di controllo interno, alla governance o alla conformità e alla gestione del rischio, sono spesso indispensabili per l’adeguata vigilanza AML/CFT su tali enti e istituti. Analogamente, le informazioni AML/CFT sono a loro volta importanti per la vigilanza prudenziale su tali enti e istituti. Di conseguenza, lo scambio di informazioni riservate e la collaborazione tra le competenti autorità di vigilanza in materia di AML/CFT di supervisione degli enti creditizi e degli istituti finanziari e le autorità di vigilanza prudenziale non dovrebbero essere ostacolati dall’incertezza giuridica che potrebbe derivare da una mancanza di disposizioni esplicite in questo settore. Il chiarimento del quadro giuridico è ancora più importante in quanto la vigilanza prudenziale è affidata in vari casi ad autorità di vigilanza, ad esempio la Banca centrale europea (BCE), che non sono autorità di vigilanza in materia di AML/CFT.

    (20)

    I ritardi nell’accesso da parte delle FIU e delle altre autorità competenti alle informazioni sull’identità dei titolari di conti bancari e di conti di pagamento così come di cassette di sicurezza, in particolare quelle anonime, ostacolano l’individuazione dei trasferimenti di fondi legati al terrorismo. La frammentazione dei dati nazionali che consentono l’identificazione dei conti bancari e dei conti di pagamento e delle cassette di sicurezza appartenenti a una persona impedisce l’accesso tempestivo da parte della FIU e delle altre autorità competenti. È essenziale pertanto istituire in tutti gli Stati membri un meccanismo automatico centralizzato, quale un registro o un sistema di reperimento dei dati, come mezzo efficace per accedere tempestivamente alle informazioni sull’identità dei titolari, dei rappresentanti e dei titolari effettivi di conti bancari, conti di pagamento e cassette di sicurezza. Nell’applicare le disposizioni in materia di accesso, è opportuno utilizzare i meccanismi già esistenti, purché le FIU nazionali possano accedere in modo immediato e non filtrato ai dati per i quali effettuano le indagini. Gli Stati membri dovrebbero esaminare la possibilità di alimentare tali meccanismi con altre informazioni ritenute necessarie e proporzionate ai fini di una mitigazione più efficace dei rischi di riciclaggio di denaro e finanziamento del terrorismo. Le FIU e le autorità competenti diverse dalle autorità responsabili dell’azione penale dovrebbero garantire l’assoluta confidenzialità delle indagini e delle richieste di informazioni relative.

    (21)

    Per garantire il rispetto della privacy e la protezione dei dati personali, i dati minimi necessari per lo svolgimento delle indagini AML/CFT dovrebbero essere conservati in meccanismi centralizzati automatizzati per i conti bancari e di pagamento, quali registri o sistemi per il recupero dei dati. Gli Stati membri dovrebbero poter stabilire quali dati è utile e proporzionato raccogliere, tenuto conto delle tradizioni giuridiche e dei sistemi esistenti per consentire l’efficace individuazione dei titolari effettivi. In fase di recepimento delle disposizioni relative a tali meccanismi, gli Stati membri dovrebbero stabilire periodi di conservazione equivalenti al periodo di conservazione della documentazione e delle informazioni raccolte nell’ambito dell’applicazione delle misure di adeguata verifica della clientela. Gli Stati membri dovrebbero poter prorogare per legge, in maniera generale, il periodo di conservazione, senza richiedere decisioni puntuali. Tale periodo di conservazione supplementare non dovrebbe eccedere ulteriori cinque anni. Tale periodo non dovrebbe pregiudicare la normativa nazionale che fissi altri requisiti in materia di conservazione dei dati consentendo decisioni puntuali volte ad agevolare i procedimenti penali o amministrativi. L’accesso a tali meccanismi dovrebbe avvenire in base al principio della «necessità di sapere».

    (22)

    Ai fini della lotta contro il riciclaggio di denaro e il finanziamento del terrorismo è essenziale identificare con precisione le persone fisiche e giuridiche e verificarne i dati. I più recenti sviluppi tecnici nel settore della digitalizzazione delle operazioni e dei pagamenti consentono una identificazione sicura elettronica o a distanza. Tali mezzi di identificazione, di cui al regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (7), dovrebbero essere presi in considerazione, in particolare per quanto riguarda i regimi di identificazione elettronica notificati e modi di garantire un riconoscimento giuridico transnazionale, i quali offrono strumenti sicuri di alto livello e forniscono un termine di riferimento rispetto al quale valutare i metodi di identificazione istituiti a livello nazionale. Potrebbero essere inoltre prese in considerazione altre tecniche di identificazione elettronica o a distanza sicure, regolamentate, riconosciute, approvate o accettate a livello nazionale dalle autorità nazionali competenti. Se opportuno, nel processo di identificazione dovrebbe essere preso in considerazione anche il riconoscimento di documenti elettronici e servizi fiduciari ai sensi del regolamento (UE) n. 910/2014. Nell’applicazione della presente direttiva si dovrebbe tener conto del principio della neutralità tecnologica.

    (23)

    Al fine di identificare le persone esposte politicamente nell’Unione, è opportuno che gli Stati membri pubblichino elenchi indicanti le funzioni specifiche che, in base alle disposizioni legislative, regolamentari e amministrative nazionali, devono essere considerate importanti cariche pubbliche. Gli Stati membri dovrebbero richiedere che ogni organizzazione internazionale accreditata nei loro territori pubblichi e aggiorni un elenco delle importanti cariche pubbliche ricoperte nell’ambito di tale organizzazione internazionale.

    (24)

    Nell’ambito del quadro attuale l’approccio adottato per il riesame dei clienti esistenti si basa sul rischio. Tuttavia, dato il maggiore rischio di riciclaggio, di finanziamento del terrorismo e di reati presupposto associati con taluni intermediari, tale approccio potrebbe non consentire la tempestiva individuazione e valutazione dei rischi. Pertanto è importante assicurare che anche talune specifiche categorie di clienti esistenti siano regolarmente monitorate.

    (25)

    Attualmente gli Stati membri devono assicurare che le società e gli altri soggetti giuridici costituiti nel loro territorio ottengano e mantengano informazioni adeguate, accurate e aggiornate sui propri titolari effettivi. La necessità di informazioni accurate e aggiornate sul titolare effettivo è un elemento fondamentale per rintracciare criminali che potrebbero altrimenti riuscire a occultare la propria identità dietro una struttura societaria. Con un sistema finanziario che presenta interconnessioni su scala globale è possibile nascondere e trasferire fondi in tutto il mondo, e i soggetti che riciclano denaro, finanziano il terrorismo o commettono altri crimini sfruttano questa possibilità in misura crescente.

    (26)

    È opportuno chiarire il fattore specifico che consente di determinare lo Stato membro competente per il monitoraggio e la registrazione delle informazioni sulla titolarità effettiva di trust e istituti giuridici affini. A causa delle differenze esistenti tra i sistemi giuridici degli Stati membri, alcuni trust e istituti giuridici affini non sono affatto monitorati o registrati nell’Unione. Le informazioni sulla titolarità effettiva dei trust e di istituti giuridici affini dovrebbero essere registrate ove i fiduciari di trust e le persone che ricoprono una posizione equivalente in istituti giuridici affini sono stabiliti o risiedono. Inoltre, per garantire l’efficacia del monitoraggio e della registrazione delle informazioni sulla titolarità effettiva dei trust e di istituti giuridici affini, è necessaria la cooperazione fra gli Stati membri. L’interconnessione dei registri degli Stati membri relativi ai titolari effettivi di trust e istituti giuridici affini renderebbe accessibili tali informazioni e garantirebbe altresì che gli stessi trust e istituti giuridici affini non siano registrati più volte nell’Unione.

    (27)

    Le norme applicabili ai trust e agli istituti giuridici affini per quanto riguarda l’accesso alle informazioni sulla loro titolarità effettiva dovrebbero essere comparabili alle norme corrispondenti applicate alle società e agli altri soggetti giuridici. Dati la vasta gamma di tipologie di trust esistenti attualmente nell’Unione e un panorama ancor più variegato degli istituti giuridici affini, dovrebbero essere gli Stati membri a decidere se un trust o un istituto giuridico analogo sia o non sia comparativamente simile a una società o ad altri soggetti giuridici. Le norme di diritto nazionale che recepiscono tali disposizioni dovrebbero essere volte a impedire che i trust o istituti giuridici affini siano utilizzati per attività di riciclaggio o di finanziamento del terrorismo o per reati presupposto associati.

    (28)

    Viste le diverse caratteristiche dei trust e degli istituti giuridici affini, gli Stati membri dovrebbero poter determinare, a norma del diritto nazionale e conformemente alla normativa sulla protezione dei dati, il livello di trasparenza applicabile ai trust e agli istituti giuridici affini non comparabili alle società o ad altri soggetti giuridici. I rischi di riciclaggio di denaro e di finanziamento del terrorismo possono variare in base alle caratteristiche del tipo di trust o di istituto giuridico affine, e la percezione di tali rischi può evolvere nel tempo, ad esempio a seguito di valutazioni dei rischi nazionali e sovranazionali. Per tale ragione, gli Stati membri dovrebbero poter prevedere un accesso più ampio alle informazioni sulla titolarità effettiva di trust e istituti giuridici affini, qualora tale accesso rappresenti una misura necessaria e proporzionata rispondente alla finalità legittima di prevenire l’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo. Nel determinare il livello di trasparenza delle informazioni sulla titolarità effettiva dei suddetti trust e istituti giuridici affini, gli Stati membri dovrebbero tener adeguatamente conto della protezione dei diritti fondamentali della persona, in particolare del diritto al rispetto della vita privata e alla protezione dei dati personali. Alle informazioni sulla titolarità effettiva di trust e istituti giuridici affini dovrebbero poter accedere quanti possono dimostrare un interesse legittimo. L’accesso dovrebbe essere concesso anche a quanti fanno richiesta scritta in relazione a un trust o a un istituto giuridico affini che detiene una partecipazione di controllo in una società o in un altro soggetto giuridico avente sede al di fuori dell’Unione, attraverso il possesso, diretto o indiretto, anche tramite azioni al portatore, o attraverso il controllo con altri mezzi. I criteri e le condizioni per l’accoglimento delle richieste di accesso alle informazioni sulla titolarità effettiva di trust e istituti giuridici affini dovrebbero essere sufficientemente precisi e conformi agli obiettivi della presente direttiva. Gli Stati membri dovrebbero poter respingere una richiesta scritta qualora vi siano ragionevoli motivi per sospettare che detta richiesta non sia conforme agli obiettivi della presente direttiva.

    (29)

    Per garantire la certezza del diritto e condizioni di parità, è fondamentale stabilire chiaramente quali istituti giuridici stabiliti nell’Unione dovrebbero essere considerati simili ai trust sulla base delle loro funzioni o del loro assetto. Pertanto, ogni Stato membro dovrebbe essere tenuto a identificare i trust, se riconosciuti dal diritto nazionale, e gli istituti giuridici affini che possono essere istituiti conformemente al quadro giuridico o alle consuetudini nazionali e che hanno assetto o funzioni analoghi a quelli dei trust, quale la possibilità di separare o scindere la titolarità giuridica dalla titolarità effettiva delle attività. Dopodiché, gli Stati membri dovrebbero notificare alla Commissione le categorie, la descrizione delle caratteristiche, i nomi e, se del caso, la base giuridica dei suddetti trust e istituti giuridici affini, in vista della pubblicazione nella Gazzetta ufficiale dell’Unione europea, per consentire l’identificazione di tali trust e istituti da parte degli altri Stati membri. È opportuno tener conto del fatto che, all’interno dell’Unione, i trust e gli istituti giuridici affini possono presentare caratteristiche giuridiche diverse. Se un trust o un istituto giuridico affine presenta caratteristiche comparabili, in termini di assetto o funzioni, a quelle di una società o di altri soggetti giuridici, l’accesso pubblico alle informazioni sulla titolarità effettiva può contribuire a contrastare il suo uso improprio, così come l’accesso pubblico può contribuire a prevenire l’uso improprio delle società e di altri soggetti giuridici per riciclare denaro e finanziare il terrorismo.

    (30)

    L’accesso pubblico alle informazioni sulla titolarità effettiva consente alla società civile, anche attraverso le sue organizzazioni e la stampa, di effettuare una valutazione più accurata di queste informazioni e contribuisce a mantenere la fiducia nell’integrità delle operazioni commerciali e del sistema finanziario. Inoltre può contribuire a combattere l’uso improprio di società, altri soggetti giuridici e istituti giuridici per riciclare denaro e finanziare il terrorismo sia favorendo le indagini che per i suoi effetti in termini di reputazione, dato che tutti coloro che potrebbero effettuare operazioni sono a conoscenza dell’identità dei titolari effettivi. Ciò facilita anche la tempestiva ed efficiente messa a disposizione delle informazioni agli istituti finanziari e alle autorità, comprese quelle dei paesi terzi, che si occupano del contrasto di tali reati. L’accesso a tali informazioni gioverebbe inoltre alle indagini sul riciclaggio di denaro, sui reati presupposto associati e sul finanziamento del terrorismo.

    (31)

    La fiducia degli investitori e del grande pubblico nei mercati finanziari dipende in larga misura dall’esistenza di un preciso regime di comunicazione che offra trasparenza per quanto concerne la titolarità effettiva e le strutture di controllo delle società. Ciò vale in particolare per i sistemi di governo societario caratterizzati dalla concentrazione della proprietà, come quello dell’Unione. Da un lato, grandi investitori con una quota significativa dei diritti di voto e dei diritti patrimoniali possono favorire la crescita a lungo termine e le prestazioni aziendali. Dall’altro lato, tuttavia, titolari effettivi che esercitano il controllo con grandi blocchi di voti possono essere incentivati a riorientare le attività dell’impresa creando opportunità per ottenere un vantaggio personale a scapito degli azionisti di minoranza. Il potenziale incremento della fiducia nei mercati finanziari dovrebbe essere considerato un effetto collaterale positivo e non lo scopo finale di una maggiore trasparenza, che è infatti quello di creare un ambiente meno suscettibile di essere utilizzato per le attività di riciclaggio e di finanziamento del terrorismo.

    (32)

    La fiducia degli investitori e del grande pubblico nei mercati finanziari dipende in larga misura dall’esistenza di un preciso regime di comunicazione che offra trasparenza per quanto concerne la titolarità effettiva e le strutture di controllo di società e altri soggetti giuridici nonché di certe tipologie di trust e istituti giuridici affini. Pertanto, gli Stati membri dovrebbero consentire l’accesso alle informazioni sulla titolarità effettiva in modo sufficientemente coerente e coordinato, stabilendo principi chiari di accesso pubblico che consentano ai terzi di accertare, in tutto il territorio dell’Unione, chi sono i titolari effettivi delle società e degli altri soggetti giuridici nonché di certe tipologie di trust e istituti giuridici affini.

    (33)

    Pertanto gli Stati membri dovrebbero consentire l’accesso alle informazioni sulle società e le altre persone giuridiche in modo sufficientemente coerente e coordinato, attraverso i registri centrali che contengono le informazioni sui titolari effettivi, stabilendo un principio chiaro di accesso pubblico che consenta ai terzi di accertare, in tutto il territorio dell’Unione, chi sono i titolari effettivi delle società e degli altri soggetti giuridici. È essenziale stabilire inoltre un quadro normativo coerente che assicuri un migliore accesso alle informazioni sulla titolarità effettiva dei trust e degli istituti giuridici affini, dopo la loro registrazione nell’Unione. Le norme che si applicano ai trust e agli istituti giuridici affini per quanto riguarda l’accesso alle informazioni sulla loro titolarità effettiva dovrebbero essere comparabili alle norme corrispondenti che si applicano alle società e agli altri soggetti giuridici.

    (34)

    In tutti i casi, per quanto riguarda sia le società e gli altri soggetti giuridici sia i trust e gli istituti giuridici affini, è opportuno in particolare ricercare un giusto equilibrio tra il pubblico interesse alla prevenzione del riciclaggio di denaro e del finanziamento del terrorismo e i diritti fondamentali delle persone interessate. L’insieme di dati da mettere a disposizione del pubblico dovrebbe essere limitato, definito in maniera chiara e tassativa e avere natura generale, in modo da ridurre al minimo il potenziale pregiudizio per i titolari effettivi. Allo stesso tempo le informazioni rese accessibili al pubblico non dovrebbero differire significativamente dai dati raccolti attualmente. Per limitare le ripercussioni sul diritto al rispetto della vita privata in generale e alla protezione dei dati personali in particolare, tali informazioni dovrebbero riguardare essenzialmente lo status dei titolari effettivi di società e altri soggetti giuridici nonché di trust e istituti giuridici affini e riferirsi rigorosamente alla loro sfera di attività economica. È opportuno che nei registri siano chiaramente indicati i casi in cui il dirigente di alto livello sia stato identificato come titolare effettivo solo ex officio e non perché detiene partecipazioni o esercita un controllo tramite altri mezzi. Per quanto riguarda le informazioni sui titolari effettivi, gli Stati membri possono fornire informazioni sulla cittadinanza da includere nel registro centrale, in particolare per quanto concerne i titolari effettivi stranieri. Al fine di agevolare le procedure di registrazione e dato che la grande maggioranza dei beneficiari effettivi saranno cittadini dello Stato che gestisce il registro centrale, gli Stati membri possono presumere che un titolare effettivo sia un loro cittadino qualora non sia presente indicazione contraria.

    (35)

    Un maggiore controllo pubblico contribuirà a prevenire l’uso improprio di soggetti giuridici e istituti giuridici, anche a fini di evasione fiscale. È pertanto essenziale che le informazioni sulla titolarità effettiva restino a disposizione tramite i registri nazionali e il sistema di interconnessione dei registri per almeno cinque anni dopo che i motivi per la registrazione delle informazioni sulla titolarità effettiva del trust o di un istituto giuridico affine hanno cessato di esistere. Tuttavia, gli Stati membri dovrebbero essere in grado di disciplinare nella legislazione nazionale il trattamento delle informazioni sulla titolarità effettiva, compresi i dati personali per altri scopi laddove tale trattamento risponda a un obiettivo di interesse pubblico e costituisca una misura necessaria e proporzionata in una società democratica per la finalità legittima perseguita.

    (36)

    Inoltre, allo scopo di garantire un approccio proporzionato ed equilibrato e di tutelare il diritto alla vita privata e alla protezione dei dati personali, gli Stati membri dovrebbero poter prevedere in circostanze eccezionali, qualora le informazioni espongano il titolare effettivo a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, deroghe alla comunicazione delle informazioni sulla titolarità effettiva attraverso i registri che contengono informazioni sulla titolarità effettiva e l’accesso a esse. Dovrebbe inoltre essere possibile per gli Stati membri prevedere la richiesta di registrazione online al fine di identificare tutte le persone che richiedano informazioni dal registro, come pure il pagamento di un corrispettivo per accedere alle informazioni contenute nel registro.

    (37)

    L’interconnessione, attraverso la piattaforma centrale europea istituita dalla direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio (8), dei registri centrali degli Stati membri che contengono informazioni sulla titolarità effettiva presuppone il coordinamento di sistemi nazionali che presentano caratteristiche tecniche diverse. Ciò comporta l’adozione di misure e specifiche tecniche che devono tenere conto delle differenze tra i registri. Al fine di garantire condizioni uniformi di esecuzione della presente direttiva, è opportuno attribuire alla Commissione competenze di esecuzione al fine di affrontare tali questioni tecniche e operative. Tali competenze dovrebbero essere esercitate secondo la procedura di esame di cui all’articolo 5 del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (9). In ogni caso, il coinvolgimento degli Stati membri nel funzionamento dell’intero sistema dovrebbe essere assicurato attraverso un dialogo periodico tra la Commissione e i rappresentanti degli Stati membri in merito alle questioni relative al funzionamento del sistema e al suo futuro sviluppo.

    (38)

    Al trattamento dei dati personali nell’ambito della presente direttiva si applica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (10). Di conseguenza, le persone fisiche i cui dati personali sono conservati in registri nazionali come titolari effettivi dovrebbero esserne informate. Inoltre, dovrebbero essere resi disponibili solo dati personali aggiornati e che corrispondono realmente ai titolari effettivi, i quali dovrebbero essere informati dei loro diritti nell’ambito dell’attuale quadro giuridico dell’Unione in materia di protezione dei dati a norma del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (11), nonché delle procedure applicabili per esercitarli. Inoltre, al fine di evitare l’abuso delle informazioni contenute nei registri e bilanciare i diritti dei proprietari effettivi, gli Stati membri potrebbero ritenere opportuno esaminare la possibilità di mettere altresì a disposizione del titolare effettivo le informazioni sul richiedente unitamente alla base giuridica della relativa richiesta.

    (39)

    Qualora la comunicazione delle difformità da parte delle FIU e delle autorità competenti possa pregiudicare un’indagine in corso, le FIU o le autorità competenti dovrebbero rinviare la segnalazione delle difformità fino a che non verranno meno i motivi per cui non si è proceduto a detta segnalazione. Inoltre, le FIU e le autorità competenti non dovrebbero segnalare eventuali difformità qualora ciò sia contrario alle disposizioni del diritto nazionale in materia di riservatezza o costituisca un reato di divulgazione di informazioni riservate.

    (40)

    La presente direttiva fa salva la protezione dei dati personali trattati dalle autorità competenti a norma della direttiva (UE) 2016/680.

    (41)

    L’accesso alle informazioni e la definizione dell’interesse legittimo dovrebbero essere disciplinati dal diritto dello Stato membro in cui è stabilito o risiede il trustee (fiduciario) di un trust o una persona che ricopra una posizione equivalente in un istituto giuridico affine. Nel caso in cui il trustee del trust o una persona che ricopra una posizione equivalente in un istituto giuridico affine non sia stabilito o non risieda in uno Stato membro, l’accesso alle informazioni e la definizione dell’interesse legittimo dovrebbero essere disciplinati dal diritto dello Stato membro in cui sono registrate le informazioni sulla titolarità effettiva del trust o dell’istituto giuridico affine conformemente alle disposizioni della presente direttiva.

    (42)

    Gli Stati membri dovrebbero definire nel diritto nazionale l’interesse legittimo, sia come concetto generale sia come criterio di accesso alle informazioni sulla titolarità effettiva. Nello specifico, tali definizioni non dovrebbero limitare la nozione di interesse legittimo ai casi di procedimenti amministrativi o giudiziari in corso, e dovrebbero consentire di tenere conto, se del caso, del lavoro di prevenzione svolto da organizzazioni non governative e giornalisti investigativi nel campo del contrasto del riciclaggio di denaro, del contrasto del finanziamento del terrorismo e dei reati presupposto associati. Una volta instaurata l’interconnessione dei registri dei titolari effettivi degli Stati membri, l’accesso a livello sia nazionale che transfrontaliero ai registri di ciascuno Stato membro dovrebbe essere autorizzato sulla base della definizione dell’interesse legittimo fornita dallo Stato membro in cui sono state registrate le informazioni sulla titolarità effettiva del trust o dell’istituto giuridico affine conformemente alle disposizioni della presente direttiva, in virtù di una decisione adottata dalle autorità competenti di tale Stato membro. In relazione ai registri dei titolari effettivi degli Stati membri, gli Stati membri dovrebbero inoltre avere la facoltà di istituire meccanismi di ricorso contro le decisioni che autorizzano o rifiutano l’accesso alle informazioni sulla titolarità effettiva. Per garantire che la registrazione e lo scambio di informazioni siano coerenti ed efficienti, gli Stati membri dovrebbero provvedere affinché l’autorità responsabile del registro istituito per le informazioni sulla titolarità effettiva del trust e degli altri istituti giuridici affini collabori con i suoi omologhi negli altri Stati membri, condividendo le informazioni concernenti i trust e gli istituti giuridici affini disciplinati dal diritto di uno Stato membro e amministrati in un altro Stato membro.

    (43)

    I rapporti di corrispondenza transfrontalieri con un ente rispondente di un paese terzo sono caratterizzati dalla loro natura ripetitiva e continuativa. Di conseguenza, gli Stati membri, pur richiedendo l’adozione di misure rafforzate di adeguata verifica in questo particolare contesto, dovrebbe tenere conto del fatto che i rapporti di corrispondenza non comprendono operazioni una tantum o il semplice scambio di capacità di messaggistica. Inoltre, riconoscendo che non tutti i servizi bancari di corrispondenza su scala transfrontaliera presentano lo stesso livello di rischi legati al riciclaggio di denaro e al finanziamento del terrorismo, l’intensità delle misure stabilite dalla presente direttiva può essere determinata applicando i principi dell’approccio basato sul rischio e non pregiudica il livello di rischio legato al riciclaggio di denaro e al finanziamento del terrorismo che presenta l’ente finanziario rispondente.

    (44)

    È importante garantire che le norme contro il riciclaggio di denaro e il finanziamento del terrorismo siano applicate correttamente dai soggetti obbligati. In questo contesto, gli Stati membri dovrebbero rafforzare il ruolo delle autorità pubbliche che agiscono in qualità di autorità competenti cui sono attribuite responsabilità in materia di lotta contro il riciclaggio di denaro o il finanziamento del terrorismo, comprese le unità di informazione finanziaria, le autorità che hanno il compito di indagare o perseguire i casi di riciclaggio, i reati presupposto associati e il finanziamento del terrorismo, di tracciare e di sequestrare o congelare e confiscare i proventi di reato, le autorità che ricevono comunicazioni sul trasporto transfrontaliero di valuta e di strumenti negoziabili al portatore e le autorità responsabili del controllo o della vigilanza per assicurare la conformità da parte degli enti obbligati. Gli Stati membri dovrebbero rafforzare il ruolo delle altre autorità competenti, ivi comprese le autorità anticorruzione e le autorità fiscali.

    (45)

    Gli Stati membri dovrebbero assicurare una vigilanza efficace e imparziale su tutti i soggetti obbligati, preferibilmente a opera delle autorità pubbliche per mezzo di un organismo nazionale di regolamentazione o di vigilanza distinto e indipendente.

    (46)

    I criminali trasferiscono i proventi illeciti avvalendosi di numerosi intermediari finanziari onde evitare di essere individuati. Di conseguenza, è importante consentire agli enti creditizi e agli istituti finanziari di scambiare informazioni non soltanto tra membri di uno stesso gruppo, ma anche con altri enti creditizi e istituti finanziari, rispettando debitamente le norme in materia di protezione dei dati contemplate dal diritto nazionale.

    (47)

    Le autorità competenti responsabili di controllare la conformità degli enti obbligati alla presente direttiva dovrebbero essere in grado di cooperare e scambiare informazioni riservate, a prescindere dalla loro natura o dal loro status. A tal fine, tali autorità competenti dovrebbero disporre di un’adeguata base giuridica per lo scambio di informazioni riservate, e la collaborazione tra le autorità di supervisione competenti in materia di antiriciclaggio di denaro e contrasto del finanziamento del terrorismo, da un lato, e le autorità di vigilanza prudenziale, dall’altro, non dovrebbe essere ostacolata involontariamente dall’incertezza giuridica che potrebbe derivare da una mancanza di disposizioni esplicite in questo settore. Il controllo dell’effettiva attuazione della politica collettiva in materia di AML/CFT dovrebbe avvenire in conformità dei principi e delle modalità di vigilanza su base consolidata previsti dalla pertinente legislazione europea di settore.

    (48)

    Lo scambio di informazioni e la prestazione di assistenza tra le autorità competenti degli Stati membri sono essenziali ai fini della presente direttiva. Di conseguenza, gli Stati membri non dovrebbero vietare lo scambio di informazioni o la prestazione di assistenza, né dovrebbero imporre condizioni irragionevoli o indebitamente restrittive in materia.

    (49)

    Conformemente alla dichiarazione politica comune del 28 settembre 2011 degli Stati membri e della Commissione sui documenti esplicativi (12), gli Stati membri si sono impegnati ad accompagnare, in casi giustificati, la notifica delle loro misure di recepimento con uno o più documenti che chiariscano il rapporto tra gli elementi costitutivi di una direttiva e le parti corrispondenti degli strumenti nazionali di recepimento. Per quanto riguarda la presente direttiva, il legislatore ritiene che la trasmissione di tali documenti sia giustificata.

    (50)

    Poiché l’obiettivo della presente direttiva, vale a dire la protezione del sistema finanziario mediante la prevenzione, l’individuazione e l’indagine del riciclaggio di denaro e del finanziamento del terrorismo, non può essere conseguito in misura sufficiente dagli Stati membri, dato che le misure adottate individualmente dagli Stati membri per tutelare il proprio sistema finanziario potrebbero non essere coerenti con il funzionamento del mercato interno e con le regole dello stato di diritto e dell’ordine pubblico dell’Unione ma, a motivo della portata e degli effetti dell’azione proposta, può essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

    (51)

    La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea («la Carta»), in particolare il diritto al rispetto della vita privata e della vita familiare (articolo 7 della Carta), il diritto alla protezione dei dati di carattere personale (articolo 8 della Carta) e la libertà d’impresa (articolo 16 della Carta).

    (52)

    Al momento di elaborare di una relazione sulla valutazione dell’attuazione della presente direttiva, la Commissione dovrebbe prestare debita attenzione al rispetto dei diritti fondamentali e dei principi riconosciuti dalla Carta.

    (53)

    Data la necessità di attuare con urgenza misure adottate al fine di rafforzare il regime dell’Unione istituito per la prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, e visto l’impegno assunto dagli Stati membri a procedere rapidamente con il recepimento della direttiva (UE) 2015/849, le modifiche alla direttiva (UE) 2015/849 dovrebbero essere recepite entro il 10 gennaio 2020. Gli Stati membri dovrebbero istituire registri sulla titolarità effettiva entro il 10 gennaio 2020 nel caso di società e altri soggetti giuridici e, nel caso di trust e istituti giuridici affini, entro il 10 marzo 2020. I registri centrali dovrebbero essere interconnessi attraverso la piattaforma centrale europea entro il 10 marzo 2021. Gli Stati membri dovrebbero istituire meccanismi centralizzati automatizzati che consentano l’identificazione dei titolari di conti bancari e di pagamento e di cassette di sicurezza entro il 10 settembre 2020.

    (54)

    Il garante europeo della protezione dei dati è stato consultato a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (13) e ha espresso un parere il 2 febbraio 2017 (14).

    (55)

    È opportuno pertanto modificare di conseguenza la direttiva (UE) 2015/849,

    HANNO ADOTTATO LA PRESENTE DIRETTIVA:

    Articolo 1

    Modifiche della direttiva (UE) 2015/849

    La direttiva (UE) 2015/849 è così modificata:

    1)

    l’articolo 2, paragrafo 1, punto 3), è così modificato:

    a)

    la lettera a) è sostituita dalla seguente:

    «a)

    revisori dei conti, contabili esterni e consulenti tributari, nonché qualunque altra persona che si impegna a fornire, direttamente o attraverso altre persone alle quali tale altra persona è collegata, aiuto materiale, assistenza o consulenza in materia fiscale quale attività imprenditoriale o professionale principale;»;

    b)

    la lettera d) è sostituita dalla seguente:

    «d)

    agenti immobiliari, anche quando agiscono in qualità di intermediari nella locazione di un bene immobile, ma solo in relazione alle operazioni per le quali il canone mensile è pari o superiore a 10 000 EUR;»;

    c)

    sono aggiunte le lettere seguenti:

    «g)

    prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute aventi corso forzoso;

    h)

    prestatori di servizi di portafoglio digitale;

    i)

    persone che commerciano opere d’arte o che agiscono in qualità di intermediari nel commercio delle stesse, anche quando tale attività è effettuata da gallerie d’arte e case d’asta, laddove il valore dell’operazione o di una serie di operazioni legate tra loro sia pari o superiore o a 10 000 EUR;

    j)

    persone che conservano o commerciano opere d’arte o che agiscono in qualità di intermediari nel commercio delle stesse, quando tale attività è effettuata da porti franchi, laddove il valore dell’operazione o di una serie di operazioni legate tra loro sia pari o superiore o a 10 000 EUR.»;

    2)

    l’articolo 3 è così modificato:

    a)

    il punto 4 è così modificato:

    i)

    la lettera a) è sostituita dalla seguente:

    «a)

    i reati di terrorismo, i reati riconducibili a un gruppo terroristico e i reati connessi ad attività terroristiche di cui ai titoli II e III della direttiva (UE) 2017/541 (*1);

    (*1)  Direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU L 88 del 31.3.2017, pag. 6).»;”

    ii)

    la lettera c) è sostituita dalla seguente:

    «c)

    le attività delle organizzazioni criminali quali definite all’articolo 1, punto 1, della decisione quadro 2008/841/GAI del Consiglio (*2);

    (*2)  Decisione quadro 2008/841/GAI del Consiglio, del 24 ottobre 2008, relativa alla lotta contro la criminalità organizzata (GU L 300 dell’11.11.2008, pag. 42).»;”

    b)

    al punto 6, la lettera b) è sostituita dalla seguente:

    «b)

    in caso di trust, tutte le seguenti persone:

    i)

    il costituente o i costituenti;

    ii)

    il «trustee» o i «trustee»;

    iii)

    il guardiano o i guardiani, se esistono;

    iv)

    i beneficiari ovvero, se le persone che beneficiano dell’istituto giuridico o dell’entità giuridica non sono ancora state determinate, la categoria di persone nel cui interesse principale è istituito o agisce l’istituto giuridico o il soggetto giuridico;

    v)

    qualunque altra persona fisica che esercita in ultima istanza il controllo sul trust attraverso la proprietà diretta o indiretta o attraverso altri mezzi;»;

    c)

    il punto 16) è sostituito dal seguente:

    «16)

    «moneta elettronica»: la moneta elettronica quale definita all’articolo 2, punto 2), della direttiva 2009/110/CE, escluso il valore monetario di cui all’articolo 1, paragrafi 4 e 5 di tale direttiva;»

    d)

    sono aggiunti i punti seguenti:

    «18)

    «valute virtuali»: una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente.»;

    19)

    «prestatore di servizi di portafoglio digitale»: un soggetto che fornisce servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali.»;

    3)

    l’articolo 6 è così modificato:

    a)

    al paragrafo 2, le lettere b) e c) sono sostituite dalle seguenti:

    «b)

    i rischi associati a ciascun settore interessato, comprese, ove disponibili, le stime dei volumi monetari del riciclaggio fornite da Eurostat per ciascuno di tali settori;

    c)

    i mezzi più diffusi cui ricorrono i criminali per riciclare proventi illeciti, compresi, se disponibili, quelli utilizzati in particolare per le operazioni tra Stati membri e paesi terzi, indipendentemente dalla identificazione di un paese terzo come ad alto rischio a norma dell’articolo 9, paragrafo 2.»;

    b)

    il paragrafo 3 è sostituito dal seguente:

    «3.   La Commissione mette la relazione di cui al paragrafo 1 a disposizione degli Stati membri e dei soggetti obbligati per assisterli nell’individuazione, comprensione, gestione e mitigazione del rischio di riciclaggio e di finanziamento del terrorismo e per consentire alle altre parti interessate, inclusi i legislatori nazionali, il Parlamento europeo, le autorità europee di vigilanza (AEV) e i rappresentanti delle FIU, di comprendere meglio i rischi in questione. Le relazioni sono rese pubbliche sei mesi dopo essere state messe a disposizione degli Stati membri, a eccezione degli elementi delle relazioni che contengono informazioni classificate.»;

    4)

    l’articolo 7 è così modificato:

    a)

    al paragrafo 4, sono aggiunte le lettere seguenti:

    «f)

    redige una relazione sulla struttura istituzionale e sulle principali procedure del suo regime in materia di AML/CFT, inclusi tra l’altro le FIU, le autorità fiscali e i procuratori nonché le risorse umane e finanziarie assegnate, nella misura in cui tali informazioni sono disponibili;

    g)

    redige una relazione sulle attività e sulle risorse nazionali (forza lavoro e bilancio) destinati al contrasto del riciclaggio e del finanziamento del terrorismo.»

    b)

    il paragrafo 5 è sostituito dal seguente:

    «5.   Gli Stati membri mettono i risultati delle valutazioni del rischio, compresi i relativi aggiornamenti, a disposizione della Commissione, delle AEV e degli altri Stati membri. Gli altri Stati membri possono fornire, se del caso, ulteriori informazioni pertinenti allo Stato membro che esegue la valutazione del rischio. Una sintesi della valutazione è messa a disposizione del pubblico. La sintesi non contiene informazioni classificate.»;

    5)

    l’articolo 9 è così modificato:

    a)

    il paragrafo 2 è sostituito dal seguente:

    «2.   Alla Commissione è conferito il potere di adottare atti delegati a norma dell’articolo 64 riguardo all’individuazione dei paesi terzi ad alto rischio, tenendo conto delle carenze strategiche, in particolare nei seguenti ambiti:

    a)

    il quadro giuridico e istituzionale AML/CFT del paese terzo, segnatamente:

    i)

    la perseguibilità penale del riciclaggio e del finanziamento del terrorismo;

    ii)

    le misure relative all’adeguata verifica della clientela;

    iii)

    gli obblighi per la conservazione dei documenti;

    iv)

    gli obblighi per la segnalazione delle operazioni sospette;

    v)

    la disponibilità, per le autorità competenti, di informazioni precise e tempestive sulla proprietà effettiva di persone giuridiche o istituti giuridici;

    b)

    i poteri e le procedure di cui dispongono le autorità competenti del paese terzo ai fini della lotta al riciclaggio e al finanziamento del terrorismo, incluse sanzioni effettive, proporzionate e dissuasive, nonché la prassi del paese terzo nel campo della cooperazione e dello scambio di informazioni con le autorità competenti degli Stati membri;

    c)

    l’efficacia del sistema AML/CFT del paese terzo per contrastare i rischi di riciclaggio o di finanziamento del terrorismo.»

    b)

    il paragrafo 4 è sostituito dal seguente:

    «4.   Nell’elaborazione degli atti delegati di cui al paragrafo 2, la Commissione tiene conto delle pertinenti valutazioni o relazioni elaborate da organizzazioni ed enti di normazione internazionali con competenze nel campo della prevenzione del riciclaggio e del contrasto al finanziamento del terrorismo.»;

    6)

    all’articolo 10, il paragrafo 1 è sostituito dal seguente:

    «1.   Gli Stati membri proibiscono ai loro enti creditizi e agli istituti finanziari di tenere conti o libretti di risparmio anonimi oppure cassette di sicurezza anonime. Gli Stati membri prescrivono in ogni caso che i titolari e i beneficiari dei conti o libretti di risparmio anonimi esistenti oppure delle cassette di sicurezza anonime siano assoggettati alle misure di adeguata verifica della clientela entro il 10 gennaio 2019, e in ogni caso prima dell’utilizzo dei conti o dei libretti di risparmio oppure delle cassette di sicurezza.»;

    7)

    l’articolo 12 è così modificato:

    a)

    il paragrafo 1 è così modificato:

    i)

    al primo comma, le lettere a) e b) sono sostituite dalle seguenti:

    «a)

    lo strumento di pagamento non è ricaricabile oppure è soggetto a un massimale mensile di operazioni di 150 EUR, utilizzabile solo in tale Stato membro;

    b)

    l’importo massimo memorizzato elettronicamente non supera i 150 EUR;»

    ii)

    il secondo comma è soppresso;

    b)

    il paragrafo 2 è sostituito dal seguente:

    «2.   Gli Stati membri provvedono affinché la deroga prevista al paragrafo 1 del presente articolo non si applichi al rimborso in contanti o al ritiro di contanti del valore monetario della moneta elettronica se l’importo rimborsato supera i 50 EUR o alle operazioni di pagamento a distanza quali definite all’articolo 4, punto 6, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio (*3) se l’importo pagato è superiore a 50 EUR per operazione.

    (*3)  Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).»;”

    c)

    è aggiunto il paragrafo seguente:

    «3.   Gli Stati membri provvedono affinché gli enti creditizi e gli istituti finanziari che agiscono in qualità di soggetti convenzionati accettino solo pagamenti effettuati con carte prepagate anonime emesse in paesi terzi in cui tali carte soddisfano requisiti equivalenti a quelli di cui ai paragrafi 1 e 2.

    Gli Stati membri possono decidere di non accettare sul proprio territorio i pagamenti effettuati utilizzando carte prepagate anonime.»;

    8)

    l’articolo 13, paragrafo 1, è così modificato:

    a)

    la lettera a) è sostituita dalla seguente:

    «a)

    identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte attendibile e indipendente, compresi, se disponibili, i mezzi di identificazione elettronica o i pertinenti servizi fiduciari di cui al regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (*4) o altre procedure di identificazione a distanza o elettronica sicure, regolamentate, riconosciute, approvate o accettate dalle autorità nazionali competenti;

    (*4)  Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73).»;”

    b)

    alla fine della lettera b) è aggiunta la frase seguente:

    «Qualora il titolare effettivo individuato sia il dirigente di alto livello di cui all’articolo 3, punto 6, lettera a), punto ii), i soggetti obbligati adottano le misure ragionevoli necessarie al fine di verificare l’identità della persona fisica che occupa una posizione dirigenziale di alto livello e conservano registrazioni delle misure adottate, nonché delle eventuali difficoltà incontrate durante la procedura di verifica.»;

    9)

    l’articolo 14 è così modificato:

    a)

    al paragrafo 1, è aggiunta la frase seguente:

    «Al momento dell’avvio dei rapporti d’affari con una società o un altro soggetto giuridico, o un trust o un istituto giuridico avente un assetto o funzioni affini al trust («istituto giuridico affine») soggetto alla registrazione delle informazioni sulla titolarità effettiva ai sensi degli articoli 30 o 31, i soggetti obbligati acquisiscono la prova di detta registrazione o un estratto del registro.»;

    b)

    il paragrafo 5 è sostituito dal seguente:

    «5.   Gli Stati membri prescrivono che i soggetti obbligati applichino le misure di adeguata verifica della clientela non soltanto a tutti i nuovi clienti ma anche, al momento opportuno, alla clientela esistente, in funzione del rischio, o in caso di modifica della situazione del cliente, oppure quando il soggetto obbligato è tenuto giuridicamente, nel corso dell’anno civile in questione, a contattare il cliente per esaminare le pertinenti informazioni relative alla titolarità effettiva, o se i soggetti obbligati sono stati assoggettati a tale obbligo ai sensi della direttiva 2011/16/UE del Consiglio (*5).

    (*5)  Direttiva 2011/16/UE del Consiglio, del 15 febbraio 2011, relativa alla cooperazione amministrativa nel settore fiscale e che abroga la direttiva 77/799/CEE (GU L 64 dell’11.3.2011, pag. 1).»;”

    10)

    l’articolo 18 è così modificato:

    a)

    al paragrafo 1, il primo comma è sostituito dal seguente:

    «Nei casi di cui agli articoli da 18 bis a 24 e in altre situazioni che presentano rischi più elevati individuati dagli Stati membri o dai soggetti obbligati, gli Stati membri prescrivono che i soggetti obbligati applichino misure rafforzate di adeguata verifica della clientela per gestire e mitigare adeguatamente tali rischi.»;

    b)

    il paragrafo 2 è sostituito dal seguente:

    «2.   Gli Stati membri prescrivono che i soggetti obbligati esaminino, per quanto ragionevolmente possibile, il contesto e la finalità di tutte le operazioni che rispettano almeno una delle seguenti condizioni:

    i)

    sono operazioni complesse;

    ii)

    sono operazioni di importo insolitamente elevato;

    iii)

    sono condotte secondo uno schema anomalo;

    iv)

    non hanno un chiaro scopo economico o legittimo.

    In particolare, i soggetti obbligati rafforzano il grado e la natura del controllo sul rapporto d’affari allo scopo di determinare se tali operazioni o attività siano sospette.»;

    11)

    è inserito l’articolo seguente:

    «Articolo 18 bis

    1.   Per quanto riguarda i rapporti d’affari o le operazioni che coinvolgono paesi terzi ad alto rischio identificati a norma dell’articolo 9, paragrafo 2, gli Stati membri prescrivono che i soggetti obbligati applichino le seguenti misure rafforzate di adeguata verifica della clientela:

    a)

    ottenere informazioni supplementari sul cliente e sul titolare effettivo (o i titolari effettivi);

    b)

    ottenere informazioni supplementari sullo scopo e sulla natura prevista del rapporto d’affari;

    c)

    ottenere informazioni sull’origine dei fondi e del patrimonio del cliente e del titolare effettivo (o i titolari effettivi);

    d)

    ottenere informazioni sulle motivazioni delle operazioni previste o eseguite;

    e)

    ottenere l’approvazione dell’alta dirigenza per l’instaurazione o la prosecuzione del rapporto d’affari;

    f)

    svolgere un controllo rafforzato del rapporto d’affari, aumentando il numero e la frequenza dei controlli effettuati e selezionando gli schemi di operazione che richiedono un ulteriore esame.

    Gli Stati membri possono prescrivere che i soggetti obbligati garantiscano, se del caso, che il primo pagamento sia eseguito mediante un conto intestato al cliente presso un ente creditizio soggetto alle norme di adeguata verifica della clientela che non sono meno rigorose di quelle previste nella presente direttiva.

    2.   Oltre alle misure di cui al paragrafo 1 e nel rispetto degli obblighi internazionali dell’Unione, gli Stati membri prescrivono che i soggetti obbligati applichino, se del caso, una o più misure di mitigazione supplementari alle persone fisiche o ai soggetti giuridici che effettuano operazioni che coinvolgono paesi terzi ad alto rischio identificati a norma dell’articolo 9, paragrafo 2. Tali misure comprendono una o più delle seguenti misure:

    a)

    l’applicazione di elementi supplementari per quanto concerne le misure rafforzate di adeguata verifica;

    b)

    l’introduzione di pertinenti meccanismi di segnalazione rafforzati o la segnalazione sistematica delle operazioni finanziarie;

    c)

    la limitazione di rapporti d’affari o le operazioni con persone fisiche o soggetti giuridici dei paesi terzi identificati come paesi terzi ad alto rischio a norma dell’articolo 9, paragrafo 2.

    3.   Oltre alle misure di cui al paragrafo 1, gli Stati membri applicano, se del caso, una o più delle seguenti misure per quanto riguarda i paesi terzi ad alto rischio identificati a norma dell’articolo 9, paragrafo 2, conformemente agli obblighi internazionali dell’Unione:

    a)

    rifiutare la costituzione di filiazioni o succursali o uffici di rappresentanza di soggetti obbligati del paese interessato, o comunque considerare il fatto che il soggetto obbligato interessato proviene da un paese che non dispone di adeguati regimi AML/CFT;

    b)

    vietare la costituzione, da parte di soggetti obbligati, di succursali o uffici di rappresentanza nel paese interessato, o comunque considerare il fatto che la succursale o l’ufficio di rappresentanza in questione si troverebbe in un paese che non dispone di adeguati regimi AML/CFT;

    c)

    prescrivere una maggiore vigilanza o obblighi più severi di revisione contabile esterna per le succursali e le filiazioni dei soggetti obbligati aventi sede nel paese in questione;

    d)

    prescrivere obblighi più severi di revisione contabile esterna per i gruppi finanziari in relazione alle loro succursali e filiazioni situate nel paese in questione;

    e)

    prescrivere che gli enti creditizi e gli istituti finanziari rivedano e modifichino o, se del caso, cessino i relativi rapporti con gli enti rispondenti nel paese interessato.

    4.   Nell’adottare o nell’applicare le misure di cui ai paragrafi 2 e 3, gli Stati membri tengono conto, se del caso, delle pertinenti valutazioni o relazioni elaborate da organizzazioni ed enti di normazione internazionali con competenze nel campo della prevenzione del riciclaggio di denaro e del contrasto al finanziamento del terrorismo riguardo ai rischi presentati dai singoli paesi terzi.

    5.   Gli Stati membri informano la Commissione prima di adottare o applicare le misure di cui ai paragrafi 2 e 3.»;

    12)

    all’articolo 19, la parte introduttiva è sostituita dalla seguente:

    «In caso di rapporti di corrispondenza transfrontalieri riguardanti l’esecuzione di pagamenti con un ente rispondente di un paese terzo, gli Stati membri prescrivono che gli enti creditizi e gli istituti finanziari, oltre alle misure di adeguata verifica della clientela di cui all’articolo 13, rispettino gli obblighi seguenti al momento dell’avvio di rapporti d’affari:»;

    13)

    è inserito l’articolo seguente:

    «Articolo 20 bis

    1.   Ogni Stato membro pubblica e aggiorna un elenco indicante esattamente le funzioni che, in base alle disposizioni legislative, regolamentari e amministrative nazionali, sono considerate importanti cariche pubbliche ai fini dell’articolo 3, punto 9. Gli Stati membri richiedono a ciascuna organizzazione internazionale accreditata nel loro territorio di pubblicare e aggiornare un elenco delle importanti cariche pubbliche presso tali organizzazioni internazionali ai fini dell’articolo 3, punto 9. Tali elenchi sono inviati alla Commissione e possono essere resi pubblici.

    2.   La Commissione redige e aggiorna l’elenco esatto delle funzioni che possono essere considerate importanti cariche pubbliche a livello delle istituzioni e degli organi dell’Unione. Tale elenco include inoltre tutte le funzioni che possono essere affidate a rappresentanti di paesi terzi e di organismi internazionali accreditati a livello dell’Unione.

    3.   La Commissione redige, sulla base degli elenchi di cui ai paragrafi 1 e 2 del presente articolo, un elenco unico di tutte le importanti cariche pubbliche ai fini dell’articolo 3, punto 9. Tale elenco unico è reso pubblico.

    4.   Le funzioni figuranti nell’elenco di cui al paragrafo 3 del presente articolo sono trattate conformemente alle condizioni di cui all’articolo 41, paragrafo 2.»;

    14)

    all’articolo 27, il paragrafo 2 è sostituito dal seguente:

    «2.   Gli Stati membri provvedono affinché i soggetti obbligati ai quali il cliente è stato presentato adottino misure adeguate per assicurare che il terzo fornisca immediatamente, su richiesta, le pertinenti copie dei dati d’identificazione e di verifica, compresi, ove disponibili, i dati ottenuti mediante mezzi di identificazione elettronica, i pertinenti servizi fiduciari di cui al regolamento (UE) n. 910/2014 o qualsiasi altra tecnica di identificazione elettronica o a distanza sicura, regolamentata, riconosciuta, approvata o accettata dalle autorità nazionali competenti.»;

    15)

    l’articolo 30 è così modificato:

    a)

    il paragrafo 1 è così modificato:

    i)

    il primo comma è sostituito dal seguente:

    «Gli Stati membri provvedono affinché le società e le altre entità giuridiche costituite nel loro territorio siano tenute a ottenere e conservare informazioni adeguate, accurate e attuali sulla loro titolarità effettiva, compresi i dettagli degli interessi beneficiari detenuti. Gli Stati membri garantiscono che le violazione del presente articolo siano soggette a misure o sanzioni effettive, proporzionate e dissuasive.»;

    ii)

    è aggiunto il comma seguente:

    «Gli Stati membri prescrivono che i titolari effettivi di società o altri soggetti giuridici, anche mediante azioni, diritti di voto o altra partecipazione, tramite azioni al portatore o attraverso il controllo con altri mezzi, forniscono tutte le informazioni necessarie affinché la società o l’altro soggetto giuridico rispetti quanto prescritto al primo comma.»;

    b)

    il paragrafo 4 è sostituito dal seguente:

    «4.   Gli Stati membri prescrivono che le informazioni contenute nel registro centrale di cui al paragrafo 3 siano adeguate, accurate e attuali e istituiscono meccanismi a tale scopo. Tali meccanismi prescrivono tra l’altro che i soggetti obbligati e, se del caso e nella misura in cui tale obbligo non interferisce indebitamente con le loro funzioni, le autorità competenti segnalino eventuali discrepanze rilevate tra le informazioni relative alla titolarità effettiva disponibili nel registro centrale e le informazioni relative alla titolarità effettiva di cui dispongono. Nel caso in cui siano segnalate discrepanze, gli Stati membri assicurano l’adozione di azioni necessarie per risolverle in modo tempestivo e, se del caso, anche l’inclusione di una menzione specifica nel registro centrale.»;

    c)

    il paragrafo 5 è sostituito dal seguente:

    «5.   Gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva siano accessibili in ogni caso:

    a)

    alle autorità competenti e alle FIU, senza alcuna restrizione;

    b)

    ai soggetti obbligati, nel quadro dell’adeguata verifica della clientela a norma del capo II;

    c)

    al pubblico.

    Le persone di cui alla lettera c) hanno accesso almeno al nome, al mese e anno di nascita, al paese di residenza e alla cittadinanza del titolare effettivo così come alla natura ed entità dell’interesse beneficiario detenuto.

    Gli Stati membri possono, alle condizioni stabilite dal diritto nazionale, garantire l’accesso a informazioni aggiuntive che consentano l’identificazione del titolare effettivo. Tali informazioni aggiuntive includono almeno la data di nascita o le informazioni di contatto, conformemente alle norme sulla protezione dei dati.»;

    d)

    è inserito il paragrafo seguente:

    «5 bis.   Gli Stati membri possono decidere di rendere disponibili le informazioni contenute nei registri nazionali di cui al paragrafo 3, previa registrazione online e previo pagamento di una tassa che non superi i costi amministrativi volti a rendere l’informazione disponibile, compresi i costi di mantenimento e sviluppo del registro.»;

    e)

    il paragrafo 6 è sostituito dal seguente:

    «6.   Gli Stati membri assicurano che le autorità competenti e le FIU abbiano un accesso tempestivo e illimitato a tutte le informazioni contenute nel registro centrale di cui al paragrafo 3 senza allertare il soggetto interessato. Gli Stati membri forniscono inoltre un accesso tempestivo ai soggetti obbligati quando questi adottano misure di adeguata verifica della clientela a norma del capo II.

    Le autorità competenti che hanno accesso al registro centrale di cui al paragrafo 3 sono le autorità pubbliche cui sono attribuite responsabilità in materia di lotta contro il riciclaggio di denaro o il finanziamento del terrorismo, nonché le autorità fiscali, le autorità di vigilanza dei soggetti obbligati e le autorità che hanno il compito di indagare o perseguire i casi di riciclaggio, i reati presupposto associati e il finanziamento del terrorismo, e di rintracciare, sequestrare o congelare e confiscare i proventi di reato.»;

    f)

    il paragrafo 7 è sostituito dal seguente:

    «7.   Gli Stati membri provvedono affinché le autorità competenti e le FIU siano in grado di fornire prontamente e gratuitamente le informazioni di cui ai paragrafi 1 e 3 alle autorità competenti e alle FIU degli altri Stati membri.»

    g)

    i paragrafi 9 e 10 sono sostituiti dai seguenti:

    «9.   In circostanze eccezionali stabilite dal diritto nazionale, qualora l’accesso di cui al paragrafo 5, primo comma, lettere b) e c), esponga il titolare effettivo a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, o qualora il titolare effettivo sia minore di età o altrimenti incapace per la legge, gli Stati membri possono prevedere una deroga a tale accesso a tutte o parte delle informazioni sulla titolarità effettiva, caso per caso. Gli Stati membri assicurano che tali deroghe siano concesse previa una valutazione dettagliata della natura eccezionale delle circostanze. È garantito il diritto a un ricorso amministrativo contro la decisione di deroga nonché il diritto a un ricorso giurisdizionale effettivo. Gli Stati membri che concedono deroghe pubblicano dati statistici annuali circa il numero di deroghe concesse e le motivazioni fornite e comunicano i dati alla Commissione.

    Le deroghe accordate a norma del primo comma del presente paragrafo non si applicano agli enti creditizi e agli istituti finanziari o ai soggetti obbligati di cui all’articolo 2, paragrafo 1, punto 3), lettera b), che sono funzionari pubblici.

    10.   Gli Stati membri provvedono all’interconnessione dei registri centrali di cui al paragrafo 3 del presente articolo attraverso la piattaforma centrale europea istituita dall’articolo 22, paragrafo 1, della direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio (*6). Il collegamento dei registri centrali degli Stati membri alla piattaforma è effettuato in conformità delle specifiche tecniche e delle procedure stabilite dagli atti di esecuzione adottati dalla Commissione a norma dell’articolo 24 della direttiva (UE) 2017/1132 e dell’articolo 31 bis della presente direttiva.

    Gli Stati membri provvedono a che le informazioni di cui al paragrafo 1 del presente articolo siano disponibili attraverso il sistema di interconnessione dei registri istituito dall’articolo 22, paragrafo 1, della direttiva (UE) 2017/1132, in conformità della legislazione nazionale degli Stati membri che attua i paragrafi 5, 5 bis e 6 del presente articolo.

    Le informazioni di cui al paragrafo 1 sono disponibili tramite i registri nazionali e il sistema di interconnessione dei registri per almeno cinque anni e non oltre i 10 anni successivi alla cancellazione della società o di altro soggetto giuridico dal registro. Gli Stati membri cooperano tra di loro e con la Commissione al fine di attuare i diversi tipi di accesso a norma del presente articolo.

    (*6)  Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, pag. 46).»;”

    16)

    l’articolo 31 è così modificato:

    a)

    il paragrafo 1 è sostituito dal seguente:

    «1.   Gli Stati membri assicurano che il presente articolo si applichi ai trust e ad altri tipi di istituti giuridici, quali, tra l’altro, fiducie, determinati tipi di Treuhand o fideicomiso, quando tali istituti hanno un assetto o funzioni affini a quelli dei trust. Gli Stati membri definiscono le caratteristiche in base alle quali determinare se un istituto giuridico ha assetto o funzioni affini a quelli dei trust per quanto riguarda tali istituti giuridici disciplinati ai sensi del diritto nazionale.

    Ciascuno Stato membro prescrive che i fiduciari di trust espressi amministrati nel proprio territorio nazionale ottengano e mantengano informazioni adeguate, accurate e attuali sulla titolarità effettiva del trust. Tali informazioni includono l’identità:

    a)

    del costituente o dei costituenti;

    b)

    del «trustee» o dei «trustee»;

    c)

    del guardiano o dei guardiani (se esistono);

    d)

    dei beneficiari o della classe di beneficiari;

    e)

    delle altre persone fisiche che esercitano il controllo effettivo sul trust.

    Gli Stati membri garantiscono che le violazioni del presente articolo siano soggette a misure o sanzioni effettive, proporzionate e dissuasive.»;

    b)

    il paragrafo 2 è sostituito dal seguente:

    «2.   Gli Stati membri provvedono affinché i trustee, o le persone che ricoprono posizioni equivalenti negli istituti giuridici affini di cui al paragrafo 1 del presente articolo, rendano noto il proprio stato e forniscano prontamente ai soggetti obbligati le informazioni di cui al paragrafo 1 del presente articolo quando, in veste di trustee o di persona che ricopre una posizione equivalente in un istituto giuridico affine, instaurano un rapporto d’affari o eseguono un’operazione occasionale d’importo superiore alla soglia di cui all’articolo 11, lettere b), c) e d).»;

    c)

    è inserito il paragrafo seguente:

    «3 bis.   Gli Stati membri prescrivono che le informazioni sulla titolarità effettiva di trust espressi e istituti giuridici affini di cui al paragrafo 1 siano contenute in un registro centrale dei titolari effettivi istituito dallo Stato membro in cui è stabilito o risiede il trustee del trust o la persona che ricopre una posizione equivalente in un istituto giuridico affine.

    Qualora il luogo di stabilimento o di residenza del trustee del trust o della persona che ricopre una posizione equivalente in un istituto giuridico affine sia al di fuori dell’Unione, le informazioni di cui al paragrafo 1 sono conservate in un registro centrale istituito dallo Stato membro in cui il trustee o la persona che ricopre una posizione equivalente in un istituto giuridico affine avvia rapporti d’affari o acquisisce proprietà immobiliari a nome del trust o dell’istituto giuridico affine.

    Qualora i trustee di un trust o le persone che ricoprono una posizione equivalente in un istituto giuridico affine siano stabiliti o residenti in Stati membri diversi, o qualora il trustee del trust o la persona che ricopre una posizione equivalente nell’istituto giuridico affine avviino rapporti d’affari multipli a nome del trust o dell’istituto giuridico affine in diversi Stati membri, un certificato di prova della registrazione o un estratto delle informazioni sulla titolarità effettiva in un registro tenuto da uno Stato membro può essere considerato sufficiente per ritenere adempiuto l’obbligo di registrazione.»;

    d)

    il paragrafo 4 è sostituito dal seguente:

    «4.   Gli Stati membri provvedono affinché le informazioni sulla titolarità effettiva di un trust o di un istituto giuridico affine siano accessibili in ogni caso:

    a)

    alle autorità competenti e alle FIU, senza alcuna restrizione;

    b)

    ai soggetti obbligati, nel quadro dell’adeguata verifica della clientela a norma del capo II;

    c)

    a qualunque persona fisica o giuridica che possa dimostrare un legittimo interesse;

    d)

    a qualunque persona fisica o giuridica che faccia una richiesta scritta in relazione a un trust o a un istituto giuridico affine che detiene una partecipazione di controllo in una società o in un altro soggetto giuridico diverso da quelli di cui all’articolo 30, paragrafo 1, attraverso il possesso, diretto o indiretto, anche tramite azioni al portatore, o attraverso il controllo con altri mezzi.

    Le informazioni accessibili alle persone fisiche o giuridiche di cui al primo comma, lettere c) e d), comprendono il nome, il mese e anno di nascita, il paese di residenza e la cittadinanza del titolare effettivo, così come la natura e l’entità dell’interesse beneficiario detenuto.

    Gli Stati membri possono, alle condizioni stabilite dal diritto nazionale, garantire l’accesso a informazioni aggiuntive che consentano l’identificazione del titolare effettivo. Tali informazioni aggiuntive contengono almeno la data di nascita o le informazioni di contatto, conformemente alle norme sulla protezione dei dati. Gli Stati membri possono concedere accesso più ampio alle informazioni contenute nel registro in conformità del loro diritto nazionale.

    Le autorità competenti che hanno accesso al registro centrale di cui al paragrafo 3 bis sono le autorità pubbliche cui sono attribuite responsabilità in materia di lotta contro il riciclaggio di denaro o il finanziamento del terrorismo, nonché le autorità fiscali, le autorità di vigilanza dei soggetti obbligati e le autorità che hanno il compito di indagare o perseguire i casi di riciclaggio, i reati presupposto associati e il finanziamento del terrorismo, e di tracciare, sequestrare o congelare e confiscare i proventi di reato.»;

    e)

    è inserito il paragrafo seguente:

    «4 bis.   Gli Stati membri possono decidere di rendere disponibili le informazioni contenute nei registri nazionali di cui al paragrafo 3 bis, previa registrazione online e previo pagamento di una tassa che non superi i costi amministrativi volti a rendere l’informazione disponibile, compresi i costi di mantenimento e sviluppo del registro.»;

    f)

    il paragrafo 5 è sostituito dal seguente:

    «5.   Gli Stati membri prescrivono che le informazioni contenute nel registro centrale di cui al paragrafo 3 bis siano adeguate, accurate e attuali e istituiscono meccanismi a tale scopo. Tali meccanismi prescrivono, tra l’altro, che i soggetti obbligati e, se del caso e nella misura in cui tale obbligo non interferisce inutilmente con le loro funzioni, le autorità competenti segnalino eventuali discrepanze rilevate tra le informazioni relative alla titolarità effettiva disponibili nel registro centrale e le informazioni relative alla titolarità effettiva di cui dispongono. Nel caso in cui siano segnalate discrepanze, gli Stati membri assicurano che siano adottate le azioni necessarie per risolverle in modo tempestivo e, se del caso, che nel frattempo sia inclusa una menzione specifica nel registro centrale.»;

    g)

    il paragrafo 7 è sostituito dal seguente:

    «7.   Gli Stati membri provvedono affinché le autorità competenti e le FIU siano in grado di fornire prontamente e gratuitamente le informazioni di cui ai paragrafi 1 e 3 alle autorità competenti e alle FIU degli altri Stati membri.»;

    h)

    è inserito il paragrafo seguente:

    «7 bis.   In circostanze eccezionali stabilite dal diritto nazionale, qualora l’accesso di cui al paragrafo 4, primo comma, lettere b), c) e d), esponga il titolare effettivo a un rischio sproporzionato di frode, rapimento, ricatto, estorsione, molestia, violenza o intimidazione, o qualora il titolare effettivo sia minore di età o altrimenti incapace, gli Stati membri possono prevedere una deroga a tale accesso a tutte o parte delle informazioni sulla titolarità effettiva, caso per caso. Gli Stati membri assicurano che tali deroghe siano concesse previa una valutazione dettagliata della natura eccezionale delle circostanze. È garantito il diritto a un ricorso amministrativo contro la decisione di deroga nonché il diritto a un ricorso giurisdizionale effettivo. Gli Stati membri che concedono deroghe pubblicano dati statistici annuali circa il numero delle deroghe concesse e le motivazioni fornite e comunicano i dati alla Commissione.

    Le deroghe accordate a norma del primo comma non si applicano agli enti creditizi, agli istituti finanziari e ai soggetti obbligati di cui all’articolo 2, paragrafo 1, punto 3), lettera b), che sono funzionari pubblici.

    Qualora uno Stato membro decida di istituire una deroga a norma del primo comma, esso non limita l’accesso alle informazioni da parte delle autorità competenti e delle FIU.»;

    i)

    il paragrafo 8 è soppresso;

    j)

    il paragrafo 9 è sostituito dal seguente:

    «9.   Gli Stati membri provvedono all’interconnessione dei registri centrali di cui al paragrafo 3 bis del presente articolo attraverso la piattaforma centrale europea istituita dall’articolo 22, paragrafo 1, della direttiva (UE) 2017/1132. Il collegamento dei registri centrali degli Stati membri alla piattaforma è effettuato in conformità delle specifiche tecniche e delle procedure stabilite dagli atti di esecuzione adottati dalla Commissione a norma dell’articolo 24 della direttiva (UE) 2017/1132 e dell’articolo 31 bis della presente direttiva.

    Gli Stati membri provvedono a che le informazioni di cui al paragrafo 1 del presente articolo siano disponibili attraverso il sistema di interconnessione dei registri istituito dall’articolo 22, paragrafo 2, della direttiva 2017/1132, in conformità della legislazione nazionale degli Stati membri che attua i paragrafi 4 e 5 del presente articolo.

    Gli Stati membri adottano misure adeguate per assicurare che siano rese disponibili attraverso i rispettivi registri nazionali e attraverso il sistema di interconnessione dei registri soltanto le informazioni di cui al paragrafo 1 che sono aggiornate e corrispondono realmente alla titolarità effettiva, e che l’accesso a tali informazioni sia conforme alle norme sulla protezione dei dati.

    Le informazioni di cui al paragrafo 1 sono disponibili tramite i registri nazionali e il sistema di interconnessione dei registri per almeno cinque anni e non oltre i 10 anni dopo che i motivi per la registrazione delle informazioni sulla titolarità effettiva di cui al paragrafo 3 bis sono cessati di esistere. Gli Stati membri cooperano con la Commissione al fine di attuare i diversi tipi di accesso a norma dei paragrafi 4 e 4 bis.»;

    k)

    è aggiunto il paragrafo seguente:

    «10.   Gli Stati membri notificano alla Commissione le categorie, la descrizione delle caratteristiche, i nomi e, se del caso, la base giuridica dei trust e degli istituti giuridici affini di cui al paragrafo 1 entro il 10 luglio 2019. La Commissione pubblica l’elenco consolidato di tali trust e istituti giuridici affini nella Gazzetta ufficiale dell’Unione europea entro il 10 settembre 2019.

    Entro il 26 giugno 2020 la Commissione presenta una relazione al Parlamento europeo e al Consiglio in cui valuta se tutti i trust e gli istituti giuridici affini di cui al paragrafo 1 disciplinati ai sensi del diritto degli Stati membri siano stati debitamente individuati e assoggettati agli obblighi stabiliti nella presente direttiva. Ove opportuno, la Commissione adotta le misure necessarie per intervenire in base alle conclusioni di detta relazione.»;

    17)

    è inserito l’articolo seguente:

    «Articolo 31 bis

    Atti di esecuzione

    Se necessario, in aggiunta agli atti di esecuzione adottati dalla Commissione a norma dell’articolo 24 della direttiva (UE) 2017/1132 e conformemente all’ambito di applicazione degli articoli 30 e 31 della presente direttiva, la Commissione adotta, mediante atti di esecuzione, le specifiche tecniche e le procedure necessarie a provvedere all’interconnessione dei registri centrali degli Stati membri secondo quanto indicato all’articolo 30, paragrafo 10, e all’articolo 31, paragrafo 9, per quanto riguarda:

    a)

    la specifica tecnica che definisce i dati tecnici necessari affinché la piattaforma svolga la sua funzione e il metodo per la memorizzazione, l’utilizzo e la protezione di tali dati;

    b)

    i criteri comuni in base ai quali le informazioni relative alla titolarità effettiva sono disponibili attraverso il sistema di interconnessione dei registri, in funzione del livello di accesso accordato dagli Stati membri;

    c)

    i dettagli tecnici riguardanti il modo in cui rendere disponibili le informazioni sui titolari effettivi;

    d)

    le condizioni tecniche di disponibilità dei servizi forniti dal sistema di interconnessione dei registri;

    e)

    le modalità tecniche di attuazione dei diversi tipi di accesso alle informazioni sulla titolarità effettiva a norma dell’articolo 30, paragrafo 5, e dell’articolo 31, paragrafo 4;

    f)

    le modalità di pagamento qualora l’accesso alle informazioni sulla titolarità effettiva sia soggetto al pagamento di una tassa a norma dell’articolo 30, paragrafo 5 bis, e dell’articolo 31, paragrafo 4 bis, tenendo conto dei sistemi di pagamento disponibili quali le operazioni di pagamento a distanza.

    Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 64 bis, paragrafo 2.

    Nei suoi atti di esecuzione la Commissione cerca di riutilizzare la tecnologia e le prassi consolidate. La Commissione garantisce che lo sviluppo dei sistemi non comporti costi superiori a quanto assolutamente necessario per l’attuazione della presente direttiva. Gli atti di esecuzione della Commissione devono essere caratterizzati da trasparenza e dallo scambio di esperienze e informazioni tra la Commissione e gli Stati membri.»;

    18)

    all’articolo 32 è aggiunto il paragrafo seguente:

    «9.   Fatto salvo l’articolo 34, paragrafo 2, nell’ambito delle sue funzioni, ogni FIU deve essere in grado di richiedere, ottenere e utilizzare informazioni da qualsiasi soggetto obbligato ai fini di cui al paragrafo 1 del presente articolo, anche laddove non sia stata trasmessa una segnalazione prevista dall’articolo 33, paragrafo 1, lettera a), o 34, paragrafo 1.»;

    19)

    è inserito l’articolo seguente:

    «Articolo 32 bis

    1.   Gli Stati membri istituiscono meccanismi centralizzati automatici, quali registri centrali o sistemi elettronici centrali di reperimento dei dati, che consentano l’identificazione tempestiva di qualsiasi persona fisica o giuridica che detenga o controlli conti di pagamento, conti bancari identificati dall’IBAN, come definito dal regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio (*7) e cassette di sicurezza detenuti da un ente creditizio nel loro territorio. Gli Stati membri notificano alla Commissione le caratteristiche di detti meccanismi nazionali.

    2.   Gli Stati membri provvedono affinché le informazioni contenute nel meccanismo centralizzato di cui al paragrafo 1 del presente articolo siano direttamente accessibili in modo immediato e non filtrato alle FIU nazionali. Le informazioni sono altresì accessibili alle autorità nazionali competenti per l’adempimento degli obblighi che incombono loro a norma di questa direttiva. Gli Stati membri provvedono a che le FIU possano fornire tempestivamente a qualsiasi altra FIU le informazioni contenute nel meccanismo centralizzato di cui al paragrafo 1 del presente articolo, a norma dell’articolo 53.

    3.   Le seguenti informazioni sono accessibili e consultabili attraverso il meccanismo centralizzato di cui al paragrafo 1:

    —   per il titolare del conto cliente e ogni persona che sostenga di agire per conto del cliente: il nome, unitamente agli altri dati identificativi previsti dalle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 1, lettera a), o a un numero di identificazione unico;

    —   per il titolare effettivo del titolare del conto cliente: il nome, unitamente agli altri dati identificativi previsti dalle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 1, lettera b), o a un numero di identificazione unico;

    —   per il conto bancario o il conto di pagamento: il numero IBAN e la data di apertura e di chiusura del conto;

    —   per la cassetta di sicurezza: il nome del locatario, unitamente o agli altri dati identificativi previsti dalle disposizioni nazionali di recepimento dell’articolo 13, paragrafo 1, o a un numero di identificazione unico, e alla durata del periodo di locazione.

    4.   Gli Stati membri possono prescrivere che ulteriori informazioni ritenute essenziali per le FIU e le autorità competenti ai fini dell’adempimento degli obblighi che incombono loro a norma di questa direttiva siano accessibili e consultabili attraverso i meccanismi centralizzati.

    5.   Entro il 26 giugno 2020 la Commissione presenta al Parlamento europeo e al Consiglio una relazione in cui valuta le condizioni e le specifiche e procedure tecniche per garantire la sicura ed efficace interconnessione dei meccanismi centralizzati automatici. Se opportuno, la relazione è accompagnata da una proposta legislativa.

    (*7)  Regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio, del 14 marzo 2012, che stabilisce i requisiti tecnici e commerciali per i bonifici e gli addebiti diretti in euro e che modifica il regolamento (CE) n. 924/2009 (GU L 94 del 30.3.2012, pag. 22).»;”

    20)

    è inserito l’articolo seguente:

    «Articolo 32 ter

    1.   Gli Stati membri forniscono alle FIU e alle autorità competenti l’accesso alle informazioni che consentono l’identificazione tempestiva di qualsiasi persona fisica o giuridica che detenga beni immobili, anche attraverso registri o sistemi elettronici di reperimento dei dati, se disponibili.

    2.   Entro il 31 dicembre 2020 la Commissione presenta al Parlamento europeo e al Consiglio una relazione in cui valuta la necessità e la proporzionalità dell’armonizzazione delle informazioni contenute nei registri e valuta la necessità di interconnettere tali registri. Se opportuno, la relazione è accompagnata da una proposta legislativa.»;

    21)

    all’articolo 33, paragrafo 1, la lettera b) è sostituita dalla seguente:

    «b)

    fornire direttamente alla FIU, su sua richiesta, tutte le informazioni necessarie.»;

    22)

    all’articolo 34 è aggiunto il paragrafo seguente:

    «3.   Gli organi di autoregolamentazione designati dagli Stati membri pubblicano una relazione annuale che contiene informazioni sugli aspetti seguenti:

    a)

    le misure adottate ai sensi degli articoli 58, 59 e 60;

    b)

    il numero di segnalazioni di violazioni ricevute di cui all’articolo 61, ove applicabile;

    c)

    il numero di segnalazioni ricevute dall’organo di autoregolamentazione di cui al paragrafo 1 e il numero di segnalazioni trasmesse da tale organo di autoregolamentazione alla FIU, ove applicabile;

    d)

    ove applicabile, il numero e la descrizione delle misure adottate a norma degli articoli 47 e 48 per verificare che i soggetti obbligati adempiano ai propri obblighi di cui:

    i)

    agli articoli da 10 a 24 (adeguata verifica della clientela);

    ii)

    agli articoli 33, 34 e 35 (segnalazione di operazioni sospette);

    iii)

    all’articolo 40 (conservazione dei dati) e

    iv)

    agli articoli 45 e 46 (controlli interni).»;

    23)

    l’articolo 38 è sostituito dal seguente:

    «Articolo 38

    1.   Gli Stati membri garantiscono che le persone, inclusi i lavoratori dipendenti e i rappresentanti del soggetto obbligato, che segnalano un caso sospetto di riciclaggio o di finanziamento del terrorismo, internamente o alla FIU, siano tutelati legalmente da qualsiasi minaccia o atto ostile o di ritorsione, in particolare da atti avversi o discriminatori in ambito lavorativo.

    2.   Gli Stati membri garantiscono che le persone esposte a minacce, atti di rappresaglia od ostili o atti avversi o discriminatori in ambito lavorativo per aver segnalato un caso sospetto di riciclaggio o di finanziamento del terrorismo, internamente o alla FIU, hanno il diritto di presentare denuncia in condizioni di sicurezza presso le rispettive autorità competenti. Fatta salva la riservatezza delle informazioni raccolte dalla FIU, gli Stati membri assicurano altresì che tali individui godano del diritto a un ricorso effettivo per tutelare i propri diritti ai sensi del presente paragrafo.»;

    24)

    all’articolo 39, il paragrafo 3 è sostituito dal seguente:

    «3.   Il divieto di cui al paragrafo 1 del presente articolo non impedisce la comunicazione tra gli enti creditizi e gli istituti finanziari degli Stati membri, a condizione che appartengano allo stesso gruppo, o tra tali soggetti e le loro succursali o filiazioni controllate a maggioranza situate in paesi terzi, a condizione che tali succursali e filiazioni controllate a maggioranza si conformino pienamente alle politiche e alle procedure a livello di gruppo, comprese le procedure per la condivisione delle informazioni all’interno del gruppo, ai sensi dell’articolo 45, e che le politiche e le procedure a livello di gruppo siano conformi agli obblighi di cui alla presente direttiva.»;

    25)

    all’articolo 40, il paragrafo 1 è così modificato:

    a)

    la lettera a) è sostituita dalla seguente:

    «a)

    per quanto riguarda l’adeguata verifica della clientela, la copia dei documenti e delle informazioni che sono necessari per soddisfare gli obblighi di adeguata verifica della clientela ai sensi del capo II, comprese, ove disponibili, le informazioni ottenute tramite mezzi di identificazione elettronica, i pertinenti servizi fiduciari di cui al regolamento (UE) n. 910/2014 o qualsiasi altra tecnica di identificazione elettronica o a distanza sicura, regolamentata, riconosciuta, approvata o accettata dalle autorità nazionali competenti, per un periodo di cinque anni dalla cessazione del rapporto d’affari con il cliente o successivamente alla data di un’operazione occasionale;»;

    b)

    è aggiunto il comma seguente:

    «Il periodo di conservazione di cui al presente paragrafo, compreso il periodo di conservazione supplementare che non eccede i cinque anni, si applica anche ai dati accessibili attraverso il meccanismo centralizzato di cui all’articolo 32 bis.»;

    26)

    l’articolo 43 è sostituito dal seguente:

    «Articolo 43

    Il trattamento dei dati personali sulla base della presente direttiva ai fini della prevenzione del riciclaggio e del finanziamento del terrorismo di cui all’articolo 1 è considerato di interesse pubblico ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (*8).

    (*8)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).»;”

    27)

    l’articolo 44 è sostituito dal seguente:

    «Articolo 44

    1.   Gli Stati membri, al fine di contribuire alla preparazione della valutazione del rischio di cui all’articolo 7, assicurano di essere in grado di valutare l’efficacia dei loro sistemi di lotta al riciclaggio e al finanziamento del terrorismo, producendo statistiche complete sulle questioni rilevanti per l’efficacia di tali sistemi.

    2.   Le statistiche di cui al paragrafo 1 includono:

    a)

    dati quantitativi sulle dimensioni e l’importanza dei diversi settori che rientrano nell’ambito di applicazione della presente direttiva, tra cui numero di persone fisiche ed entità e importanza economica di ciascun settore;

    b)

    dati quantitativi sulle fasi di segnalazione, d’indagine e di azione giudiziaria del regime nazionale in materia di AML/CFT, tra cui numero di segnalazioni di operazioni sospette trasmesse alla FIU e relativo seguito e, su base annua, numero di casi investigati, persone perseguite, persone condannate per reati di riciclaggio o finanziamento del terrorismo, tipi di reati presupposto, ove tali informazioni siano disponibili, e valore in euro dei beni congelati, sequestrati o confiscati;

    c)

    se disponibili, dati specifici sul numero e sulla percentuale di segnalazioni che danno origine a successive indagini, unitamente a una relazione annuale ai soggetti obbligati che illustri nei dettagli l’utilità e il seguito dato alle segnalazioni effettuate;

    d)

    dati riguardanti il numero di richieste internazionali di informazioni effettuate, ricevute e rifiutate dalla FIU, nonché di quelle evase, parzialmente o totalmente, disaggregati per paese di controparte;

    e)

    le risorse umane assegnate alle autorità competenti responsabili della vigilanza in materia di AML/CFT nonché le risorse umane assegnate alla FIU per svolgere i compiti di cui all’articolo 32;

    f)

    il numero di azioni di vigilanza in situ ed extra situ, il numero di violazioni individuate sulla base delle azioni di vigilanza e le sanzioni/misure amministrative applicate dalle autorità di vigilanza.

    3.   Gli Stati membri provvedono alla pubblicazione su base annua di una revisione consolidata delle loro statistiche.

    4.   Gli Stati membri trasmettono ogni anno alla Commissione le statistiche di cui al paragrafo 2. La Commissione pubblica una relazione annuale che riassume e illustra le statistiche di cui al paragrafo 2 e che deve essere resa disponibile sul suo sito web.»;

    28)

    all’articolo 45, il paragrafo 4 è sostituito dal seguente:

    «4.   Gli Stati membri e le AEV si scambiano informazioni sui casi in cui il diritto di un paese terzo non consente l’attuazione delle politiche e delle procedure di cui al paragrafo 1. In tali casi possono essere intraprese azioni coordinate per giungere a una soluzione. Nel valutare quali paesi terzi non consentano l’attuazione delle politiche e delle procedure di cui al paragrafo 1, gli Stati membri e le AEV tengono conto di eventuali vincoli giuridici che possono ostacolare la corretta attuazione di tali politiche e procedure, tra cui il segreto professionale, la protezione dei dati e altri vincoli che limitano lo scambio di informazioni potenzialmente rilevanti a tal fine.»;

    29)

    all’articolo 47, il paragrafo 1 è sostituito dal seguente:

    «1.   Gli Stati membri assicurano che i prestatori di servizi di cambio tra valute virtuali e valute legali, e i prestatori di servizi di portafoglio digitale siano registrati, che i cambiavalute e gli uffici per l’incasso di assegni e i prestatori di servizi relativi a società o trust ottengano una licenza o siano registrati e che i prestatori di servizi di gioco d’azzardo siano regolamentati.»;

    30)

    l’articolo 48 è così modificato:

    a)

    è inserito il paragrafo seguente:

    «1 bis.   Al fine di agevolare e promuovere un’efficace cooperazione, e in particolare lo scambio di informazioni, gli Stati membri trasmettono alla Commissione l’elenco delle autorità competenti dei soggetti obbligati elencati all’articolo 2, paragrafo 1, comprese le loro informazioni di contatto. Gli Stati membri assicurano che le informazioni fornite alla Commissione siano sempre aggiornate.

    La Commissione pubblica un registro di tali autorità e le loro informazioni di contatto sul suo sito web. Le autorità figuranti nel registro, nei limiti delle loro competenze, fungono da punto di contatto per le autorità competenti omologhe degli altri Stati membri. Le autorità di vigilanza finanziaria degli Stati membri fungono altresì da punto di contatto per l’AVE.

    Al fine di assicurare l’adeguata applicazione della presente direttiva, gli Stati membri prescrivono che tutti i soggetti obbligati siano sottoposti a una vigilanza adeguata, compresa la facoltà di esercitare la vigilanza in situ ed extra situ, e adottano misure amministrative opportune e proporzionate per porre rimedio alla situazione in caso di violazioni.»;

    b)

    il paragrafo 2 è sostituito dal seguente:

    «2.   Gli Stati membri provvedono affinché le autorità competenti dispongano di poteri adeguati, compresa la facoltà di esigere la comunicazione di ogni informazione pertinente per il controllo dell’osservanza degli obblighi prescritti e di effettuare verifiche, e siano dotate di risorse finanziarie, umane e tecniche adeguate per l’assolvimento delle loro funzioni. Gli Stati membri provvedono affinché il personale di tali autorità sia di alta integrità e opportunamente qualificato e mantenga standard di integrità elevati, anche in materia di riservatezza, protezione dei dati e risoluzione dei conflitti di interesse.»;

    c)

    il paragrafo 4 è sostituito dal seguente:

    «4.   Gli Stati membri provvedono affinché le autorità competenti dello Stato membro in cui il soggetto obbligato gestisce sedi vigilino affinché tali sedi rispettino le disposizioni nazionali di tale Stato membro nel recepimento della presente direttiva.

    Nel caso di enti creditizi e istituti finanziari che sono parte di un gruppo, gli Stati membri garantiscono che, ai fini di cui al primo comma, le autorità competenti dello Stato membro in cui è stabilita un’impresa madre cooperino con le autorità competenti degli Stati membri in cui sono stabilite le sedi che sono parte del gruppo.

    Nel caso delle sedi di cui all’articolo 45, paragrafo 9, la vigilanza di cui al primo comma del presente paragrafo può includere l’adozione di misure appropriate e proporzionate per affrontare gravi carenze che richiedono un intervento immediato. Tali misure sono temporanee e cessano quando sono risolte le carenze riscontrate, anche tramite l’assistenza o la cooperazione con autorità competenti dello Stato membro d’origine del soggetto obbligato a norma dell’articolo 45, paragrafo 2.»;

    d)

    al paragrafo 5 è aggiunto il comma seguente:

    «Nel caso di enti creditizi e istituti finanziari che sono parte di un gruppo, gli Stati membri garantiscono che le autorità competenti dello Stato membro in cui è stabilita un’impresa madre vigilino sull’effettiva applicazione delle politiche e delle procedure aziendali a livello di gruppo di cui all’articolo 45, paragrafo 1. A tal fine, gli Stati membri garantiscono che le autorità competenti dello Stato membro in cui sono stabiliti gli enti creditizi e istituti finanziari che sono parte del gruppo cooperino con le autorità competenti dello Stato membro in cui è stabilita l’impresa madre.»;

    31)

    l’articolo 49 è sostituito dal seguente:

    «Articolo 49

    Gli Stati membri provvedono affinché le autorità di indirizzo, le FIU, le autorità di vigilanza e le altre autorità competenti che operano nell’AML/CFT, nonché le autorità fiscali e le autorità di contrasto quando agiscono nell’ambito di applicazione della presente direttiva, dispongano di meccanismi efficaci, tali da consentire loro di cooperare e coordinarsi a livello nazionale nell’elaborazione e nell’attuazione delle politiche e delle attività di lotta al riciclaggio e al finanziamento del terrorismo, anche al fine di adempiere all’obbligo che a essi incombe a norma dell’articolo 7.»;

    32)

    nella sezione 3 del capo VI è inserita la sottosezione seguente:

    «Sottosezione II bis

    Cooperazione tra le autorità competenti degli Stati membri

    Articolo 50 bis

    Gli Stati membri non vietano lo scambio di informazioni o di assistenza tra le autorità competenti, né impongono condizioni irragionevoli o indebitamente restrittive in materia ai fini della presente direttiva. In particolare, gli Stati membri provvedono a che le autorità competenti non respingano le richieste di assistenza per i seguenti motivi:

    a)

    la richiesta è ritenuta inerente anche a questioni fiscali;

    b)

    il diritto nazionale impone ai soggetti obbligati l’obbligo di segretezza o di riservatezza, fatti salvi i casi in cui l’informazione richiesta sia protetta dal privilegio forense o si applichi il segreto professionale forense di cui all’articolo 34, paragrafo 2;

    c)

    nello Stato membro che riceve la richiesta è in corso un accertamento, un’indagine o un procedimento, fatto salvo il caso in cui l’assistenza possa ostacolare detto accertamento, indagine o procedimento;

    d)

    la natura o lo status della competente autorità omologa richiedente è diverso da quello dell’autorità competente che riceve la richiesta».

    33)

    l’articolo 53 è così modificato:

    a)

    al paragrafo 1, il primo comma è sostituito dal seguente:

    «1.   Gli Stati membri provvedono affinché le FIU si scambino, spontaneamente o su richiesta, ogni informazione che possa risultare loro utile per il trattamento o l’analisi di informazioni da parte delle FIU collegate al riciclaggio o al finanziamento del terrorismo e alle persone fisiche o giuridiche implicate, indipendentemente dal tipo di reati presupposto eventualmente associato e anche laddove il tipo di reati presupposto eventualmente associato non sia stato individuato al momento dello scambio.»;

    b)

    al paragrafo 2, secondo comma, la seconda frase è sostituita dalla seguente:

    «Tale FIU ottiene le informazioni a norma dell’articolo 33, paragrafo 1, e trasmette le risposte tempestivamente.»;

    34)

    all’articolo 54 è aggiunto il comma seguente:

    «Gli Stati membri provvedono affinché le FIU designino almeno una persona o un punto di contatto incaricato di ricevere le richieste di informazioni provenienti dalle FIU di altri Stati membri.»;

    35)

    all’articolo 55, il paragrafo 2 è sostituito dal seguente:

    «2.   Gli Stati membri provvedono affinché il previo consenso della FIU che riceve la richiesta a comunicare le informazioni ad autorità competenti sia concesso tempestivamente e nella più ampia misura possibile, indipendentemente dal tipo di reati presupposto eventualmente associato. La FIU che riceve la richiesta non deve rifiutare il suo consenso a tale comunicazione tranne se ciò vada oltre la portata dell’applicazione delle sue disposizioni AML/CFT o possa compromettere un’indagine o sia altrimenti non conforme ai principi fondamentali del diritto nazionale di tale Stato membro. Il rifiuto del consenso è adeguatamente circostanziato. Tali eccezioni sono specificate in modo da evitare abusi o limitazioni indebite alla comunicazione di informazioni alle autorità competenti.»;

    36)

    l’articolo 57 è sostituito dal seguente:

    «Articolo 57

    Le differenze fra le definizioni di reato presupposto di cui all’articolo 3, punto 4, contemplate dal diritto nazionale non impediscono alle FIU di fornire assistenza a un’altra FIU e non limitano lo scambio, la diffusione e l’uso delle informazioni di cui agli articoli 53, 54 e 55.»;

    37)

    alla sezione 3 del capo VI è aggiunta la sottosezione seguente:

    «Sottosezione III bis

    Cooperazione tra le autorità competenti che vigilano sugli enti creditizi, gli istituti finanziari e altre autorità vincolate dal segreto professionale

    Articolo 57 bis

    1.   Gli Stati membri obbligano tutte le persone che lavorano o hanno lavorato per le autorità competenti che vigilano sugli enti creditizi e gli istituti finanziari ai fini della conformità alla presente direttiva e i revisori dei conti o gli esperti che agiscono per conto di tali autorità competenti al segreto professionale.

    Fatti salvi i casi rilevanti per il diritto penale, le informazioni riservate che le persone di cui al primo comma ricevono nell’esercizio delle loro funzioni ai sensi della presente direttiva possono essere divulgate solo in forma sommaria o globale, in modo tale che non si possano individuare i singoli enti creditizi e istituti finanziari.

    2.   Il paragrafo 1 non osta allo scambio di informazioni tra:

    a)

    le autorità competenti che vigilano sugli enti creditizi e gli istituti finanziari all’interno di uno Stato membro ai sensi della presente direttiva o di altri atti legislativi relativi alla vigilanza degli enti creditizi e gli istituti finanziari;

    b)

    le autorità competenti che vigilano sugli enti creditizi e gli istituti finanziari in diversi Stati membri ai sensi della presente direttiva o di altri atti legislativi relativi alla vigilanza degli enti creditizi e gli istituti finanziari, inclusa la Banca centrale europea (BCE) quando agisce ai sensi del regolamento (UE) n. 1024/2013 del Consiglio (*9). Tale scambio di informazioni è coperto dal segreto professionale di cui al paragrafo 1.

    Entro il 10 gennaio 2019, le autorità competenti che vigilano sugli enti creditizi e gli istituti finanziari ai sensi della presente direttiva, e la BCE, quando agisce ai sensi dell’articolo 27, paragrafo 2, del regolamento (UE) n. 1024/2013 e dell’articolo 56, primo comma, lettera g), della direttiva 2013/36/UE del Parlamento europeo e del Consiglio (*10), concludono, con il sostegno delle autorità europee di vigilanza, un accordo sulle modalità pratiche dello scambio di informazioni.

    3.   Le autorità competenti che vigilano sugli enti creditizi e gli istituti finanziari che ricevono informazioni riservate di cui al paragrafo 1 utilizzano tali informazioni esclusivamente:

    a)

    nell’esercizio delle loro funzioni ai sensi della presente direttiva o di altri atti legislativi nell’ambito dell’AML/CFT, della regolamentazione prudenziale e della vigilanza sugli enti creditizi e gli istituti finanziari, compresa l’imposizione di sanzioni;

    b)

    nel ricorso avverso una decisione dell’autorità competente che vigila sugli enti creditizi e gli istituti finanziari, anche nell’ambito di procedimenti giudiziari;

    c)

    nell’ambito di procedimenti giudiziari avviati a norma di disposizioni speciali previste dal diritto dell’Unione e adottate nell’ambito della presente direttiva o della regolamentazione prudenziale e della vigilanza sugli enti creditizi e gli istituti finanziari.

    4.   Gli Stati membri assicurano che le autorità di vigilanza competenti che vigilano sugli enti creditizi e gli istituti finanziari cooperino tra loro ai fini della presente direttiva nella misura più ampia possibile, a prescindere dalla loro natura o dal loro status. Tale cooperazione include inoltre la capacità di condurre indagini per conto dell’autorità competente richiedente, entro i limiti dei poteri dell’autorità competente destinataria della richiesta, come pure il successivo scambio delle informazioni acquisite attraverso le indagini.

    5.   Gli Stati membri possono autorizzare le proprie autorità nazionali competenti che vigilano sugli enti creditizi e gli istituti finanziari a concludere accordi di cooperazione per la cooperazione e lo scambio di informazioni riservate con le autorità competenti dei paesi terzi omologhe di tali autorità nazionali competenti. Tali accordi di cooperazione sono conclusi sulla base della reciprocità e solo a condizione che le informazioni comunicate siano soggette a garanzie in ordine all’obbligo del segreto professionale almeno equivalenti a quelle di cui al paragrafo 1. Le informazioni riservate scambiate secondo detti accordi di cooperazione sono utilizzate ai fini dell’espletamento dei compiti di vigilanza di dette autorità.

    Qualora provengano da un altro Stato membro, le informazioni scambiate sono comunicate solo con l’esplicito consenso dell’autorità competente da cui sono state condivise e, se del caso, unicamente ai fini per il quali tale autorità ha fornito il proprio consenso.

    Articolo 57 ter

    1.   In deroga all’articolo 57 bis, paragrafi 1 e 3, e fatto salvo l’articolo 34, paragrafo 2, gli Stati membri possono autorizzare lo scambio di informazioni tra le autorità competenti, nello stesso Stato membro o in un diverso Stato membro, tra le autorità competenti e le autorità investite della vigilanza del settore finanziario e delle persone fisiche o giuridiche che agiscono nell’esercizio della loro attività professionale di cui all’articolo 2, paragrafo 1, punto 3), e le autorità responsabili per legge della vigilanza dei mercati finanziari nell’espletamento delle loro rispettive funzioni di vigilanza.

    Le informazioni ricevute sono in ogni caso soggette a obblighi di segreto professionale almeno equivalenti a quelli di cui all’articolo 57 bis, paragrafo 1.

    2.   In deroga all’articolo 57 bis, paragrafi 1 e 3, gli Stati membri possono autorizzare, in base a disposizioni del diritto nazionale, la comunicazione di alcune informazioni ad altre autorità nazionali responsabili per legge della vigilanza dei mercati finanziari o cui sono attribuite responsabilità nel settore della lotta o delle indagini in materia di riciclaggio di denaro, reati presupposto associati o finanziamento del terrorismo.

    Tuttavia, le informazioni riservate scambiate ai sensi del presente paragrafo del presente articolo sono utilizzate esclusivamente ai fini dell’espletamento delle funzioni giuridiche delle citate autorità. Le persone che hanno accesso a tali informazioni sono soggette a obblighi di segreto professionale almeno equivalenti a quelli di cui all’articolo 57 bis, paragrafo 1.

    3.   Gli Stati membri possono autorizzare la comunicazione di determinate informazioni relative alla vigilanza degli enti creditizi ai fini della conformità alla presente direttiva, a commissioni parlamentari di inchiesta, Corti dei conti e altre entità preposte all’effettuazione di indagini, nel loro Stato membro, alle seguenti condizioni:

    a)

    gli organismi abbiano un mandato preciso a norma del diritto nazionale di indagare o esaminare le azioni delle autorità responsabili della vigilanza su detti enti creditizi o della normativa relativa a detta vigilanza;

    b)

    le informazioni siano strettamente necessarie per l’esercizio del mandato di cui alla lettera a);

    c)

    le persone che hanno accesso alle informazioni siano soggette a obblighi di segreto professionale a norma del diritto nazionale almeno equivalenti a quelli di cui all’articolo 57 bis, paragrafo 1;

    d)

    le informazioni, quando provengono da un altro Stato membro, non siano comunicate se non previo consenso esplicito delle autorità competenti che le hanno fornite e unicamente per i fini da esse autorizzati.»;

    (*9)  Regolamento (UE) n. 1024/2013 del Consiglio, del 15 ottobre 2013, che attribuisce alla Banca centrale europea compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi (GU L 287 del 29.10.2013, pag. 63).”

    (*10)  Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338).»;”

    38)

    all’articolo 58, paragrafo 2, è aggiunto il comma seguente:

    «Gli Stati membri provvedono inoltre affinché, nel caso il cui le rispettive autorità competenti identifichino violazioni che sono soggette a sanzioni penali, ne informino le autorità di contrasto in modo tempestivo.»

    39)

    l’articolo 61 è così modificato:

    a)

    il paragrafo 1 è sostituito dal seguente:

    «1.   Gli Stati membri provvedono affinché le autorità competenti nonché, ove applicabile, gli organi di autoregolamentazione mettano in atto meccanismi efficaci e affidabili per incoraggiare la segnalazione alle autorità competenti e, ove applicabile, agli organi di autoregolamentazione di violazioni potenziali o effettive delle disposizioni nazionali di recepimento della presente direttiva.

    A tal fine mettono a disposizione uno o più canali di comunicazione sicuri per le segnalazioni di cui al primo comma. Tali canali assicurano che l’identità della persona che fornisce le informazioni sia nota solo alle autorità competenti nonché, ove applicabile, agli organi di autoregolamentazione.»;

    b)

    al paragrafo 3 sono aggiunti i commi seguenti:

    «Gli Stati membri garantiscono che le persone, inclusi i lavoratori dipendenti e i rappresentanti del soggetto obbligato, che segnalano un caso sospetto di riciclaggio o di finanziamento del terrorismo, internamente o alla FIU, siano tutelati legalmente da qualsiasi minaccia o atto ostile o di ritorsione, in particolare da atti avversi o discriminatori in ambito lavorativo.

    Gli Stati membri garantiscono che le persone esposte a minacce, atti ostili o atti avversi o discriminatori in ambito lavorativo, per aver segnalato un caso sospetto di riciclaggio o di finanziamento del terrorismo, internamente o alla FIU, abbiano il diritto di presentare denuncia in condizioni di sicurezza presso le rispettive autorità competenti. Fatta salva la riservatezza delle informazioni raccolte dalla FIU, gli Stati membri assicurano inoltre che tali persone godano del diritto a un ricorso effettivo per tutelare i propri diritti ai sensi del presente paragrafo.»;

    40)

    è inserito l’articolo seguente:

    «Articolo 64 bis

    1.   La Commissione è assistita dal comitato in materia di prevenzione del riciclaggio e del finanziamento del terrorismo («comitato») di cui all’articolo 23 del regolamento (UE) 2015/847 del Parlamento europeo e del Consiglio (*11). Esso è un comitato ai sensi del regolamento (UE) n. 182/2011 (*12).

    2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

    (*11)  Regolamento (UE) 2015/847 del Parlamento europeo e del Consiglio, del 20 maggio 2015, riguardante i dati informativi che accompagnano i trasferimenti di fondi e che abroga il regolamento (CE) n. 1781/2006 (GU L 141 del 5.6.2015, pag. 1).”

    (*12)  Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).»;”

    41)

    l’articolo 65 è sostituito dal seguente:

    «Articolo 65

    1.   Entro l’11 gennaio 2022 e successivamente ogni tre anni, la Commissione redige una relazione sull’attuazione della presente direttiva e la presenta al Parlamento europeo e al Consiglio.

    La relazione include in particolare:

    a)

    un resoconto delle misure specifiche adottate e dei meccanismi istituiti a livello di Unione e di Stato membro per prevenire e affrontare problemi emergenti e nuovi sviluppi che rappresentano una minaccia per il sistema finanziario dell’Unione;

    b)

    le azioni di follow-up intraprese a livello di Unione e di Stato membro sulla base delle problematiche sottoposte alla loro attenzione, inclusi i reclami concernenti le disposizioni legislative nazionali che ostacolano le competenze di vigilanza e di indagine delle autorità competenti e degli organi di autoregolamentazione;

    c)

    un resoconto della disponibilità delle informazioni pertinenti per le autorità competenti e le FIU degli Stati membri, ai fini di prevenire l’utilizzo del sistema finanziario a fini di riciclaggio e finanziamento del terrorismo;

    d)

    un resoconto della cooperazione internazionale e dello scambio di informazioni tra le autorità competenti e le FIU;

    e)

    un resoconto delle azioni necessarie da parte della Commissione per verificare che gli Stati membri agiscano in conformità della presente direttiva e per valutare problemi emergenti e nuovi sviluppi negli Stati membri;

    f)

    un’analisi della fattibilità e delle misure specifiche e dei meccanismi a livello di Unione e di Stato membro sulla possibilità di raccogliere e accedere a informazioni relative alla titolarità effettiva delle società e altre entità giuridiche costituite al di fuori dell’Unione e della proporzionalità delle misure di cui all’articolo 20, lettera b);

    g)

    una valutazione sul rispetto dei diritti fondamentali e dei principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea.

    La prima relazione, che dovrà essere pubblicata entro l’11 gennaio 2022, è corredata, se necessario, di adeguate proposte legislative, eventualmente anche per quanto concerne le valute virtuali, il conferimento dei poteri di istituire e mantenere una banca dati centrale in cui siano registrate le identità degli utenti e gli indirizzi dei portafogli e a cui possano accedere le FIU, e i moduli di autodichiarazione per gli utenti delle valute virtuali e per migliorare la cooperazione tra gli uffici per il recupero dei beni degli Stati membri e un’applicazione basata sul rischio delle misure di cui all’articolo 20, lettera b).

    2.   Entro il 1o giugno 2019 la Commissione valuta il quadro per la cooperazione delle FIU con i paesi terzi nonché gli ostacoli e le opportunità per migliorare la cooperazione tra le FIU nell’Unione, inclusa la possibilità di istituire un meccanismo di coordinamento e supporto.

    3.   La Commissione presenta, se del caso, una relazione al Parlamento europeo e al Consiglio per valutare la necessità e la proporzionalità di ridurre la percentuale per l’individuazione della titolarità effettiva delle entità giuridiche, alla luce di eventuali raccomandazioni formulate in tal senso da organizzazioni ed enti di normazione internazionali con competenze nel campo della prevenzione del riciclaggio di denaro e della lotta al finanziamento del terrorismo in seguito a una nuova valutazione, e presenta, se del caso, una nuova proposta legislativa.»;

    42)

    all’articolo 67, il paragrafo 1 è sostituito dal seguente:

    «1.   Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro il 26 giugno 2017.

    Gli Stati membri applicano l’articolo 12, paragrafo 3, a decorrere dal 10 luglio 2020.

    Gli Stati membri istituiscono i registri centrali di cui all’articolo 30 entro il 10 gennaio 2020, il registro di cui all’articolo 31 entro il 10 marzo 2020 e i meccanismi centralizzati automatizzati di cui all’articolo 32 bis entro il 10 settembre 2020.

    La Commissione garantisce l’interconnessione dei registri di cui agli articoli 30 e 31 in cooperazione con gli Stati membri entro il 10 marzo 2021.

    Gli Stati membri comunicano immediatamente alla Commissione il testo delle disposizioni di cui al presente paragrafo.

    Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all’atto della pubblicazione ufficiale. Le modalità di tale riferimento sono stabilite dagli Stati membri.»;

    43)

    all’allegato II, punto 3, la parte introduttiva è sostituita dalla seguente:

    «3)

    fattori di rischio geografici – registrazione, residenza, stabilimento nei paesi seguenti:»;

    44)

    l’allegato III è così modificato:

    a)

    al punto 1 è aggiunta la lettera seguente:

    «g)

    clienti che sono cittadini di paesi terzi i quali presentano domanda di residenza o di cittadinanza nello Stato membro in cambio di trasferimenti in conto capitale, acquisti di immobili o titoli di Stato o investimenti in società nello Stato membro in questione.»;

    b)

    il punto 2 è così modificato:

    i)

    la lettera c) è sostituita dalla seguente:

    «c)

    rapporti d’affari continuativi od operazioni occasionali a distanza senza determinate salvaguardie, come i mezzi di identificazione elettronica, i pertinenti servizi fiduciari quali definiti dal regolamento (UE) n. 910/2014 o altre tecniche di identificazione elettronica o a distanza sicure, riconosciute, approvate o accettate dalle autorità nazionali competenti;»;

    ii)

    è aggiunta la lettera seguente:

    «f)

    operazioni relative a petrolio, armi, metalli preziosi, prodotti del tabacco, artefatti culturali e altri oggetti di importanza archeologica, storica, culturale e religiosa o di raro valore scientifico, nonché avorio e specie protette.».

    Articolo 2

    Modifiche della direttiva 2009/138/CE

    All’articolo 68, paragrafo 1, lettera b) della direttiva 2009/138/CE è aggiunto il punto seguente:

    «iv)

    le autorità responsabili della vigilanza dei soggetti obbligati che figurano nell’elenco di cui all’articolo 2, paragrafo 1, punti 1 e 2, della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (*13) ai fini della conformità a detta direttiva;

    Articolo 3

    Modifiche della direttiva 2013/36/UE

    All’articolo 56, primo comma, della direttiva 2013/36/UE è aggiunta la lettera seguente:

    «g)

    le autorità responsabili della vigilanza dei soggetti obbligati che figurano nell’elenco di cui all’articolo 2, paragrafo 1, punti 1 e 2, della direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio (*14) ai fini della conformità a detta direttiva.

    Articolo 4

    Recepimento

    1.   Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro il 10 gennaio 2020. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

    Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all’atto della pubblicazione ufficiale.

    2.   Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

    Articolo 5

    Entrata in vigore

    La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

    Articolo 6

    Destinatari

    Gli Stati membri sono destinatari della presente direttiva.

    Fatto a Strasburgo, il 30 maggio 2018

    Per il Parlamento europeo

    Il presidente

    A. TAJANI

    Per il Consiglio

    Il presidente

    L. PAVLOVA


    (1)  GU C 459 del 9.12.2016, pag. 3.

    (2)  GU C 34 del 2.2.2017, pag. 121.

    (3)  Posizione del Parlamento europeo del 19 aprile 2018 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 14 maggio 2018.

    (4)  Direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo, che modifica il regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio e che abroga la direttiva 2005/60/CE del Parlamento europeo e del Consiglio e la direttiva 2006/70/CE della Commissione (GU L 141 del 5.6.2015, pag. 73).

    (5)  Direttiva 2009/110/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli istituti di moneta elettronica, che modifica le direttive 2005/60/CE e 2006/48/CE e che abroga la direttiva 2000/46/CE (GU L 267 del 10.10.2009, pag. 7).

    (6)  Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

    (7)  Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73).

    (8)  Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU L 169 del 30.6.2017, pag. 46).

    (9)  Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

    (10)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

    (11)  Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).

    (12)  GU C 369 del 17.12.2011, pag. 14.

    (13)  Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

    (14)  GU C 85 del 18.3.2017, pag. 3.