IperTesto Unico IperTesto Unico

Ricerca norme

Inserire alcuni estremi del documento e fare click su cerca. Verranno forniti un massimo di 50 risultati.

Numero

Natura

Data

Inserire i termini da cercare e fare click su cerca. Verranno forniti un massimo di 50 risultati.

Non hai i permessi per visualizzare questo contenuto

Decreto legge 18.10.2023, n. 145

Misure urgenti in materia economica e fiscale, in favore degli enti territoriali, a tutela del lavoro e per esigenze indifferibili. (G.U. 18.10.2023, n. 244)

Capo I - Misure in materia di pensioni, rinnovo dei contratti pubblici e disposizioni fiscali

Art. 2 bis - Modifiche al decreto legislativo 21 novembre 2007, n. 231

1. Al capo II del titolo II del decreto legislativo 21 novembre 2007, n. 231, dopo l'articolo 34 è aggiunto il seguente:

«Art. 34-bis. - (Banche dati informatiche presso gli organismi di autoregolamentazione) - 1. Al fine di prevenire eventuali attività di riciclaggio o di finanziamento del terrorismo, gli organismi di autoregolamentazione possono istituire, previo parere favorevole del Garante per la protezione dei dati personali, una banca dati informatica centralizzata dei documenti, dei dati e delle informazioni acquisiti dai professionisti nello svolgimento della propria attività professionale che questi sono tenuti a conservare ai sensi dell'articolo 31. La banca dati è istituita e gestita in proprio dagli organismi di autoregolamentazione, che determinano quali documenti, dati e informazioni di cui all'articolo 31 devono essere trasmessi alla banca dati informatica.

2. I professionisti trasmettono senza ritardo alla banca dati i documenti, i dati e le informazioni di cui al comma 1.

3. Al fine di acquisire informazioni rilevanti per le valutazioni di cui all'articolo 35, prima di prestare la propria opera professionale o compiere le operazioni inerenti allo svolgimento della propria attività professionale, ovvero prima dell'invio della segnalazione di operazione sospetta nell'ipotesi prevista dall'articolo 35, comma 2, i professionisti possono trasmettere alla banca dati, per via telematica, i documenti, i dati e le informazioni acquisiti nell'adempimento degli obblighi di adeguata verifica della clientela di cui al presente decreto.

4. Nei casi di cui al comma 3, ovvero a seguito dell'invio di cui al comma 2, qualora dalla banca dati, tenuto conto anche degli indicatori e schemi di anomalia elaborati dalla UIF ai sensi del presente decreto, emergano operatività anomale basate sui parametri quantitativi e qualitativi di cui al comma 5, il professionista riceve un avviso a supporto delle valutazioni di cui all'articolo 35. In ogni caso, resta ferma la responsabilità del professionista per l'adempimento dell'obbligo di segnalazione delle operazioni sospette, anche nel caso di mancata ricezione dell'avviso.

5. L'avviso è generato dalla banca dati sulla base di elementi informativi associati a una determinata persona fisica o giuridica quali la tipologia di cliente, la capacità economica, la situazione economico-patrimoniale, l'attività svolta, la residenza o sede in Paesi terzi ad alto rischio secondo i criteri del presente decreto, le caratteristiche, l'importo, la frequenza e la natura delle prestazioni professionali rese o delle operazioni eseguite nonché il loro collegamento o frazionamento. Al fine di elaborare l'avviso, l'organismo di autoregolamentazione può avvalersi di sistemi automatizzati la cui logica algoritmica sia periodicamente verificata, con cadenza almeno biennale, allo scopo di minimizzare il rischio di errori, distorsioni o discriminazioni.

6. La trasmissione telematica alla banca dati effettuata dal professionista ai sensi dei commi 2 e 3 non sostituisce gli obblighi di cui agli articoli 31 e 32.

7. I documenti, i dati e le informazioni contenuti nella banca dati sono valutati dagli organismi di autoregolamentazione ai fini dell'informativa alla UIF ai sensi dell'articolo 11, comma 4, ultimo periodo.

8. Gli organismi di autoregolamentazione non possono utilizzare i documenti, i dati e le informazioni contenuti nella banca dati per finalità diverse da quelle di cui al presente articolo.

9. Il Ministero dell'economia e delle finanze, la UIF, il Nucleo speciale di polizia valutaria della Guardia di finanza, la Direzione investigativa antimafia e la Direzione nazionale antimafia e antiterrorismo accedono alla banca dati per lo svolgimento delle rispettive attribuzioni istituzionali come individuate dal presente decreto. L'accesso alla medesima banca dati non è consentito ai singoli professionisti.

10. Le modalità tecniche e operative dell'accesso di cui al comma 9 sono disciplinate con apposita convenzione sottoscritta da ciascuna autorità di cui al medesimo comma 9 con l'organismo di autoregolamentazione, su conforme parere del Garante per la protezione dei dati personali. Tali convenzioni regolano le modalità uniformi di attivazione del collegamento via web o tramite cooperazione applicativa alla banca dati dell'organismo di autoregolamentazione, nonché le modalità di identificazione, modifica e revoca da parte dell'autorità dei propri operatori abilitati all'accesso, stabilendo le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui al comma 1. La banca dati consente, attraverso gli strumenti definiti dal codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, la verifica dell'identità digitale dei soggetti abilitati all'accesso.

11. I documenti, i dati e le informazioni contenuti nella banca dati ai sensi dei commi 1 e 3 sono trattati per le finalità di cui al presente articolo e secondo quanto in esso previsto, nel rispetto del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e della vigente normativa nazionale in materia di protezione dei dati personali, restando escluso ogni ulteriore utilizzo.

12. Titolare del trattamento dei dati personali, ai sensi e per gli effetti della normativa vigente, è l'organismo di autoregolamentazione che istituisce la banca dati e provvede a detto trattamento secondo quanto previsto al comma 11. L'organismo di autoregolamentazione può anche avvalersi di apposite strutture decentralizzate, in qualità di responsabili del trattamento ai sensi dell'articolo 28 del regolamento (UE) 2016/679.

13. L'organismo di autoregolamentazione adotta, prima del trattamento e previo parere favorevole del Garante per la protezione dei dati personali, misure tecniche e organizzative adeguate al rischio dirette a:

a) garantire l'integrità e la non alterabilità dei documenti, dei dati e delle informazioni contenuti nella banca dati, la riservatezza dei medesimi nel rispetto della normativa in materia di protezione dei dati personali, anche mediante l'utilizzo di tecniche di crittografia, nonché la tracciabilità degli accessi, secondo criteri selettivi, da parte dei soli soggetti autorizzati dagli organismi di autoregolamentazione, anche in base alle convenzioni di cui al comma 10;

b) individuare le specifiche modalità tecniche di elaborazione, trasmissione e comunicazione al professionista dell'avviso generato dalla banca dati nei limiti di quanto stabilito dal comma 5.

14. Prima del trattamento, l'organismo di autoregolamentazione effettua la valutazione di impatto sulla protezione dei dati personali e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali. Nella valutazione di impatto sono indicate, tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio nonché a tutela dei diritti e delle libertà degli interessati. Nella valutazione di impatto sono altresì disciplinati i tempi e le modalità di cancellazione dei dati.

15. I documenti, i dati e le informazioni acquisiti ai sensi dei commi 1 e 3 sono conservati nella banca dati per un periodo di dieci anni.

16. In relazione al trattamento dei dati personali contenuti nella banca dati informatica, i diritti dell'interessato di cui agli articoli da 15 a 18 e da 20 a 22 del regolamento (UE) 2016/679 si esercitano nei limiti previsti dall'articolo 2-undecies del Codice in materia di protezione dei dati personali.

17. Nel rispetto di quanto previsto dal presente articolo, l'organismo di autoregolamentazione che istituisce la banca dati adotta, ai sensi dell'articolo 11, comma 2, regole tecniche con le quali sono individuati:

a) i documenti, i dati e le informazioni di cui all'articolo 31 che ai sensi del comma 1 del presente articolo devono essere trasmessi alla banca dati informatica;

b) le modalità tecniche di alimentazione della medesima banca dati da parte dei professionisti;

c) le modalità tecniche di controllo, da parte dell'organismo di autoregolamentazione, riguardo alla corretta trasmissione dei documenti, dei dati e delle informazioni di cui ai commi 1 e 3 da parte dei professionisti, al fine del corretto funzionamento della banca dati.

18. L'organismo di autoregolamentazione promuove e controlla l'osservanza degli obblighi previsti dal presente articolo da parte dei professionisti. In caso di violazioni gravi, ripetute o sistematiche ovvero plurime si applica l'articolo 11, comma 3».

2. All'articolo 37 del decreto legislativo 21 novembre 2007, n. 231, dopo il comma 2 è inserito il seguente:

«2-bis. Fermo restando quanto previsto ai commi 1 e 2 del presente articolo, i professionisti, ai fini della valutazione delle operazioni ai sensi dell'articolo 35, possono avvalersi della banca dati informatica centralizzata di cui all'articolo 34-bis istituita presso il proprio organismo di autoregolamentazione, per poter ricevere, ricorrendone i presupposti, l'avviso di cui al comma 4 del medesimo articolo 34-bis. Resta ferma in ogni caso la responsabilità del professionista per l'inadempimento dell'obbligo di segnalazione delle operazioni sospette».