Il Garante Privacy ha espresso parere favorevole al progetto di istituzione del database per l’antiriciclaggio, ossia della piattaforma informatica centralizzata che punta a prevenire il riciclaggio di denaro frutto dei proventi di attività criminose e di finanziamento del terrorismo.
DATABASE CENTRALIZZATO E DISTRIBUITO
In informatica esistono diversi modi in cui i dati possono essere archiviati e gestiti:
- il database centralizzato è un database (DB) in cui i dati vengono archiviati e gestiti in un’unica posizione. Questo è l’approccio tradizionale per l’archiviazione dei dati nelle grandi imprese. In un database centralizzato, tutti i dati di un’organizzazione sono archiviati in un unico luogo, come un computer mainframe o un server. Gli utenti in postazioni remote accedono ai dati tramite la Wide Area Network (WAN) utilizzando i programmi applicativi forniti per accedere ai dati. Il database centralizzato (il mainframe o il server) dovrebbe essere in grado di soddisfare tutte le richieste in arrivo al sistema; quindi, potrebbe facilmente diventare un collo di bottiglia. Ma poiché tutti i dati risiedono in un unico posto, è più facile mantenere e eseguire il backup dei dati. Inoltre, è più facile mantenere l’integrità dei dati, perché una volta che i dati sono archiviati in un database centralizzato, i dati obsoleti non sono più disponibili in altri luoghi.
- il database distribuito è un database in cui i dati vengono archiviati in dispositivi di archiviazione che non si trovano nella stessa posizione fisica ma il database è controllato utilizzando un DBMS (Database Management System) centrale. In un database distribuito, i dati vengono archiviati in dispositivi di archiviazione che si trovano in posizioni fisiche diverse. Non sono collegati a una CPU comune ma il database è controllato da un DBMS centrale. Gli utenti accedono ai dati in un database distribuito accedendo alla WAN. Per mantenere aggiornato un database distribuito, utilizza i processi di replica e duplicazione. Il processo di replica identifica le modifiche nel database distribuito e le applica per assicurarsi che tutti i database distribuiti abbiano lo stesso aspetto. A seconda del numero di database distribuiti, questo processo potrebbe diventare molto complesso e richiedere molto tempo. Il processo di duplicazione identifica un database come database master e duplica quel database.
DIFFERENZE FRA IL DATABASE CENTRALIZZATO E QUELLO DISTRIBUITO
Di seguito, esaminiamo le principali differenze tra un database distribuito e un database centralizzato.
Mentre un database centralizzato conserva i suoi dati in dispositivi di archiviazione che si trovano in un’unica posizione collegata a una singola CPU, un sistema di database distribuito conserva i suoi dati in dispositivi di archiviazione che si trovano possibilmente in posizioni geografiche diverse e gestiti utilizzando un DBMS centrale.
Un database centralizzato è più facile da mantenere e mantenere aggiornato poiché tutti i dati sono archiviati in un’unica posizione.
Inoltre, è più facile mantenere l’integrità dei dati ed evitare il requisito della duplicazione dei dati.
Mentre tutte le richieste che arrivano ai dati di accesso vengono elaborate da una singola entità come un singolo mainframe, e quindi potrebbe facilmente diventare un collo di bottiglia.
D’altro canto, con i database distribuiti, questo collo di bottiglia può essere evitato poiché i database sono parallelizzati rendendo il carico bilanciato tra diversi server.
Infine, mantenere i dati aggiornati nel sistema di database distribuito richiede lavoro aggiuntivo, quindi aumenta i costi di manutenzione e complessità e richiede anche software aggiuntivo per questo scopo.
Inoltre, la progettazione di database per un database distribuito è più complessa della stessa per un database centralizzato.
IL PARERE DEL GARANTE DELLA PRIVACY
Parere favorevole del Garante per la privacy su una norma volta all’istituzione di una banca dati informatica centralizzata con finalità di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Ne dà notizia il Garante per la protezione dei dati personali nella sua ultima newsletter.
“Il database sarà alimentato dagli atti, utili ai fini delle valutazioni del rischio di riciclaggio, inviati dai professionisti (commercialisti, avvocati, notai, consulenti del lavoro) nell’esercizio della propria attività”.
Secondo la Relazione tecnica che accompagna lo schema di articolato (che modifica il dlgs 231/2007), sottoposto dal ministero dell’Economia e delle finanze al Garante privacy, la banca dati costituirebbe “un patrimonio informativo di rilievo” per le attività di analisi e indagini delle autorità competenti, ossia Ministero dell’Economia, l’Unità di informazione finanziaria (Uif) della Banca d’Italia, polizia valutaria della Guardia di finanza, Direzione investigativa antimafia.
Il sistema è in grado di generare un avviso nel caso di operazioni potenzialmente rischiose.
Su questo punto il Garante Privacy ha chiesto al ministero di demandare a una norma almeno di natura regolamentare la descrizione delle modalità di elaborazione dell’alert e la previsione delle relative garanzie per gli interessati.
Lo schema recepisce molte delle indicazioni fornite dall’Autorità nel corso delle interlocuzioni con il Mef, come la limitazione dell’oggetto del database ai soli dati per i quali già vige, in capo ai soggetti obbligati, una prescrizione di conservazione decennale, e il carattere tassativo dell’elenco dei soggetti legittimati all’accesso.
Per quanto riguarda la generazione dell’avviso, che prevede la possibilità di utilizzare sistemi automatizzati, il Garante ha chiesto al Ministero di demandare a una norma almeno di natura regolamentare la descrizione delle modalità di elaborazione dell’alert e la previsione delle relative garanzie per gli interessati.
Infatti, l’avviso potrebbe sottendere un trattamento di dati personali, potenzialmente anche appartenenti a categorie particolari o inerenti condanne penali o reati, a contenuto altamente profilativo.
IL NOSTRO PUNTO DI VISTA
Come abbiamo scritto precedentemente l’utilizzo dei database centralizzati comporta diversi vantaggi e svantaggi.
Un vantaggio del database centralizzato è la possibilità di accedere a tutte le informazioni in un’unica posizione.
Di conseguenza, le ricerche del database possono essere veloci perché il motore di ricerca non ha bisogno di controllare più posizioni per restituire risultati.
Infine, la società non dovrà bilanciare le esigenze di un database distribuito.
Un database centralizzato può anche essere più facile da proteggere fisicamente:
- può essere racchiuso in vari modi per proteggerlo da furti, sabotaggi, incendi e altri problemi;
- è anche possibile impostare un sistema di sicurezza del computer estremamente robusto per impedire accessi non autorizzati.
Il nostro parere, che risulta essere conforme a quello della maggior parte della dottrina, è questo tipo di database può essere usato anche da computer governativi, che contengono informazioni ad alta sicurezza.
Tutto ciò che abbiamo esposto, ci porta a consigliare l’uso dei database centralizzati anche per le imprese di medie e grandi dimensioni, al fine di riuscire a gestire nel migliore dei modi i dati archiviati.
E tu cosa pensi a riguardo? Scrivilo nei commenti oppure, se hai necessità di ulteriori informazioni o di un aiuto per il rispetto della compliance al GDPR, scrivici all’indirizzo info@abinnovationconsulting.com.