Sanqto
home blog sanction screening e gdpr — come conciliare la verifica con la protezione dei dati personali
Articolo

Sanction screening e GDPR — come conciliare la verifica con la protezione dei dati personali

Il sanction screening è un trattamento di dati personali — ma ha una base giuridica nel GDPR. Scopri come verificare le controparti nel rispetto dei regolamenti UE.

Pubblicato: · Sanqto Team · 17 min di lettura
sanction-screening gdpr protezione-dati verifica-della-controparte compliance sanzioni-ue on-premise dati-personali
Un dipendente dell'impresa analizza su schermo l'esito della verifica di una controparte — conformità del sanction screening al GDPR e alla protezione dei dati personali
Il sanction screening è un trattamento di dati personali, ma trova la sua base giuridica nell'art. 6, par. 1, lett. c) del GDPR: l'adempimento di un obbligo legale del titolare.

Stato del diritto al: 2026-05-20.

Hai l’obbligo di verificare le tue controparti e i tuoi clienti rispetto alle liste di sanzioni dell’UE — ma allo stesso tempo senti dire che non puoi semplicemente «frugare nei dati altrui». È un timore frequente tra i titolari di imprese al di fuori del settore finanziario. La buona notizia: questi due obblighi — quello sanzionatorio e quello di protezione dei dati personali — non sono in contraddizione. Il Regolamento generale sulla protezione dei dati (GDPR) prevede espressamente la situazione in cui tratti i dati perché lo impone la legge.

In breve

  • Il sanction screening è un trattamento di dati personali, ma ha una base giuridica chiara nel GDPR — art. 6, par. 1, lett. c) (obbligo legale del titolare).
  • Alla base dell’obbligo di screening ci sono i regolamenti UE direttamente applicabili in Italia, tra cui il regolamento (UE) n. 269/20141 e il n. 833/20142 — non ti serve il consenso del soggetto verificato.
  • Raccogli solo i dati necessari all’identificazione — principio di minimizzazione.
  • Hai un obbligo di informativa, ma con eccezioni — quando informare comprometterebbe la finalità del trattamento.
  • Gli esiti della verifica li conservi per il tempo richiesto dalla legge o dal legittimo interesse — di regola non meno della durata del rapporto commerciale.
  • Una soluzione on-premise fa sì che i dati non lascino la tua infrastruttura — il che semplifica la dimostrazione della conformità al GDPR.

Il sanction screening è un trattamento di dati personali?

Sì — senza eccezioni. Quando inserisci il nome, il cognome o il codice identificativo di una controparte o di un cliente in un sistema che verifica le liste di sanzioni, tratti dati personali ai sensi del GDPR. Ciò accade anche quando lo fai una sola volta, in via occasionale, prima di firmare un contratto.

Il GDPR definisce il trattamento in senso ampio: è qualsiasi operazione compiuta su dati personali — raccolta, conservazione, consultazione, confronto. Verificare se Mario Rossi figuri nella lista consolidata dell’UE3 o in altre liste vincolanti4 rientra in questa definizione. Non rileva il fatto che «ti limiti a confrontare» — è comunque un trattamento.

Molte imprese, per questa ragione, rinviano l’introduzione dello screening, temendo di violare il GDPR. È un errore di segno opposto. L’assenza di verifica ti espone alla responsabilità ai sensi dei regolamenti sanzionatori dell’UE — e la sanzione amministrativa pecuniaria per la violazione degli obblighi di congelamento dei fondi arriva fino a 500.000 euro5 (irrogata in via amministrativa, nell’ambito del regime delineato dal decreto legislativo 22 giugno 2007, n. 1096).

Base giuridica del trattamento — l’obbligo legale del titolare

Il GDPR non vieta il trattamento dei dati — richiede soltanto che tu abbia una base giuridica per farlo. Nel caso del sanction screening questa base è l’art. 6, par. 1, lett. c) del GDPR: il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

Da dove proviene questo obbligo legale? Direttamente dai regolamenti del Consiglio dell’Unione europea. I regolamenti UE si applicano direttamente in ogni Stato membro — senza necessità di una distinta legge nazionale che ne recepisca il contenuto7. Il regolamento 269/20141 e il regolamento 833/20142 impongono a ogni soggetto — comprese le imprese non finanziarie — il divieto di realizzare operazioni con le persone e i soggetti colpiti dalle sanzioni. Per rispettare questo divieto devi verificare. Per verificare devi trattare i dati.

In modo analogo opera, nell’ordinamento italiano, il decreto legislativo 22 giugno 2007, n. 109 — recante misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l’attività dei Paesi che minacciano la pace e la sicurezza internazionale8 — che dà attuazione nell’ordinamento interno alle misure di congelamento adottate da ONU e Unione europea, integrando il regime sanzionatorio dell’UE.

Conclusione pratica importante: non devi chiedere alla controparte il consenso al trattamento dei suoi dati ai fini dello screening. Il consenso (art. 6, par. 1, lett. a) del GDPR) è libero e può essere revocato — mentre lo screening deve essere possibile a prescindere dal fatto che la controparte «voglia» essere verificata. La base di cui alla lett. c) elimina questo problema: hai un obbligo legale, quindi hai il diritto di trattare i dati.

Vale anche la pena sapere che il regolamento 833/2014 colpisce non solo le persone fisiche presenti nella lista, ma anche i soggetti in cui una persona della lista detiene oltre il 50% delle quote o esercita su di essi il controllo9. La verifica dei titolari delle quote è un trattamento di dati di ulteriori persone — e la stessa base (art. 6, par. 1, lett. c) la copre.

Il principio di minimizzazione dei dati nello screening

La base giuridica consente di trattare i dati — ma non ti dà il diritto di raccogliere tutto ciò che puoi raccogliere. Il GDPR impone di limitare l’ambito dei dati trattati a quanto necessario per il conseguimento della finalità. Nel caso del sanction screening la finalità è precisa: verificare se una determinata persona o un determinato soggetto figuri nelle liste di sanzioni.

Cosa significa in pratica? Per la verifica ti servono identificativi sufficienti a riconoscere in modo univoco il soggetto:

  • Persone fisiche: nome, cognome, data di nascita e, facoltativamente, Paese di residenza o nazionalità.
  • Persone giuridiche: denominazione completa dell’impresa, Paese di sede, codice identificativo (codice fiscale, partita IVA, numero di iscrizione al Registro delle imprese o equivalente estero).

Non raccogli la storia degli acquisti della controparte, i suoi dati sanitari né alcunché che non serva alla verifica dell’identità. La minimizzazione dei dati non è solo un obbligo — è anche una semplificazione del processo. Meno dati conservi, minore è la superficie di potenziali problemi di sicurezza.

In pratica, un buon sistema di sanction screening impone esso stesso la minimizzazione: accetta determinati campi identificativi, li confronta con la lista e restituisce un esito. Non registra dati di cui non ha bisogno.

L’obbligo di informativa verso controparti e clienti

Il GDPR impone al titolare l’obbligo di informare le persone di cui tratta i dati — anche sulla finalità e sulla base del trattamento. È una regola generale. Il suo adempimento nel contesto dello screening è più semplice di quanto sembri.

Nella maggior parte delle situazioni commerciali l’informazione sullo screening può e dovrebbe confluire nell’informativa privacy inserita nel contratto o nelle condizioni generali. Se la controparte firma con te un contratto, aggiungi un paragrafo che precisi che i dati identificativi sono trattati ai fini della verifica rispetto alle liste di sanzioni sulla base dei regolamenti UE vigenti. È sufficiente.

Vi sono però situazioni in cui un’informativa completa può collidere con la finalità dello screening. Il GDPR prevede una limitazione dell’obbligo di informativa quando la trasmissione dell’informazione rischierebbe di pregiudicare la realizzazione di tale finalità — per esempio quando la controparte è sospettata di collegamenti con un soggetto colpito dalle sanzioni e avvisarla in anticipo potrebbe indurla ad azioni elusive deliberate. La decisione di avvalersi di questa eccezione dovrebbe essere documentata e motivata.

Regola pratica: descrivi lo screening nella tua informativa privacy generale (policy privacy, modello di contratto). Non devi inviare una comunicazione separata a ogni controparte prima di ogni verifica.

Per quanto tempo conservare gli esiti della verifica

Il sanction screening non è un’attività una tantum — l’esito della verifica fa parte della tua documentazione di compliance. Si pone la domanda: per quanto tempo conservare gli esiti?

Nessuna norma sanzionatoria fissa espressamente il periodo di conservazione del registro delle corrispondenze. Si applica qui il principio generale del GDPR: i dati si conservano per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Al tempo stesso la legge ti impone di disporre della documentazione in caso di controllo o di procedimento amministrativo.

In pratica ciò comporta almeno due periodi di riferimento:

  1. Per la durata del rapporto commerciale — durante la collaborazione attiva con la controparte la verifichi periodicamente e conservi gli esiti come prova della diligenza adottata.
  2. Dopo la cessazione del rapporto — conservi la documentazione della verifica per un periodo proporzionato al rischio di responsabilità: in analogia con i termini di prescrizione delle pretese o dei procedimenti amministrativi, periodo che nell’ordinamento italiano è spesso pari a cinque anni.

La decisione concreta sul periodo di conservazione dovrebbe trovare posto nella tua politica sulle sanzioni interna ed essere proporzionata alla dimensione dell’attività e al rischio. Importante: se tieni un registro delle corrispondenze (MATCH o POSSIBLE), questi record hanno un particolare valore probatorio — non cancellarli senza una motivazione ponderata. Quali campi debba contenere il registro e per quanto conservarlo lo trattiamo nell’articolo Registro delle corrispondenze sanzionatorie — come tenerlo.

Maggiori dettagli sul processo di verifica della controparte passo dopo passo li trovi nella nostra guida.

Perché l’on-premise è vantaggioso per la conformità al GDPR

Quando ti avvali di un sistema di screening in cloud, i dati personali delle tue controparti finiscono sui server del fornitore — ossia presso un responsabile del trattamento esterno. Ai sensi del GDPR hai l’obbligo di stipulare con tale soggetto un accordo sul trattamento dei dati (DPA — Data Processing Agreement) e, se i server del fornitore si trovano al di fuori dello SEE (per esempio negli USA), si aggiungono i requisiti relativi al trasferimento dei dati verso Paesi terzi.

La soluzione on-premise ribalta questo schema. Il sistema di screening è installato nella tua infrastruttura — sui tuoi server o su quelli del tuo data center. I dati personali delle controparti non lasciano la tua organizzazione. Non li trasmetti a nessuno. L’unico luogo del loro trattamento sei tu — in qualità di titolare.

Dalla prospettiva del GDPR è una semplificazione significativa:

  • Nessuna necessità di stipulare un DPA con il fornitore dello screening.
  • Nessun rischio di trasferimento dei dati al di fuori dello SEE.
  • Più facile dimostrazione del controllo sui dati in caso di eventuale ispezione dell’autorità di controllo.

Sanqto opera in modello on-premise — il sistema è installato nella rete del cliente e i dati delle controparti e dei clienti restano esclusivamente sotto il suo controllo. L’esito della verifica è restituito in tre stati: MATCH, POSSIBLE o CLEAR, il che consente una classificazione rapida senza esportare dati personali all’esterno.

Se operi nel settore assicurativo o immobiliare — comparti particolarmente sensibili alla protezione dei dati dei clienti — l’architettura on-premise è una soluzione che merita attenzione. Leggi di più sul sanction screening per le imprese assicurative e per le agenzie immobiliari.

Falso positivo e dati personali — prudenza nella classificazione

Il falso positivo è la situazione in cui il sistema restituisce un esito MATCH o POSSIBLE per una persona che non è un soggetto colpito dalle sanzioni — per esempio perché ha lo stesso nome e cognome di qualcuno presente nella lista. È tecnicamente inevitabile in ogni sistema di screening che opera sulla base del confronto testuale.

Il problema è che una classificazione errata porta a trattare i dati di una persona estranea alle sanzioni in un contesto che può danneggiarla — rifiuto di concludere un contratto, blocco di un pagamento, annotazione in un registro. Ciò genera un rischio di violazione dei diritti di tale persona derivanti dal GDPR.

Alcuni principi per ridurre questo rischio:

Non adottare decisioni automatiche unicamente sulla base dell’algoritmo. Il GDPR limita espressamente l’adozione di decisioni basate unicamente sul trattamento automatizzato quando la decisione produce effetti significativi. L’esito POSSIBLE o MATCH dovrebbe essere verificato da una persona — un addetto alla compliance o il soggetto responsabile di questo processo. Come dirimere metodicamente tali casi lo trattiamo nell’articolo sui falsi positivi nel sanction screening.

Documenta la decisione. Quando, dopo l’analisi, stabilisci che la corrispondenza è un falso positivo, annota questa conclusione nel registro. È la tua prova della diligenza adottata — sia nei confronti delle autorità competenti in caso di controllo sanzionatorio, sia nei confronti del Garante per la protezione dei dati personali in caso di reclamo della persona di cui hai trattato i dati.

Conserva i dati di un falso positivo solo per il tempo necessario. Se accerti che l’esito POSSIBLE è un errore e il rapporto commerciale con la controparte prosegue normalmente, valuta di cancellare o anonimizzare il record dopo la conclusione del processo di chiarimento — salvo che le norme impongano la conservazione della documentazione per un periodo determinato.

Scopri di più su come funziona il processo di sanction screening e su come classificare gli esiti della verifica.

FAQ

Devo avere il consenso della controparte per verificarla nella lista di sanzioni?

No. La base del trattamento dei dati nel sanction screening è l’obbligo legale (art. 6, par. 1, lett. c) del GDPR), non il consenso. Il consenso è libero e revocabile — non si presta come base per una verifica che devi effettuare a prescindere dalla volontà della controparte. I regolamenti UE — come il 269/20141 o l'833/20142 — ti vincolano direttamente, senza che tu possa scegliere in proposito.

Cosa indicare nell’informativa privacy sullo screening?

Indica la finalità del trattamento (verifica rispetto alle liste di sanzioni), la base giuridica (adempimento di un obbligo legale derivante dai regolamenti UE), le categorie di dati trattati (dati identificativi: nome, cognome, denominazione dell’impresa, codici identificativi) e il periodo di conservazione. Non devi elencare per nome ogni lista di sanzioni — è sufficiente una formula generale relativa alle «liste di sanzioni vincolanti in forza del diritto dell’UE e del diritto nazionale».

Cosa fare se la controparte chiede la cancellazione dei suoi dati dopo la fine del rapporto?

Hai il diritto di rifiutare — o di differire l’evasione della richiesta — se le norme ti impongono di conservare la documentazione per un periodo determinato. Invoca l’obbligo legale e indica il periodo di conservazione stimato. Se la richiesta di cancellazione pervenisse nel corso di un rapporto commerciale attivo, quando lo screening è ancora necessario, puoi rifiutare, spiegando che il trattamento dei dati è necessario per adempiere un obbligo legale.

Devo notificare il trattamento dei dati al Garante per lo screening?

Nella maggior parte dei casi no — l’obbligo generale di notifica del trattamento all’autorità di controllo è stato soppresso con l’entrata in vigore del GDPR. Devi invece tenere un registro delle attività di trattamento (ai sensi dell’art. 30 del GDPR, con le relative soglie ed eccezioni) e includervi il sanction screening come autonoma attività di trattamento.

L’on-premise mi esonera dagli obblighi GDPR verso i dipendenti che utilizzano il sistema?

No. I dati nel sistema on-premise sono comunque trattati da te — sei tu il titolare. Hai quindi tutti gli obblighi del titolare: l’obbligo di informativa, adeguate misure tecniche e organizzative, la gestione delle richieste di esercizio dei diritti degli interessati. L’on-premise elimina soltanto la necessità di affidare i dati a un fornitore di software esterno.

E se la mia controparte è un’impresa estera? Il GDPR si applica comunque?

Sì, se la sede o la residenza del soggetto trattato si trova nello SEE o se la tua impresa ha sede in Italia. Il GDPR ha un ampio ambito di applicazione territoriale. Allo stesso tempo, l’obbligo sanzionatorio — derivante dai regolamenti UE e dal d.lgs. 109/20078 — riguarda ogni operazione realizzata da un soggetto che opera in Italia, indipendentemente dalla nazionalità della controparte.

Cosa fare concretamente — elenco dei passi

  1. Mappa le attività di trattamento. Aggiungi al registro delle attività di trattamento una nuova voce: «Verifica delle controparti e dei clienti rispetto alle liste di sanzioni UE e nazionali». Indica la finalità, la base giuridica (art. 6, par. 1, lett. c) del GDPR), l’ambito dei dati e il periodo di conservazione previsto.

  2. Aggiorna l’informativa privacy. Aggiungi al modello di contratto, alle condizioni generali o alla policy privacy un paragrafo sul trattamento dei dati identificativi ai fini del sanction screening. È sufficiente nella stragrande maggioranza dei casi.

  3. Limita l’ambito dei dati raccolti. Verifica di quali dati il tuo sistema necessiti effettivamente per la verifica. Elimina i campi che raccogli ma non utilizzi nel processo di screening.

  4. Introduci una procedura di gestione dei falsi positivi. Designa una persona responsabile della verifica manuale degli esiti MATCH e POSSIBLE. Predisponi un modello di nota esplicativa e includilo nel registro delle corrispondenze.

  5. Stabilisci una policy di conservazione degli esiti. Decidi e documenta per quanto tempo conservi gli esiti della verifica — separatamente per gli esiti CLEAR (periodo più breve) e per quelli MATCH e POSSIBLE (più lungo, come documentazione probatoria).

  6. Valuta l’architettura del sistema. Se ti avvali di uno strumento in cloud, assicurati di avere un DPA aggiornato con il fornitore e verifica l’ubicazione dei server. Se i dati sono trattati al di fuori dello SEE — valuta il rischio e i meccanismi di trasferimento.

  7. Collega la politica sulle sanzioni alla policy privacy. Le due policy dovrebbero essere coerenti: le procedure sulle sanzioni descrivono come verifichi, la policy privacy descrive perché e su quale base tratti i dati in occasione di questa verifica.

Come può aiutare Sanqto

Sanqto è un software di sanction screening installato direttamente nella tua infrastruttura — il modello on-premise significa che i dati delle controparti e dei clienti non lasciano la rete della tua impresa. Elimini così la necessità di affidare i dati a un responsabile del trattamento esterno. Il sistema restituisce l’esito in tre stati — MATCH, POSSIBLE o CLEAR — il che ti offre una base chiara per la decisione e per la documentazione nel registro delle corrispondenze. Nel pacchetto di implementazione trovi modelli di documenti pronti: la politica sulle sanzioni, il registro delle corrispondenze e la procedura di gestione dei falsi positivi — pronti da adattare al tuo profilo di attività. Leggi che cos’è l’obbligo di sanction screening e a chi si applica prima di decidere sulla scelta dello strumento.

Basi giuridiche

  • Regolamento (UE) n. 269/2014 del Consiglio, del 17 marzo 2014, concernente misure restrittive relative ad azioni che compromettono o minacciano l’integrità territoriale, la sovranità e l’indipendenza dell’Ucraina — CELEX 32014R0269
  • Regolamento (UE) n. 833/2014 del Consiglio, del 31 luglio 2014, concernente misure restrittive in considerazione delle azioni della Russia che destabilizzano la situazione in Ucraina — CELEX 32014R0833
  • Decreto legislativo 22 giugno 2007, n. 109 — Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l’attività dei Paesi che minacciano la pace e la sicurezza internazionale — normattiva
  • Regolamento (CE) n. 765/2006 del Consiglio, del 18 maggio 2006, concernente misure restrittive nei confronti della Bielorussia — CELEX 32006R0765
  • Lista consolidata dell’UE (Consolidated List) — gestita dalla Commissione europea (DG FISMA) — finance.ec.europa.eu
  • Comitato di Sicurezza Finanziaria (CSF) presso il MEF — coordina l’attuazione in Italia delle misure di congelamento ONU/UE/nazionali — dt.mef.gov.it
  • Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR / RGPD) — CELEX 32016R0679

Note

Informazione, non consulenza legale. Il presente articolo ha finalità esclusivamente informative e non costituisce consulenza legale. La valutazione giuridica del singolo caso va effettuata con un avvocato esperto in diritto delle sanzioni internazionali e del commercio estero. Stato del diritto: 2026-05-20.

  1. Regolamento (UE) n. 269/2014 del Consiglio, del 17 marzo 2014, concernente misure restrittive relative ad azioni che compromettono o minacciano l’integrità territoriale, la sovranità e l’indipendenza dell’Ucraina — congelamento di fondi e risorse economiche e divieto di metterli a disposizione (art. 2); elenco in Allegato I. — EUR-Lex CELEX:32014R0269 ↩︎ ↩︎ ↩︎

  2. Regolamento (UE) n. 833/2014 del Consiglio, del 31 luglio 2014, concernente misure restrittive in considerazione delle azioni della Russia che destabilizzano la situazione in Ucraina — sanzioni settoriali e commerciali. — EUR-Lex CELEX:32014R0833; DG FISMA: finance.ec.europa.eu ↩︎ ↩︎ ↩︎

  3. Lista consolidata dell’UE gestita dalla Commissione europea (DG FISMA — Direzione generale della Stabilità finanziaria, dei servizi finanziari e dell’Unione dei mercati dei capitali) — finance.ec.europa.eu/eu-and-world/sanctions-restrictive-measures_en, webgate.ec.europa.eu/fsd/fsf ↩︎

  4. In Italia non esiste una lista sanzionatoria nazionale autonoma: si applicano la lista consolidata UE (reg. 269/2014, 833/2014, 765/2006), la lista ONU e, per i punti di contatto con gli USA, la OFAC SDN List. L’attuazione delle misure è coordinata dal Comitato di Sicurezza Finanziaria (CSF) presso il MEF. — Commissione UE — lista consolidata, normattiva — d.lgs. 109/2007 ↩︎

  5. Decreto legislativo 22 giugno 2007, n. 109, art. 13 — «Salvo che il fatto costituisca reato, la violazione delle disposizioni di cui all’articolo 5, commi 1, 2, 4 e 5 è punita con una sanzione amministrativa pecuniaria da 5.000 euro a 500.000 euro.» — normattiva art. 13, MEF/DT testo consolidato ↩︎

  6. Decreto legislativo 22 giugno 2007, n. 109, artt. 3 e 5 — istituisce presso il Ministero dell’Economia e delle Finanze il Comitato di Sicurezza Finanziaria (CSF), presieduto dal Direttore generale del Tesoro, per l’attuazione delle misure di congelamento (art. 3), e disciplina gli obblighi di congelamento dei fondi e delle risorse economiche (art. 5); i controlli economico-finanziari sono condotti anche dalla Guardia di Finanza e, alla frontiera, dall’Agenzia delle Dogane e dei Monopoli (ADM). — normattiva, MEF/DT ↩︎

  7. I regolamenti UE sono obbligatori in tutti i loro elementi e direttamente applicabili in ciascuno degli Stati membri (TFUE art. 288), senza necessità di recepimento nel diritto nazionale. — EUR-Lex, sintesi sulla nozione di regolamento come atto giuridico dell’UE: «Un regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.» ↩︎

  8. Decreto legislativo 22 giugno 2007, n. 109 — Misure per prevenire, contrastare e reprimere il finanziamento del terrorismo e l’attività dei Paesi che minacciano la pace e la sicurezza internazionale; atto cardine del congelamento di fondi e risorse economiche in Italia, in attuazione delle misure adottate da ONU e Unione europea. — normattiva ↩︎ ↩︎

  9. Regola della proprietà e del controllo (ownership/control rule) — un soggetto è considerato «posseduto» da una persona colpita dalle sanzioni se questa detiene oltre il 50% dei suoi diritti di proprietà o ne esercita il controllo. Fonte: DG FISMA FAQ. — finance.ec.europa.eu ↩︎

Tutti gli articoli
Vedi la demo