| Garante per la protezione dei dati personali Nellariunione odierna, in presenza del prof. FrancescoPizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott.Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli,segretario generale; Vistele richieste di parere dell'Agenzia delle entrate del 16 e del 20 marzo 2006,relative ai seguenti schemi di provvedimento: comunicazioni all'anagrafetributaria relative ai contratti di somministrazione di energiaelettrica, di servizi idrici e del gas (art. 6, comma 1, lettera Vistigli artt. 20, comma 2, e 154, commi4 e 5, del Codice in materia di protezione dei dati personali ( Vistala documentazione in atti; Relatoreil dott. Giuseppe Fortunato; L'Agenziadelle entrate ha chiesto il parere del Garante in ordine aquattro schemi di provvedimento del suo direttore attuativi del Iprimi due schemi in esame disciplinano, rispettivamente, le modalitàe i termini per la comunicazione telematica all'anagrafe tributaria diinformazioni relative ai contratti di somministrazione di energia elettrica, diservizi idrici e del gas, nonché delle denunce di inizio attività presentateallo sportello unico comunale per l'edilizia, relativamente ai soggettidichiaranti, agli esecutori e ai progettisti dell'opera. Ilterzo schema di provvedimento à volto ad uniformare modalitàe termini di comunicazione di dati all'anagrafe tributaria. In particolare,tale schema impone di utilizzare esclusivamente la via telematica per tutte letrasmissioni di dati, estendendola a comunicazioni previste da precedentidecreti ministeriali, di seguito elencati, sui quali (come rilevatonel provvedimento di questa Autoritàdel 25 maggio 2005) non era stato richiesto il parere del Garante: *trasmissionedei dati relativi ai pagamenti effettuati a mezzobonifico per interventi di recupero del patrimonio edilizio ai fini delladetrazione di cui all'art. 1, comma 1, della legge 27 dicembre 1997, n. 449,identificativi del mittente, dei beneficiari della detrazione e dei destinataridei pagamenti (d. m. 18 febbraio 1998,n. 41, come modificato dal decreto ministeriale 9 maggio 2002,n. 153); *comunicazionida parte delle pubbliche amministrazioni e degli enti pubblici, degli estremidei contratti di appalto, di somministrazione e ditrasporto, conclusi mediante scrittura privata e non registrati (d. *comunicazionidegli atti di concessione, di autorizzazione e licenzaadottati da uffici pubblici, relativamente ai soggetti beneficiari (d. *comunicazionidelle domande di iscrizione, variazione ecancellazione negli albi, registri ed elenchi tenuti dagli ordiniprofessionali, enti ed uffici preposti (d.m. 17settembre 1999); *comunicazionida parte degli uffici marittimi e degli uffici della motorizzazione civile,sezione nautica, di dati e di notizie relativi alleiscrizioni ed alle note di trascrizione di atti costitutivi, traslativi oestintivi della proprietà o di altri diritti reali di godimento, nonché alledichiarazioni di armatore, concernenti navi, galleggianti ed unità da diporto,o quote di essi (d.m. 21 ottobre 1999); *comunicazionida parte del registro aeronautico nazionale e dei direttori dellecircoscrizioni di aeroporto, dei dati e delle notizierelativi alle iscrizioni, alle variazioni e cancellazioni (d.m. 21 ottobre 1999); *comunicazionidegli elenchi delle persone fisiche che hanno corrisposto interessi passivi,premi di assicurazione e contributi previdenzialipredisposti da soggetti che erogano mutui agrari e fondiari, impreseassicuratrici ed enti previdenziali (d.m. 27 gennaio2000); *comunicazionida parte di aziende, istituti, enti e società, deidati e delle notizie riguardanti i contratti di assicurazione, ad esclusione diquelli relativi alla responsabilità civile ed all'assistenza e garanzieaccessorie, relativamente ai soggetti contraenti (d.m.27 giugno 2000); *comunicazionida parte di aziende, istituti, enti e società, deidati e delle notizie riguardanti i contratti di somministrazione di energiaelettrica, relativamente agli utenti (d.m. 27 giugno2000). Ilpredetto schema di provvedimento è volto, altresì, ad integrare e convalidareil provvedimento del direttore dell'Agenzia delleentrate del 10 marzo 2005, adottato anch'esso senza consultare il Garante. Infine,l'ultimo schema in esame, intende disciplinare le modalitàtecniche di accesso da parte dei comuni ai dati delle dichiarazioni dei redditie di trasmissione in via telematica da parte dell'Agenzia delle entrate delledichiarazioni relative ai contribuenti in essi residenti. IlGarante rileva che i quattro schemi di provvedimento pongono analoghe problematicheoggettive e soggettive, anche dal punto di vista della sicurezza e del rispettodei principi di necessità, pertinenza, non eccedenza eproporzionalità del trattamento dei dati, che rendono opportuna una trattazioneunitaria degli stessi in un unico parere. 1.I principi di necessità e di proporzionalità QuestaAutorità osserva che non vi è alcuna preclusione di fondoall'utilizzo esclusivo delle modalità telematiche per la trasmissione dei datiall'anagrafe tributaria: modalità che, oltre ad essere previste dalla legge,qualora siano configurate in termini adeguati, possono offrire maggioriopportunità in ordine alla qualità ed alla sicurezza dei dati. Non è parimentiin discussione l'esigenza di disporre di ogninecessaria idonea informazione per l'azione di verifica e contrastodell'evasione fiscale. Laprevisione esclusiva di tali modalità, tuttavia, ponein misura pià accentuata l'obbligo di rispettare il principio di necessità e diproporzionalità nel trattamento dei dati personali, che per legge si applicaanche alle attività svolte dall'Agenzia delle entrate e presso l'anagrafetributaria (artt. 3 e 11 del Codice). Vavalutata positivamente la circostanza che negli schemi in esame si precisa lavolontà di conformarsi a tali principi del Codice. Sirileva, tuttavia, che la sistematica trasmissione di informazioniprevista dai provvedimenti in esame, non risulta configurata nell'osservanzadel principio di necessità che impone al titolare del trattamento dipredisporre i sistemi informativi e i programmi informatici riducendo al minimol'utilizzazione di dati personali in modo da escluderne il trattamento quandole finalità perseguite nei singoli casi possono essere realizzate medianteopportune modalità che permettano di identificare l'interessato solo in caso dinecessità. Inoltre, le singole categorie di informazionie la quantità dei dati che si intendono trattare devono essere pertinenti, noneccedenti e proporzionate rispetto alle finalità perseguite. Unsistema telematico rispettoso dei predetti principiin materia di protezione dei dati personali deve consentire un agevole accessodiretto ai dati, evitando duplicazioni di banche di dati, attraverso unaconsultazione interattiva e simultanea delle informazioni necessarie che non Consideril'Agenzia, nel dare attuazione alle norme in questione, quali Perquanto riguarda lo schema di provvedimento relativo allatrasmissione delle dichiarazioni dei redditi ai comuni, in particolare, sievidenzia che, allo stato degli elementi forniti, non risulta comprovata lanecessità di una trasmissione annuale delle dichiarazioni dei redditi aglistessi, in luogo dell'accesso puntuale consentito loro, in via telematica,attraverso il servizio Siatel (Sistema diinterscambio anagrafe tributaria ed enti locali). Conriferimento, poi, alle informazioni pià analitiche successivamentetrasmissibili ai comuni, l'eventuale trattamento di dati sensibili e giudiziariche potrebbero emergere dalle dichiarazioni dei redditi e potrebbero esseretrasmessi solo in caso di indispensabilità, dovrà essere comunque individuatoin un atto di natura regolamentare da sottoporre in separata sede al parere delGarante (artt. 20 e 21 del Codice). Nell'ambitodel predetto provvedimento, inoltre, non risultanodefiniti i ruoli e le responsabilità dell'Agenzia delle entrate e dei comunirispetto al trattamento dei dati personali, ciò anche con riferimento allaprevista successiva partecipazione di questi ultimi all'accertamento fiscale. Consideratol'ambito tematico demandato dalla legge agli schemi inesame, si segnala da ultimo l'esigenza di affrontare in altra sede la questionedegli effetti realizzati in termini di trattamento dei dati raccolti inattuazione degli atti non sottoposti a suo tempo al parere del Garante (art.11, comma 2, del Codice). 2.La sicurezza Sottoil profilo della sicurezza nella trasmissione delle informazioni, i primi treschemi in esame prevedono l'interazione degli enti obbligati al conferimentodei dati all'anagrafe tributaria tramite due canali di accesso:la rete Entratel, posta in esercizio dall'Agenzia, ela rete pubblica Internet. Dalpunto di vista funzionale le modalità di accesso e, inparticolare, di autenticazione informatica, sarebbero tuttavia comuni ai duecanali. Nelcaso della rete Entratel il collegamento degli ential sito riservato tramite cui procedere alla trasmissione delle informazioniavverrebbe con protocollo vpn, aggiungendo quindi unlivello di sicurezza alla cifratura della sessione Laprocedura di autenticazione degli incaricati sibaserebbe su credenziali composte da un codice identificativo alfanumerico diotto caratteri e da una password, modificabile secondo quanto previsto daldisciplinare tecnico sulle misure minime di sicurezza di cui all'Allegato B) alCodice. Una volta ottenuto l'accesso al sito riservatosarebbe possibile svolgere determinate operazioni mentre per altre, relative alcosiddetto cassetto fiscale, occorrerebbe utilizzare un ulteriore pin (personalidentification code) riservato, in possesso diciascun utente. L'accessoal sistema dell'Agenzia delle entrate da parte deisoggetti che conferiscono i dati sarebbe finalizzato esclusivamente allatrasmissione delle informazioni di propria pertinenza, con funzioni di corredoper la verifica della trasmissione e l'ottenimento delle relative ricevute. Ilmeccanismo di autenticazione non risulta in contrastocon le misure minime di sicurezza di cui all'art. 34 del Codice e alpredetto disciplinare tecnico. Rispettoalla modalità di accesso Entratel,l'Agenzia deve, però, precisare che le credenziali di autenticazione devonoessere esclusivamente personali per ciascun incaricato del trattamento, Perquanto riguarda poi lo schema di provvedimento relativo allatrasmissione delle dichiarazioni dei redditi ai comuni, l'Agenzia haindividuato il servizio Siatel quale mezzo tecnico ditrasmissione dei dati. Tuttavia, ancorchè tale sistema palesi specifici motivi Inparticolare, il meccanismo di autenticazione degliincaricati di trattamento, pur essendo in linea con le misure"minime", andrebbe modificato ed integrato con misure idonee airrobustire la procedura di autenticazione e a delimitare nel tempo e nellalocalizzazione sulla rete la possibilità di accesso alla banca dati dell'anagrafetributaria. Talimisure, se già operanti, devono essere esplicitate o adottate entro unragionevole lasso di tempo al fine di assicurare piàelevati livelli di sicurezza. Schematicamente,per il profilo di sicurezza, andrebbero quindi predisposti strumenti eprocedure per: I)irrobustire la procedura di autenticazione tramitel'adozione di componenti non riservate delle credenziali, non facilmentericonducibili a soggetti legittimamente incaricati: l'utilizzo del codicefiscale, pur tecnicamente corretto, può prestarsi alla realizzazione diattacchi basati su social engineering, anche condottidall'interno degli enti coinvolti; II)controllare che gli accessi all'anagrafe tributaria abbiano origineesclusivamente dalle numerazioni di rete Ip di pertinenzadi ciascun ente autorizzato, implementando meccanismi di accesscontrol list (acl) con strumenti usualmenteutilizzati per gestire la sicurezza perimetrale della propria rete; III)garantire che gli accessi da parte dei legittimi incaricati avvenganoesclusivamente nell'ambito di intervalli temporali odi data predeterminati, definiti sulla base delle esigenze d'ufficio; IV)assicurare infine che gli accessi avvengano soltanto tramite l'uso dipostazioni di lavoro appartenenti alla rete Ipdell'ente autorizzato o/e dotate di certificazione digitale che identifichiunivocamente la postazione di lavoro nei confronti dell'erogatore A)relativamente ai primi tre schemi di provvedimento,con riferimento: I) all'esigenzadi considerare quali modalità di comunicazione sianoadeguate rispetto ai principi di necessità e proporzionalità, evitando, ovepossibile, duplicazioni se non nei soli casi realmente necessari, avvalendosianche di meccanismi di consultazione in tempo reale e di acquisizionetelematica dei soli flussi di dati, anche per categorie di informazioni o diinteressati; II) allanecessità di precisare che le credenziali di autenticazionesiano esclusivamente personali per ciascun incaricato di trattamento, anzichèdi gruppo; B)relativamente allo schema di provvedimento concernentela trasmissione delle dichiarazioni dei redditi ai comuni, con riferimento: II) allanecessità di prevedere strumenti e procedure per: 1.irrobustirela procedura di autenticazione tramite l'adozione dicomponenti non riservate delle credenziali, non facilmente riconducibili asoggetti legittimamente incaricati; 2.controllareche gli accessi all'anagrafe tributaria abbiano origine esclusivamente dallenumerazioni di rete Ip di pertinenza di ciascun enteautorizzato, implementando meccanismi di accesscontrol list con strumenti usualmente utilizzati per gestire la sicurezzaperimetrale della propria rete; Roma,26 luglio 2006
|