vedi anche


[provv. 18 settembre 2008]

Convenzione fra ilMinistero dell'interno-Dipartimento della pubblica sicurezza e l'Agenzia delleentrate per l'accesso da parte delle forze di polizia alla banca datidell'Anagrafe tributaria attraverso l'applicativo denominato Puntofisco

PROVVEDIMENTO DEL 26MAGGIO 2011

Registro dei provvedimenti
n. 210 del 26maggio 2011

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele Depaoli, segretario generale;

Vista la richiesta di parere del Ministero dell'interno-Dipartimentodella pubblica sicurezza;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30giugno 2003, n. 196), in particolare l'art. 54;

Esaminata la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

Il Ministero dell'interno-Dipartimento della pubblica sicurezza hachiesto il parere del Garante in ordine a uno schema di Convenzione, eall'Allegato tecnico che ne costituisce parte integrante, da stipularsi tra ilMinistero e l'Agenzia delle entrate avente a oggetto l'accesso da parte delleforze di polizia, tramite il Centro elaborazione dati (C.e.d.) delDipartimento, alla banca dati dell'Anagrafe tributaria, detenuta dall'Agenzia,attraverso l'applicativo denominato Puntofisco.

Il parere Ë richiesto ai sensi dell'art. 54, comma 1, del Codice nellaparte in cui prevede la stipula da parte del Ministero dell'interno, previoparere conforme del Garante, di convenzioni-tipo volte ad agevolare laconsultazione di pubblici registri, elenchi, schedari e banche di dati da partedi autorità di pubblica sicurezza e di forze di polizia nei casi in cui essepossono acquisire da altri soggetti informazioni, atti e documenti, inconformità a vigenti disposizioni di legge o di regolamento, anche per viatelematica.

Il parere Ë reso tenendo conto delle informazioni e degli elementiforniti dal Ministero e dall'Agenzia, che hanno fornito piena collaborazione,anche nel corso di alcuni incontri tecnici tenuti presso questa Autorità e siriferisce a una versione aggiornata dello schema di Convenzione e dell'Allegatoredatti all'esito degli approfondimenti svolti nell'ambito di detti incontri,che hanno permesso di chiarire e specificare numerosi aspetti dellaConvenzione, relativi, in primo luogo, all'indicazione, nella Premessa, dellanormativa che prevede le attività che legittimano l'acquisizione dei daticontenuti nell'Anagrafe tributaria da parte delle forze di polizia (lettere f)e g)) e alla conseguente individuazione, nel testo della Convenzione, dellecorrispondenti specifiche finalità per le quali Ë consentito l'accesso (art.4).

E' stata, inoltre, inserita la definizione di "datopersonale" tra le informazioni cui Ë possibile accedere (art. 1), mentre Ëstato escluso l'accesso da parte delle forze di polizia ai dati sensibilicontenuti nelle dichiarazioni fiscali (art. 2), in conformità al provvedimentocon cui il Garante ha escluso la consultabilità di tale categoria di daticontenuti nell'Anagrafe tributaria, attraverso l'applicativo Puntofisco, inassenza di un'idonea base normativa (provv. 18 settembre 2008).

E' stato, altresì, specificato che, oltre al tracciamento effettuatodall'Agenzia degli accessi all'Anagrafe tributaria e delle operazioni compiute,anche il C.e.d. procede al tracciamento degli accessi alla banca dati (art.13), di cui viene data comunicazione agli utenti (art. 6), e sono stati megliodefiniti (art. 8) i rapporti tra i supervisori locali e gli amministratorilocali (denominati Focal point).

In conformità ai provvedimenti concernenti l'adozione di misure disicurezza in materia di trattamento dei dati personali presso il C.e.d. (provv.17 novembre 2005 e 11 ottobre 2006), si Ë reso opportuno chiarire che il Centroverifica ogni sessanta giorni le abilitazioni degli utenti autorizzati adaccedere all'Anagrafe tributaria (art. 10, comma 5).

Disposizioni sull'obbligo per il C.e.d. di impartire specifichedirettive agli utenti, quali incaricati del trattamento ai sensi dell'art. 30del Codice, sono state introdotte dagli artt. 11, comma 3 e 12, comma 2 dellaConvenzione.

OSSERVA

1. Le attività delle forze di polizia
Lalegge 31 maggio 1965, n. 575 prevede che nei confronti degli "indiziatidi appartenere ad associazioni di tipo mafioso, alla camorra, alla 'ndranghetao ad altre associazioni (ä) che perseguono finalità o agiscono con metodicorrispondenti a quelli delle associazioni di tipo mafioso", nonchÈdei soggetti indiziati di particolari reati, possono essere proposte dalquestore territorialmente competente "le misure di prevenzione dellasorveglianza speciale di pubblica sicurezza e dell'obbligo di soggiorno nelcomune di residenza o di dimora abituale" (artt. 1 e 2).

A tal fine, l'articolo 2-bis della legge stabilisce che il questoreprocede "anche a mezzo della guardia di finanza o della poliziagiudiziaria, ad indagini sul tenore di vita, sulle disponibilità finanziarie esul patrimonio" di tali soggetti, nonchÈ "ad indaginisull'attività economica facente capo agli stessi soggetti allo scopo anche diindividuare fonti di reddito" (comma 1). In particolare, può essereaccertata la titolarità "di licenze, autorizzazioni, concessioni oabilitazioni all'esercizio di attività imprenditoriali e commerciali, compresele iscrizioni ad albi professionali e pubblici registri" nonchÈ ilbeneficio di "contributi, finanziamenti o mutui agevolati"concessi "da parte dello Stato, degli enti pubblici o delle Comunitàeuropee" (comma 2).

Le indagini possono essere effettuate anche nei confronti del coniuge,dei figli e di conviventi, nonchÈ "delle persone fisiche o giuridiche,società, consorzi od associazioni, del cui patrimonio i soggetti medesimirisultano poter disporre in tutto o in parte, direttamente oindirettamente" (comma 3).

Per svolgere tali accertamenti il questore può richiedere "direttamenteo a mezzo di ufficiali o agenti di polizia giudiziaria, ad ogni ufficio dellapubblica amministrazione, ad ogni ente creditizio nonchÈ alle imprese, societàed enti di ogni tipo, informazioni e copia della documentazione ritenuta utileai fini delle indagini" (comma 6).

L'art. 55 c.p.p., da parte sua, prevede che la polizia giudiziaria,oltre che svolgere "ogni indagine e attività disposta o delegatadall'autorità giudiziaria" (comma 2), deve, "anche di propriainiziativa, prendere notizia dei reati, impedire che vengano portati aconseguenze ulteriori, ricercarne gli autori, compiere gli atti necessari perassicurare le fonti di prova e raccogliere quant'altro possa servire perl'applicazione della legge penale" (comma 1).

2. Accesso all'Anagrafe tributaria in otticadi identità federata
Con provvedimento del 18settembre 2008 il Garante ha prescritto all'Agenzia delle entrate l'adozione diuna serie di misure e accorgimenti atti a porre rimedio a manchevolezzerilevate nella regolamentazione degli accessi all'Anagrafe tributaria, dadisciplinare attraverso apposite convenzioni, da parte di soggetti esterniall'amministrazione finanziaria.

In particolare, Ë stato prescritto all'Agenzia di predefinire unaprocedura per le autenticazioni e le autorizzazioni degli utenti, nonchÈ, alfine di individuare comportamenti anomali degli stessi, di predisporreprocedure e attività di audit sugli enti esterni, basate anche sul monitoraggiodelle transazioni e su sistemi di alert, e di dotare gli enti esterni dianaloghi strumenti.

Il provvedimento prevede che i controlli sugli accessi venganoeffettuati con cadenze periodiche e documentati con le modalità stabilite nelleconvenzioni.

Con successivo provvedimento del 26 marzo 2009 il Garante ha,peraltro, ritenuto adeguata la realizzazione per gli utenti del C.e.d. di unamodalità di accesso all'Anagrafe tributaria, attraverso l'applicativoPuntofisco, in ottica di identità federata.

L'identità federata presuppone una relazione di fiducia tra le parti,secondo la quale la parte che detiene la banca dati – nella specie,l'Agenzia – ripone fiducia nell'assunzione di responsabilità di un identityprovider – nella specie, il Ministero –, che individua egestisce l'utente abilitato all'accesso, ne conosce l'identità e ne controllal'attività.

L'Autorità ha ritenuto adeguata tale modalità di accesso per il C.e.d.trattandosi di una struttura già oggetto di specifici accertamenti da parte delGarante – definiti con i provvedimenti 17 novembre 2005 e 11 ottobre 2006– concernenti l'adozione di più robuste misure di sicurezza neltrattamento dei dati personali effettuato presso il Centro.

In particolare, sulla base delle prescrizioni impartite dall'Autorità,il Dipartimento ha introdotto, in tempi diversi, riguardo agli utenti delleforze di polizia abilitati all'accesso al Centro, tra le altre misure, lacertificazione digitale e il censimento delle postazioni da cui vengonoeffettuati gli accessi al C.e.d. (e, attraverso il Centro, alle banche dati esternecon cui questo Ë interconnesso); specifiche procedure di creazione, gestione econtrollo delle utenze, con aggiornamento periodico ogni sessanta giorni dellacorrispondenza, per  ciascun utente, tra le abilitazioni all'accesso e lefunzioni effettivamente svolte; strumenti di monitoraggio degli accessi esistemi di alert.

3.La Convenzione

3.1. Tipologie di dati e finalità dell'accesso
LaConvenzione individua specificamente le tipologie di dati oggetto dellaConvenzione, costituite da dati anagrafici, reddituali e fiscali dei soggetticensiti nell'Anagrafe tributaria, escludendo dall'accesso i dati sensibili(art. 2).

L'accesso, per la sola consultazione, alla banca dati da parte delleforze di polizia Ë espressamente limitato alle finalità connesse allosvolgimento delle attività previste dalla normativa indicata nella Premessa enel testo (art. 4), relative all'applicazione delle misure di prevenzione aisensi della legge n.575/1965 e alle indagini di polizia giudiziaria di cuiall'art. 55 c.p.p., effettuate nel rispetto delle condizioni e dei limiti posti dalle disposizioni che disciplinano tali attività.

3.2. Utenti abilitati all'accesso
Possonoaccedere alla banca dati gli operatori delle forze di polizia con qualifica diufficiale o agente di polizia giudiziaria cui sono attribuiti dal C.e.d., infunzione dell'incarico svolto, specifici profili di abilitazione (art. 6), chevengono sottoposti a verifica ogni sessanta giorni (art. 10, comma 5), ecredenziali di autenticazione personali (art. 11, comma 4). Il C.e.d. adottaprocedure di registrazione che prevedono il riconoscimento diretto el'identificazione certa dell'utente.

L'accesso Ë consentito esclusivamente dalle postazioni di lavoro delleforze di polizia; al fine di consentire il controllo degli accessi alla bancadati, vengono forniti all'Agenzia i codici identificativi personali rilasciatidal C.e.d. agli utenti (art. 5, comma 1).

Nella Convenzione vengono specificati gli obblighi a carico degliutenti di utilizzare le informazioni acquisite per le sole finalità di cuiall'art. 4, e di osservare la normativa del Codice in tema di rispetto deiprincipi di pertinenza nel trattamento delle informazioni e di osservanza dellenecessarie misure di sicurezza (art. 11, commi 1 e 2).

E' posto l'obbligo per il C.e.d. di impartire al personale abilitatodirettive relative alle responsabilità connesse all'accesso improprio allabanca dati, all'uso illegittimo delle informazioni e alla loro indebitadivulgazione, comunicazione e cessione a terzi (art. 11, comma 3); Ë, altresì,previsto per entrambe le parti l'obbligo di formazione di detto personaleall'utilizzo della banca dati (artt. 6 e 7, comma 3).

Sono stati, inoltre, previsti specifici divieti a carico del C.e.d., eil correlativo obbligo di impartire direttive al riguardo agli utenti, inmateria di duplicazione delle informazioni acquisite per la creazione diautonome banche dati e di utilizzo di dispositivi automatici (robot) checonsentono la consultazione in forma massiva dei dati personali (art. 12).

3.3. Sicurezza nel flusso dei dati
Nell'Allegatotecnico che costituisce parte integrante della Convenzione viene specificatoche in relazione alla sicurezza nel flusso dei dati, considerato il particolarecontesto di identità federata che caratterizza i rapporti fra le parti, Ëprevisto "l'utilizzo del protocollo ssl per garantire le funzionalitàdi crittografia dei dati trasferiti da client e server. Dal punto di vistatecnico il servizio sfrutta le misure di sicurezza dei protocolli previstidallo standard WS-Security ed in particolare per la fase di autenticazione alservizio, in conformità a quanto previsto dagli standard vengono utilizzateasserzioni SAML (Security Assertion Markup Language). In particolare, ognirichiesta di accesso al servizio viene firmata digitalmente dall'Enterichiedente ed elaborata solo dopo la verifica della firma apposta. L'utilizzodi SAML consente il trasferimento, in maniera sicura e conforme agli standard,dell'identità dell'utente finale che usufruirà delle informazioni fornite daiservizi di consultazione online e permette il corretto tracciamento delleoperazioni effettuate sui sistemi dell'Agenzia delle Entrate dall'utentefinale".

Inoltre il C.e.d. Ë tenuto a "fornire gli indirizzi IP dei serverdai quali perverranno le richieste di accesso, in modo che questi venganoautorizzati sul firewall della DMZ dell'Agenzia".

Preso atto di tale contesto di sicurezza nel flusso dei dati, cherisulta analogo a quanto prescritto dal Garante nel provvedimento del 18settembre 2008, in particolare in ordine all'utilizzo di protocolli https/ssl (securesockets layer) per la crittografia dei dati, si rende, peraltro, necessarioinserire nella Convenzione una disposizione sull'obbligo per l'Agenzia, inconformità a quanto previsto nel predetto provvedimento, di includere leinformazioni relative al C.e.d. nel documento redatto dall'Agenzia che riportatutti i flussi di trasferimento di dati da e verso l'Anagrafe tributaria etutti gli accessi di tipo interattivo, batch o di altro genere, specificandogli elementi indicati nel provvedimento stesso (ad esempio la base normativa,la finalità istituzionale, la frequenza dei trasferimenti, il numero disoggetti che usano la procedura).

3.4 Tracciamento degli accessi e delle operazioni effettuate
IlC.e.d. provvede al tracciamento degli accessi alla banca dati e l'Agenziaprovvede al tracciamento anche dell'accesso ai dati ivi detenuti, che consentedi verificare le operazioni eseguite da ciascun utente (art. 13). Gli utentisono informati di tali attività di tracciamento (art. 6).

3.5 Reportistica e sistemi di alert
NellaConvenzione non si fa menzione di reportistica che permetta al C.e.d. diverificare le operazioni svolte nell'Anagrafe tributaria dagli operatori dipolizia abilitati, monitorate dall'Agenzia, nÈ dell'adozione di sistemi dialert per il controllo degli accessi alla banca dati.

Nel fornire riscontro a una specifica richiesta di informazionidell'Autorità, l'Agenzia ha affermato di non avere fornito sistemi dimonitoraggio e di alert al Ministero, in quanto questo accede all'Anagrafetributaria in modalità di identità federata, ed Ë già dotato di propristrumenti di controllo degli accessi.

Il Ministero dell'interno, nel fornire riscontro a un'analogarichiesta, ha illustrato i sistemi adottati per monitorare l'accesso deglioperatori di polizia al C.e.d., che afferma poter essere applicati ancheall'accesso alle banche dati esterne, tra cui l'Anagrafe tributaria.

Collegandosi al Portale del SSII (Sistema per il Servizio InformativoInterforze, cui appartiene il C.e.d.) i dirigenti degli uffici (nellaConvenzione denominati "supervisori locali") possono visionare gliaccessi, intesi come login al sistema, effettuati dal personale dipendente evengono avvertiti, attraverso alert, di accessi anomali rispetto aparametri predeterminati, in quanto effettuati in un orario o in un giorno nonconsentito dal profilo applicativo dell'utente, oppure da una postazione dilavoro assegnata ad un ufficio diverso da quello di appartenenza dell'utente.

Gli avvisi delle anomalie permangono fino al controllo del dirigente ecomunque per quindici giorni.

Preso atto di tali chiarimenti, si rileva peraltro:

- che il Ministero non ha chiarito se l'accesso alla banca datidell'Anagrafe tributaria, attraverso l'applicazione Puntofisco, sia tra quellieffettivamente sottoposti alle procedure di controllo e di alert applicate perl'accesso degli operatori di polizia al C.e.d.;

- che l'Agenzia non ha predisposto per il Ministero strumenti chepossano consentire a questo il monitoraggio e, conseguentemente, il controllodelle operazioni svolte dagli utenti.

Valutate le funzioni svolte dagli alert realizzati dal Ministero, eapprezzata la già accertata adeguatezza della modalità di accesso del C.e.d.all'Anagrafe tributaria in ottica di identità federata, si ritiene, peraltro,necessario che la Convenzione venga integrata attraverso l'inserimento:

1. del riferimento all'inclusione dell'applicativo Puntofisco traquelli sottoposti ai sistemi del C.e.d. relativi al monitoraggio degli accessie agli alert su anomalia, essendo attualmente presente solo il riferimento altracciamento degli accessi;

2. del riferimento alla disponibilità per i dirigenti degliuffici ("supervisori locali" nella Convenzione) dei risultati di taleattività di monitoraggio e alert nel Portale SSII;

3. di una disposizione sull'obbligo per il Ministero di fornireapposite istruzioni preventive ai supervisori. Tali istruzioni dovrannovincolare questi ultimi alla verifica puntuale e tempestiva degli alert sulleanomalie rilevate dal sistema negli accessi attraverso l'applicativoPuntofisco;

4. di una disposizione sull'obbligo per l'Agenzia di fornire alMinistero strumenti idonei a consentire, anche attraverso una reportisticatrasmessa con periodicità non superiore al trimestre, il monitoraggio delleoperazioni compiute e a supportare i controlli, anche a campione, sulle attivitàsvolte dagli utenti;

5. dell'estensione a trenta giorni, invece degli attualiquindici, del periodo di disponibilità per i supervisori nel Portale SSII degliavvisi generati dalle anomalie.

Con l'inserimento di tali integrazioni, la combinazione dei sistemi dialert e di monitoraggio predisposti dal C.e.d. e dall'Agenzia fornisce uncontesto che risulta analogo, in quanto ad efficacia, funzionalità e sicurezza,a quanto prescritto dal Garante nel provvedimento del 18 settembre 2008 in temadi accessi all'Anagrafe tributaria.

Si rende, inoltre, necessario includere nella Premessa il riferimentoal menzionato provvedimento del 26 marzo 2009 con cui, come rilevato, ilGarante ha ritenuto adeguata per gli utenti del C.e.d. la realizzazione dellamodalità di accesso all'Anagrafe tributaria, attraverso l'applicativoPuntofisco,  in ottica di identità federata.

3.6 Responsabili della Convenzione e modalità di modifica della stessa
Loschema di Convenzione individua, per ciascuna parte, le figure dei responsabilidella corretta applicazione e delle attività di gestione della medesima (art.1), giuridicamente preposti alla gestione dei rapporti e delle comunicazionitra le parti, definendo alcune loro specifiche attività, in particolare in temadi avvio e gestione operativa del servizio di accesso alla banca dati (art.10). Lo schema  indica inoltre la necessità della consultazione delGarante nell'ipotesi di modifiche o integrazioni alla Convenzione (art. 16).

4. Osservazioni
L'accessoda parte delle forze di polizia alla banca dati dell'Anagrafe tributariagestita dall'Agenzia delle entrate, tenuto conto  della tipologia delleinformazioni conservate, risulta pertinente alle attività attinentiall'applicazione delle misure di prevenzione previste dalla legge n. 575/1965 ealle indagini di polizia giudiziaria di cui all'art. 55 c.p.p..

Le disposizioni contenute nella Convenzione, sopra riportate, con leindicate integrazioni non presentano profili di criticità in rapporto al rispettodella disciplina in materia di protezione dei dati personali, ivi compreso ilprofilo della sicurezza.

TUTTO CI“ PREMESSO ILGARANTE

esprime, ai sensi dell'art. 54 del Codice, parere favorevole sulloschema di Convenzione da stipularsi fra il Ministero dell'interno-Dipartimentodella pubblica sicurezza e l'Agenzia delle entrate avente a oggetto l'accessoda parte delle forze di polizia, tramite il Centro elaborazione dati delDipartimento, alla banca dati dell'Anagrafe tributaria, detenuta dall'Agenzia,attraverso l'applicativo denominato Puntofisco, a condizione che il testo dellaConvenzione venga integrato con l'inserimento:

1. di una disposizione sull'obbligo per l'Agenzia, come previstodal provvedimento del 18 settembre 2008, di includere anche le informazionirelative al C.e.d. nel documento che riporta tutti i flussi di trasferimento didati da e verso l'Anagrafe tributaria e tutti gli accessi di tipo interattivo,batch o di altro genere;

2. del riferimento all'inclusione dell'applicativo Puntofisco traquelli sottoposti ai sistemi del C.e.d. relativi al monitoraggio degli accessie agli alert su anomalia;

3. del riferimento alla disponibilità per i supervisori localidei risultati di tale attività di monitoraggio e alert nel Portale SSII;

4. di una disposizione sull'obbligo per il Ministero di fornireapposite istruzioni preventive ai supervisori locali. Tali istruzioni dovrannovincolare questi ultimi alla verifica puntuale e tempestiva degli alert sulleanomalie rilevate dal sistema negli accessi attraverso l'applicativoPuntofisco;

5. di una disposizione sull'obbligo per l'Agenzia di fornire alMinistero strumenti idonei a consentire, anche attraverso una reportisticatrasmessa con periodicità non superiore al trimestre, il monitoraggio delle operazionicompiute e a supportare i controlli, anche a campione, sulle attività svoltedagli utenti;

6. dell'estensione a trenta giorni, invece degli attualiquindici, del periodo di disponibilità per i supervisori nel Portale SSII degliavvisi generati dalle anomalie;

7. del riferimento nella Premessa al provvedimento del 26 marzo2009 con cui il Garante ha ritenuto adeguata per gli utenti del C.e.d. larealizzazione della modalità di accesso all'Anagrafe tributaria, attraversol'applicativo Puntofisco, in ottica di identità federata.

Roma, 26 maggio 2011

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
De Paoli