| Garante per la protezione dei dati personali Partecipazioneall'accertamento fiscale e contributivo da parte dei Comuni: parere del Garantesul nuovo provvedimento dell'Agenzia delle entrate PROVVEDIMENTO DEL 17APRILE 2012 Registro dei provvedimenti n. 144 del 17aprile 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; Vista la richiesta di parere dell'Agenzia delle entrate dell'8 marzo2012 relativa allo schema di provvedimento del Direttore dell'Agenziaconcernente le "Modalità tecniche di accesso alle banche dati, ditrasmissione di copia delle dichiarazioni relative ai contribuenti in essiresidenti e di partecipazione all'accertamento fiscale e contributivo da partedei comuni, ai sensi dell'articolo 1 del decreto legge 30 settembre 2005, n.203 convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248 emodificato dall'articolo 18 del decreto legge n. 78 del 31 maggio 2010,convertito dalla legge 30 luglio 2010, n. 122" (nota n.2012/37562); Viste le successive indicazioni fornite, su richiesta del Garante,dall'Agenzia delle entrate con la nota n. 2012/53915 del 4 aprile 2012; Visto l'art. 154, commi 4 e 5, del Codice in materia di protezione deidati personali (d.lg. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO: L'Agenzia delle entrate ha chiesto il parere del Garante in ordine auno schema di provvedimento concernente le modalità tecniche di accesso allebanche dati, di trasmissione di copia delle dichiarazioni relative aicontribuenti in essi residenti e di partecipazione all'accertamento fiscale econtributivo da parte dei comuni, in attuazione delle disposizioni contenutenell'articolo 1 del decreto legge 30 settembre 2005, n. 203 convertito, conmodificazioni, dalla legge 2 dicembre 2005, n. 248 e modificato dall'articolo18 del decreto legge n. 78 del 31 maggio 2010, convertito dalla legge 30 luglio2010, n. 122. Più precisamente, l'Agenzia delle entrate ha evidenziato che lo schemadi provvedimento, d'intesa con la Guardia di finanza, l'Inps, l'Agenzia delterritorio e la Conferenza unificata, fermo restando quanto stabilito daiprovvedimenti del Direttore dell'Agenzia delle entrate del 7 dicembre 2007 edel 26 novembre 2008, entrambi sottoposti all'attenzione del Garante (cfr.,rispettivamente, pareri del 25 luglio 2007 e del 26 ottobre 2008), individua leulteriori materie per le quali i comuni partecipano all'accertamento fiscale econtributivo e le modalità di accesso alle banche dati. 1. Il contenuto dello schema diprovvedimento Per quanto riguarda l'Agenzia delleentrate, non vi sono modifiche per lo scambio di dati con i comuni che, comedichiarato dall'Agenzia stessa, continueranno ad essere regolati conformementeai citati provvedimenti del Direttore e dalle convenzioni di cooperazioneinformatica in essere. Vengono, invece, introdotte nuove materie relative all'accertamentodei contributi previdenziali e assistenziali, nonché, con riferimento allecompetenze dell'Agenzia del territorio, è individuato l'ambito di interventorelativo ai fabbricati che non risultano dichiarati al catasto. Con riguardo alla trasmissione delle informazioni suscettibili diutilizzo ai fini dell'accertamento fiscale e contributivo, viene previsto che icomuni inviino quelle rilevanti ai fini dell'accertamento dei tributi statali oall'Agenzia delle entrate ovvero alla Guardia di finanza ovvero all'Agenzia delterritorio, a seconda delle specifiche che sono contenute nell'allegato alloschema, mentre invieranno esclusivamente all'Inps quelle rilevanti ai finidell'accertamento contributivo (Punto 2.2). Per la trasmissione all'Agenzia delle entrate ovvero alla Guardia diFinanza delle segnalazioni qualificate rilevanti ai fini dell'accertamento deitributi statali, i comuni si avvalgono dei servizi appositamente predispostimessi a disposizione dall'Agenzia delle entrate. Tali servizi sono in grado diverificare e garantire la congruenza dei dati da trasmettere con quantoprevisto dall'allegato tecnico allo schema (Punto 2.3). Le segnalazioni trasmesse all'Agenzia delle entrate ovvero allaGuardia di finanza e quelle trasmesse all'Inps sono caratterizzate dal nome ecognome, codice fiscale o partita Iva dei soggetti in relazione ai quali sonorilevati e segnalati i fatti, atti e negozi, che evidenziano comportamentievasivi ed elusivi, mentre per le segnalazioni indirizzate all'Agenzia delterritorio devono essere indicati anche gli identificativi catastali degliimmobili interessati (Punti 2.5 e 2.6). In relazione alle modalità di accesso da parte dei comuni alle banchedati dell'Inps e alla procedura informatica predisposta dallo stesso per laricezione delle segnalazioni rilevanti ai fini dell'accertamento dei contributiprevidenziali e assistenziali, lo schema prevede che saranno definite medianteapposite convenzioni di cooperazione informatica che i comuni stipulerannodirettamente con l'Istituto (Punti 1 e 2.4). Con riferimento a tali segnalazioni qualificate trasmesse dai comuniall'Inps, relative al contrasto al lavoro sommerso, viene precisato chedovranno riguardare i soggetti che: - effettuano attività edilizia omettendo la denunzia contributivarelativa all'impresa; - svolgono attività di commercio ambulante o su area pubblicaomettendo la comunicazione unica ai fini fiscali, amministrativi eprevidenziali e/o la denunzia contributiva relativa all'impresa; - svolgono attività commerciale o artigiana omettendo sia lacomunicazione unica ai fini fiscali, amministrativi e previdenziali che ladenunzia contributiva relativa all'impresa (Punto 3.3). Per latrasmissione delle segnalazioni rilevanti ai fini dell'accertamento fiscale deitributi statali all'Agenzia del territorio, viene, invece, stabilito che icomuni si avvalgano del "Portale per i comuni"(Punto 3.7). Con riferimento alla sicurezza nella trasmissione dei datirispettivamente all'Agenzia delle entrate, all'Agenzia del territorio ovveroalla Guardia di finanza e all'Inps, lo schema prevede, in particolare, chevenga garantita dalle applicazioni messe a disposizione dai rispettivi enti(Punto 5). Nel caso in cui i comuni, con particolare riguardo a quelli di minoridimensioni, promuovano, anche attraverso l'Anci, la costituzione di strutturedi servizio intermedie finalizzate al supporto dell'elaborazione dei dati riguardantile proprie entrate, sulle attività di partecipazione all'accertamento deitributi erariali, nonché alla facilitazione degli interscambi informativi conil sistema allestito dall'Agenzia delle entrate, lo schema in esame stabilisceche i comuni stessi possano conferire a tali strutture di servizio, anchetemporaneamente e sulla base di apposite comunicazioni del sindaco, dainoltrare all'Agenzia delle entrate a cui perviene anche comunicazionedell'eventuale disdetta da parte del comune, l'accesso ai servizi residisponibili dalle convenzioni di cooperazione informatica. Tali strutture diservizio assumeranno quindi ogni responsabilità connessa al trattamento deidati su mandato dei comuni interessati, assicurando l'accesso agli operatorisulla base delle stesse misure tecnico-organizzative previste dalle convenzionivigenti che manterranno integra la propria validità (Punti 4.3 e 4.4). È previsto inoltre che le Agenzie e l'Inps forniscano ai comuni,mediante collegamento telematico, le informazioni sullo stato di ciascun attocollegato alle segnalazioni ricevute (Punto 3.7). 2. I chiarimenti forniti dall'Agenziadelle entrate Nell'ambito dell'istruttoria preliminareeffettuata dall'Ufficio del Garante ai fini dell'espressione del presenteparere, sono stati richiesti specifici elementi all'Agenzia delle entrate voltia superare alcuni elementi di criticità relativamente al fatto che nello schemadi provvedimento: a) non sono state individuate le banche dati che l'Inps metterà adisposizione dei comuni, nonché le specifiche tecniche di sicurezza per loscambio di informazioni (Punto 1.1); b) non risultano chiare le modalità di utilizzo della procedurainformatica dell'Agenzia delle entrate da parte della Guardia di finanza (Punto2.3); c) non emergono gli elementi tecnici relativi alla procedurainformatica predisposta dall'Inps per la trasmissione delle segnalazioni (Punto2.4); d) non vi sono indicazioni relative al tracciato record dellesegnalazioni all'Inps e all'Agenzia del territorio (con la puntualeindividuazione dei dati analoga a quella che per l'Agenzia delle entrate èstata fatta con il provvedimento del Direttore del 26 novembre 2008) (Punti2.5, 3.1 e 3.2); e) non sono riportati gli standard tecnici delle segnalazioniall'Agenzia del territorio (Punto 2.6); f) non sono disciplinate le modalità tecniche con cui le Agenziee l'Inps trasmettono ai comuni le informazioni sullo stato di ciascun attocollegato alle segnalazioni (Punto 3.7); g) il generico richiamo alla garanzia di sicurezza delleapplicazioni contenuto nel Punto 5 non individua uno standard minimo cui leapplicazioni degli enti devono conformarsi (Punto 5). L'Agenzia delle entrate ha fornito riscontro a quanto richiesto,rappresentando che, con riferimento agli aspetti della richiesta diinformazioni relativi all'Inps sopra riportati alle lett. a), c), d) e f), loschema in esame "rimanda la definizione, l'attivazione e la regolazionedi quanto suesposto, alla predisposizione da parte dell'Inps di appositeconvenzioni di cooperazione informatica "da stipulare" con iComuni". Al riguardo, l'Agenzia ha chiarito che l'Inps e l'Anci hannoritenuto opportuno avviare una serie di confronti al fine di realizzare neltempo quanto previsto nello schema in esame, nel pieno rispetto della disciplinain materia di protezione dei dati personali. Le specifiche convenzioni dicooperazione informatica saranno poi sottoposte preventivamente al vaglio delGarante. Con riferimento al coinvolgimento della Guardia di finanza (lett. b)sopra citata), pur essendo una novità rispetto al provvedimento dell'Agenziadelle entrate del 3 dicembre 2007, le modalità di trasmissione dellesegnalazioni da parte dei comuni non cambiano continuandosi a utilizzare laprocedura messa a disposizione dall'Agenzia delle entrate nel portale SIATELV2-Puntofisco (disciplinata con il provvedimento dell'Agenzia delle entrate del26 novembre 2008). Infatti, il flusso informativo confluirà in anagrafetributaria per poi essere indirizzato all'Agenzia delle entrate e alla Guardiadi finanza attraverso i rispettivi sistemi informativi. In relazione agli elementi tecnici richiesti riguardanti l'Agenzia delterritorio (lett. d), e), f) e g)), , l'Agenzia delle entrate, tenuto conto cheal riguardo lo schema in esame non contiene alcun elemento, ha dichiarato diavere "provveduto a sollecitare l'Agenzia del territorio affinché forniscatutte le informazioni necessarie a codesta Autorità". Per quanto riguarda le modalità tecniche con cui l'Agenzia delleentrate trasmette ai comuni le informazioni sullo stato di ciascun attocollegato alle segnalazioni, è stato precisato che l'Agenzia delle entrate, suesplicita richiesta dell'Anci, ha deciso di implementare le informazioni direportistica già consultabili dai comuni mediante procedura SiatelV2-Puntofisco, consentendo la visualizzazione, oltre che dell'ufficiodell'Agenzia destinatario dell'informazione, anche dello "stato"della segnalazione riportando se risulta archiviata, in lavorazione oppurecollegata ad un accertamento. Con riferimento alla sicurezza (lett. g)), l'Agenzia ha precisato chenon è stato individuato uno standard minimo di sicurezza delle applicazioni discambio informativo tra comuni e enti coinvolti in considerazione della"eterogeneità dei soggetti". Al riguardo, ha ribadito che, perl'Agenzia delle entrate, si fa comunque riferimento all'applicazione SiatelV2-Puntofisco così come modificata alla luce delle citate prescrizioni delGarante del 18 settembre 2008. Con riferimento all'Inps, invece, l'Agenziadelle entrate ha precisato che l'applicazione da utilizzare "è ancora dadefinire". L'Agenzia, infine, ha invitato il Garante a voler comunque procedereall'esame di quanto di competenza della stessa, laddove gli elementi divalutazione relativi ad attività da svolgere a cura degli altri enti coinvoltinon fossero ancora completi, ferma restando la successiva comunicazione delleinformazioni mancanti. OSSERVA: Lo schema in esame individua, in particolare, le ulteriori materie perle quali i comuni partecipano all'accertamento fiscale e contributivo. Comesopra evidenziato, per quanto riguarda l'accesso all'anagrafe tributaria e latrasmissione delle segnalazioni da parte dei comuni all'Agenzia delle entrate,resta fermo quanto stabilito dai provvedimenti del Direttore dell'Agenzia delleentrate del 3 dicembre 2007 e del 26 novembre 2008, entrambi già sottopostiall'attenzione del Garante. L'Agenzia stessa ha, inoltre, dichiarato che lasicurezza delle trasmissioni poste in essere con i comuni è garantita secondoquanto previsto dal citato provvedimento del Garante del 18 settembre 2008, lecui prescrizioni hanno, peraltro, avuto per oggetto anche il contenuto delleconvenzioni stipulate con i soggetti che accedono all'anagrafe tributaria. Con riferimento al coinvolgimento della Guardia di finanza, si rilevache l'Agenzia ha assicurato il mantenimento della procedura messa adisposizione nel proprio portale Siatel V2-Puntofisco attualmente utilizzata,mentre per la trasmissione ai comuni delle informazioni sullo stato di ciascunatto collegato alle segnalazioni verrà implementata la reportistica giàconsultabile dai comuni mediante la predetta procedura Siatel V2-Puntofisco. Pertanto, in relazione al contenuto dello schema di provvedimento inesame concernente i trattamenti posti in essere dall'Agenzia delle entrate,ovvero dalla Guardia di finanza, non vi sono osservazioni da formulare. Per quanto riguarda, invece, le modalità tecniche di accesso allebanche dati e quelle di partecipazione dei comuni all'accertamento fiscale econtributivo di competenza, rispettivamente, dell'Agenzia del territorio edell'Inps, si osserva che gli elementi di criticità sopra illustrati nelloschema relativi alla mancata definizione degli aspetti di competenza deipredetti enti (cfr. Punto 2) non hanno trovato riscontro nella predetta notadell'Agenzia del 4 aprile 2012. In proposito, si rileva che tale carenza nonconsente di esprimere un parere al riguardo. In particolare, si evidenzia che il legislatore richiede che talimodalità siano indicate nel testo del provvedimento del Direttore dell'Agenzia(come peraltro avviene per quanto riguarda l'Agenzia delle entrate neiprecedenti provvedimenti del 7 dicembre 2007 e del 26 novembre 2008), nonpotendosi quindi ritenere idonea la previsione che dette modalità debbanoessere individuate successivamente in atti di natura convenzionale. Si resta,pertanto, in attesa dell'individuazione delle predette modalità tecniche nelloschema di provvedimento del Direttore dell'Agenzia delle entrate, che,limitatamente alle menzionate modalità tecniche di accesso, dovrà essereintegrato e sottoposto nuovamente all'esame di questa Autorità, accompagnatodall'indicazione dell'intervenuta intesa con la Conferenza unificata, l'Inps el'Agenzia del territorio, per l'espressione del parere in relazione ai profilidi protezione dei dati personali. Con riferimento alla sicurezza degli applicativi utilizzati (Punto 5),si evidenzia, inoltre, che occorre integrare il provvedimento al fine di garantire-per tutti i soggetti coinvolti nel trattamento in esame- standard minimi noninferiori a quelli garantiti dall'Agenzia delle entrate in conformità al citatoprovvedimento del 18 settembre 2008. Con riferimento, invece, al trattamento posto in essere dai comuni aiPunti 4.3 e 4.4, si rappresenta che nello schema di provvedimento non risultaben definito il ruolo di responsabile del trattamento che gli eventualiorganismi esterni agli stessi (strutture di servizio intermedie) dovrebberoricoprire per supportare i comuni nella partecipazione all'accertamento e negliinterscambi informativi. Rispetto al trattamento di dati in esame, risulta quindi necessarioche nello schema vengano riformulati i predetti Punti, specificando che, nelcaso in cui i comuni decidano di avvalersi di eventuali organismi esterni,ovvero strutture di servizio intermedie: - il comune deve designare preventivamente quale responsabile deltrattamento tale soggetto, che deve offrire idonee garanzie in relazione aquanto previsto dall'art. 29 del Codice; - il comune deve fornire a tale soggetto adeguate istruzioni inmerito al trattamento da effettuare e deve vigilare sul trattamento tramiteverifiche periodiche, anche a campione; - qualora tale soggetto sia designato responsabile da più comuni,devono essere garantite misure di carattere tecnico organizzativo volte adassicurare nel trattamento dei dati personali il rispetto dell'ambitoterritoriale di competenza di ciascun comune in termini di procedure diaccessibilità alle banche dati; deve essere garantita, inoltre, la separazionelogica dei dati e delle banche dati trattati per conto dei diversi titolari,senza consentire la correlazione tra informazioni di competenza di ciascuncomune. TUTTO CIO' PREMESSO ILGARANTE: ai sensi dell'articolo 154, commi 4 e 5, del Codice, esprime parerefavorevole sullo schema di provvedimento del Direttore dell'Agenzia delleentrate concernente le "Modalità tecniche di accesso alle banche dati,di trasmissione di copia delle dichiarazioni relative ai contribuenti in essiresidenti e di partecipazione all'accertamento fiscale e contributivo da partedei comuni, ai sensi dell'articolo 1 del decreto legge 30 settembre 2005, n.203 convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248 e modificatodall'articolo 18 del decreto legge n. 78 del 31 maggio 2010, convertito dallalegge 30 luglio 2010, n. 122", con riferimento ai trattamentieffettuati dall'Agenzia delle entrate, ovvero dalla Guardia di finanza, acondizione che: 1. con riferimento alla sicurezza degli applicativi utilizzati(Punto 5), lo schema di provvedimento sia integrato al fine di garantire -pertutti i soggetti coinvolti nel trattamento in esame- standard minimi noninferiori a quelli garantiti dall'Agenzia delle entrate in conformità al citatoprovvedimento del 18 settembre 2008; 2. vengano riformulati i Punti 4.3 e 4.4, specificando che, nelcaso in cui i comuni decidano di avvalersi di eventuali organismi esterni,ovvero strutture di servizio intermedie: - il comune deve designare preventivamente quale responsabile deltrattamento tale soggetto, che deve offrire idonee garanzie in relazione aquanto previsto dall'art. 29 del Codice; - il comune deve fornire a tale soggetto adeguate istruzioni inmerito al trattamento da effettuare e deve vigilare sul trattamento tramiteverifiche periodiche, anche a campione; - qualora tale soggetto sia designato responsabile da più comuni,devono essere garantite misure di carattere tecnico organizzativo volte adassicurare nel trattamento dei dati personali il rispetto dell'ambitoterritoriale di competenza di ciascun comune in termini di accessibilità allebanche dati; deve essere garantita, inoltre, la separazione logica dei dati edelle banche dati trattati per conto dei diversi titolari, senza consentire lacorrelazione tra informazioni di competenza di ciascun comune; 3. lo schema di provvedimento sia integrato con la definizionedelle modalità tecniche di accesso alle banche dati e quelle di partecipazionedei comuni all'accertamento fiscale e contributivo di competenza,rispettivamente, dell'Agenzia del territorio e dell'Inps. Limitatamente allemenzionate modalità tecniche di accesso, tale schema, accompagnatodall'indicazione dell'intervenuta intesa con la Conferenza unificata, l'Inps el'Agenzia del territorio, deve essere trasmesso nuovamente a questa Autoritàper l'espressione del parere in relazione ai profili di protezione dei datipersonali. Roma, 17 aprile 2012
|