Fisco: archivio rapporti finanziari, si alle modalita' per la trasmissione dei dati, ma il Garante privacy vigilera' sul nuovo sistema

PROVVEDIMENTO DEL 15 NOVEMBRE 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

INdata odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, edel dott. Giuseppe Busia, segretario generale;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito Codice);

VISTAla richiesta di parere dell'Agenzia delle entrate del 5 ottobre 2012, relativaal nuovo schema di provvedimento del Direttore dell'Agenzia in materia diDisposizioni di attuazione dell'articolo 11, commi 2 e 3, del decreto legge 6dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22dicembre 2011, n. 214 "Modalità per la comunicazione integrativa annualeall'archivio dei rapporti finanziari";

VISTAla nota dell'Agenzia delle entrate del 7 novembre 2012 con la quale sono statetrasmesse alcune modifiche e integrazioni al predetto schema di provvedimento;

VISTEle note dell'Agenzia delle entrate del 9 e del 12 novembre 2012 con le qualisono stati forniti chiarimenti e documentazione;

VISTOil parere del Garante del 17 aprile 2012 sul precedente schema diprovvedimento del Direttore dell'Agenzia delle entrate in materia di"Disposizioni di attuazione dell'articolo 11, commi 2 e 3, del decretolegge 6 dicembre 2011 n. 201, convertito, con modificazioni, dalla legge22 dicembre 2011 n. 214. Comunicazione integrativa annuale all'archivio deirapporti finanziari";

VISTAla documentazioni in atti;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

L'Agenziadelle entrate, con la nota del 5 ottobre 2012, ha sottoposto nuovamente alGarante, per l'acquisizione del relativo parere, lo schema di provvedimento delDirettore dell'Agenzia concernente le Disposizioni di attuazione dell'articolo11, commi 2 e 3, del decreto legge 6 dicembre 2011, n. 201, convertito,con modificazioni, dalla legge 22 dicembre 2011, n. 214 "Modalità per lacomunicazione integrativa annuale all'archivio dei rapporti finanziari",dopo aver apportato le modifiche volte a recepire le osservazioni formulatedall'Autorità nel parere del 17 aprile 2012 reso su una precedente versione delpredetto schema. In tale occasione, anche sulla base delle criticità rilevatenel corso di apposite attività ispettive, il Garante aveva rappresentatoall'Agenzia, in particolare, l'esigenza di integrare lo schema di provvedimentocon ulteriori misure di sicurezza, di natura tecnica e organizzativa, relativealle modalità di comunicazione dei dati all'anagrafe tributaria anche conriferimento al trattamento posto in essere dagli operatori finanziarifinalizzato alla trasmissione dei dati.

Iltesto dello schema in esame e dei relativi allegati tecnici è stato modificatoe integrato dall'Agenzia delle entrate, con la nota del 7 novembre 2012, inseguito ad alcuni chiarimenti richiesti nell'incontro tenutosi tra irappresentanti della medesima Agenzia e dell'Ufficio del Garante il 29 ottobre2012.

Conle note del 9 e del 12 novembre 2012, l'Agenzia ha fornito, da ultimo,chiarimenti e documentazione relativa, in particolare, allo stato diavanzamento del progetto dell'infrastruttura da utilizzare per la predettacomunicazione integrativa annuale.

A. Il contenuto dello schema diprovvedimento

Glioperatori finanziari comunicano all'anagrafe tributaria l'esistenza e la naturadei rapporti e delle operazioni di natura finanziaria compiute al di fuori diun rapporto continuativo (ad esclusione di quelle effettuate tramite bollettinodi conto corrente postale per un importo unitario inferiore a 1.500 euro), ai sensidell'articolo 7, sesto comma, del decreto del Presidente della Repubblica 29settembre 1973, n. 605.

Alfine di agevolare l'emersione della base imponibile, la nuova normativaintrodotta dal citato decreto legge n. 201 del 2011 prevede che, oltre a quantogià comunicato, gli operatori finanziari inviino periodicamente all'anagrafetributaria, anche le movimentazioni che hanno interessato i rapporti giàcensiti, ed ogni informazione relativa ai predetti rapporti necessaria ai finidei controlli fiscali, nonché l'importo delle operazioni finanziarie (art. 11,comma 2).

L'art.11, comma 3, prevede che "con provvedimento del Direttore dell'Agenziadelle entrate, sentiti le associazioni di categoria degli operatori finanziarie il Garante per la protezione dei dati personali, sono stabilite le modalitàdella comunicazione di cui al comma 2, estendendo l'obbligo di comunicazioneanche ad ulteriori informazioni relative ai rapporti strettamente necessarie aifini dei controlli fiscali. Il provvedimento deve altresì prevedere adeguatemisure di sicurezza, di natura tecnica e organizzativa, per la trasmissione deidati e per la relativa conservazione, che non può superare i termini massimi didecadenza previsti in materia di accertamento delle imposte sui redditi".

Ilcitato art. 11 prevede, altresì, al comma 4, che i dati comunicati, oltre cheper le finalità sopra citate per le quali viene già consultato l'archivio deirapporti finanziari, potranno essere trattati dall'Agenzia delle entrate perl'elaborazione con procedure centralizzate, secondo i criteri individuati conprovvedimento del Direttore della medesima Agenzia, di specifiche listeselettive di contribuenti a maggior rischio di evasione.

Comedichiarato dall'Agenzia, lo schema in esame, nel dare attuazione ai commi 2 e 3dell'art. 11 del decreto legge n. 201 del 2011, disciplina le modalità dicomunicazione all'anagrafe tributaria delle informazioni relative ai rapportifinanziari e la conservazione delle stesse, individuando i dati da trasmetterenella c.d. comunicazione integrativa annuale e rinviando ad un diversoprovvedimento del Direttore dell'Agenzia delle entrate l'individuazionedei criteri da utilizzare per la formazione delle liste selettive deicontribuenti a maggior rischio evasione.

Ilnuovo schema di provvedimento in esame prevede che i dati da comunicareall'anagrafe tributaria da parte degli operatori finanziari vengano trasmessiattraverso un apposito Sistema di interscambio dati (SID), in luogodell'utilizzo del servizio Entratel inizialmente individuato nel precedenteschema di provvedimento sottoposto all'attenzione dell'Autorità. Non sono,invece, state modificate le tipologie di informazioni oggetto di comunicazione,relative ai saldi iniziali e finali del rapporto finanziario e ai datiaggregati delle movimentazioni con l'evidenza del dare e avere.

Dalladocumentazione in atti, emerge che l'Agenzia, anche al fine di superare lecriticità connesse all'utilizzo del servizio Entratel evidenziate nelprovvedimento del Garante del 17 aprile 2012, ha scelto di spostare sulla nuovainfrastruttura SID tutte le comunicazioni all'anagrafe tributaria diverse daquelle effettuate a fini fiscali. Secondo l'Agenzia, tale sistema, dotato diprocedure "totalmente automatizzate", consentirebbe di modulare lemisure di sicurezza in ragione della tipologia di invii da effettuare. Ilservizio Entratel, invece, pur oggetto di interventi tecnici volti amigliorarne la sicurezza e le funzionalità, sarà, invece, utilizzato unicamenteper il rapporto diretto tra il contribuente e l'Agenzia per l'invio didocumentazione fiscale (dichiarazioni, registrazione di atti, pagamenti,istanze di rimborsi, ecc.).

Neltesto vengono, altresì, esplicitati i tempi di conservazione dei dati raccoltie si dà conto delle finalità di trattamento degli stessi previste dalla legge,che, rispetto al precedente schema di provvedimento, è stata oggetto di recentimodifiche (legge 7 agosto 2012, n. 135).

Infine,viene disposto che gli operatori finanziari comunichino i dati annualmente entroil 31 marzo dell'anno successivo a quello a cui sono riferite le informazioni;le informazioni relative all'anno 2011 dovranno essere trasmesse entro il 10aprile 2013 e quelle relative all'anno 2012 entro il 18 luglio 2013.

1.1 Modalità di trasmissione

 In relazione alle modalità di trasmissione, lo schemaprevede che venga utilizzata una nuova infrastruttura (SID), che "prevedeil colloquio application to application tra sistemi informativi agendo, quindi,in modalità automatizzata".

Alfine di mettere in sicurezza i dati da trasmettere è previsto l'utilizzoobbligatorio di un modulo software messo a disposizione dall'Agenziadelle entrate sul proprio sito Internet. Tale modulo software è richiamabile inambiente open Java in modalità completamente automatica, senza necessitàdell'intervento di un utente-operatore, e deve essere integrato nei processiinformatici degli operatori finanziari.

Glioperatori finanziari dovranno utilizzare in modalità informatizzata il SID,attraverso due sistemi di interscambio: una piattaforma di File transferprotocol (FTP), opportunamente configurata, e il servizio di Posta elettronicacertificata (PEC), possibile nel solo caso di trasmissione di file inferiori a20 MB in formato compresso.

1.1.1. File transfer protocol 

Per quanto riguarda l'interscambio dei dati attraverso lapiattaforma FTP, viene utilizzato un sistema di trasmissione dati tra terminaliremoti su rete pubblica (Internet), mediante un server FTP (nodo). Glioperatori finanziari possono utilizzare nodi autonomi, anche in formaconsorziata, oppure possono avvalersi di nodi di colloquio con l'Agenzia delleentrate già certificati. Sul sito Internet dell'Agenzia delle entrate saràdisponibile l'elenco dei nodi già attivi. In caso di nodi utilizzati perlo scambio dati per conto terzi, il nodo può operare esclusivamente da canaletrasmissivo e non può avere alcun ruolo attivo nella predisposizione dei fileda inviare.

Ognisingolo operatore finanziario, per utilizzare la piattaforma FTP, dovrànecessariamente avviare la procedura di registrazione che prevede lapresentazione di apposita domanda, secondo le modalità riportate sul sitoInternet dell'Agenzia delle entrate. In questa procedura gli operatori dovrannospecificare, tra l'altro, la determinazione dei certificati digitali utilizzatiper la crittografia e la firma dei flussi dati, la scelta del nodo dautilizzare e, nel caso di utilizzo di un nodo autonomo, l'indirizzo IP e lecredenziali di accesso del server FTP esposto (credenziali che l'operatorefinanziario consegna all'Agenzia per l'accesso al proprio server FTP).

In casodi accoglimento della richiesta di interazione con il SID direttamente con unnodo di interscambio autonomo non certificato, verranno definiti anche glispecifici accordi tecnici che comprendono i dati necessari al colloquio, tra iquali l'indirizzo IP del server FTP esposto dal nodo, le relative credenzialid'accesso da utilizzare e gli standard di nomenclatura dei file da scambiare.L'attivazione del nodo è subordinata alla verifica tecnico-funzionale ed allaconseguente certificazione rilasciata dal SID relativa al correttofunzionamento del colloquio tra i sistemi.

1.1.2. La Posta elettronica certificata 

Con riferimento al servizio di PEC, viene precisato che taleservizio è consentito, in alternativa all'utilizzo della piattaforma FTP,unicamente per la trasmissione dei file inferiori a 20 MB in formato compresso.La PEC deve rispondere ai requisiti fissati dalla normativa di settore indicatinel provvedimento del Direttore dell'Agenzia delle entrate del 22 dicembre2005, che disciplina già l'utilizzo della PEC da parte degli operatorifinanziari, e nel testo dello schema è prevista, per coloro che non dispongonodei tale servizio di PEC, la comunicazione entro il 28 febbraio 2013.

Vienealtresì stabilito che l'alimentazione delle caselle di PEC a fini dellatrasmissione debba avvenire in modalità completamente automatica, senzaintervento di operatori.

1.1.3. La predisposizione del file da trasmettere

  Lapredisposizione del file da mettere a disposizione dell'Agenzia delle entrate èa carico esclusivo del soggetto obbligato titolare dei dati da comunicare(operatore finanziario), senza la possibilità di avvalersi di intermediarifiscali.

Inparticolare, viene previsto che gli operatori finanziari, sin dalla prima fasedi raccolta dei dati dai propri sistemi informatici, e per ambedue le modalitàtrasmissive, devono utilizzare meccanismi automatizzati di estrazione, dicomposizione (secondo le specifiche tecniche e il tracciato record allegatiallo schema di provvedimento), di compressione e di immediata crittografia.

Il fileda mettere a disposizione dell'Agenzia deve essere predisposto adottandoaccorgimenti di sicurezza, finalizzati a garantire che i dati trasmessi sianoformalmente ben composti, di dimensioni più facilmente gestibili nella fase ditrasmissione e protetti da rischi di accessi non conformi, utilizzi abusividelle informazioni e alterazione dei dati: verifica formale di aderenza allespecifiche tecniche, adozione di meccanismi atti a comprimere i file datrasmettere e adozione di meccanismi di crittografia, atti a garantire lariservatezza dei dati trasmessi, utilizzando il certificato crittograficofornito dall'Agenzia delle entrate agli operatori finanziari e ad essaintestato.

La"firma digitale" del file, utilizzata per assicurare l'integrità delcontenuto ed applicata una volta terminata la sua predisposizione, è previstaunicamente per l'utilizzo della piattaforma FTP, dal momento che il servizio diPEC, secondo l'Agenzia, "già prevede in sé, in forma nativa, la possibilitàdi garantire l'integrità di quanto trasportato". La firma viene appostasul file attraverso un ulteriore modulo software di firma, reso disponibile sulsito Internet dell'Agenzia. Anche tale modulo software è richiamabile inambiente open Java in modalità completamente automatica, senza necessitàdell'intervento di un utente-operatore, e deve essere integrato nei processiinformatici degli operatori finanziari.

Per ladeterminazione dei certificati di firma da utilizzare o per la loro primagenerazione, è necessario che gli operatori finanziari siano preventivamente inpossesso di propria abilitazione ai servizi telematici Entratel o Fisconlinedell'Agenzia delle entrate.

Per glioperatori finanziari abilitati al servizio Entratel sarà utilizzato ilcertificato già in loro possesso; per quelli, invece, abilitati al servizioFisconline sarà necessario generare il certificato di firma tramite l'appositafunzione messa a disposizione dall'Agenzia delle entrate.

Per lafirma viene utilizzato il formato PKCS#7 detached; pertanto tramite lapiattaforma FTP deve essere messa a disposizione dell'Agenzia delle entrate unacoppia di file, il primo relativo ai dati da comunicare ed il secondo relativoalla busta di autenticazione prodotta.

1.1.4.Esiti 

L'avvenutapresentazione delle comunicazioni, a fronte del risultato positivodell'elaborazione di controllo formale, viene certificata dall'Agenzia medianteuna ricevuta, resa disponibile tramite lo stesso canale adottato per latrasmissione. L'Agenzia comunica l'eventuale incongruenza dei dati contenutinella comunicazione con quanto risultante nella banca dati dell'archivio deirapporti mediante un esito che riporta tutte le incongruenze riscontrate. Aseguito della ricezione di un esito negativo, l'utente è tenuto a valutare leazioni da intraprendere per la correzione degli errori riscontrati.

2. Trattamento dei dati 

Conriferimento al trattamento dei dati, al paragrafo 8 dello schema, analogamentea quanto già previsto nella versione precedente, viene stabilito che i dati ele notizie comunicati siano raccolti e ordinati su scala nazionale al finedella valutazione della capacità contributiva, nel rispetto dei diritti e dellelibertà fondamentali dei contribuenti, e archiviati nell'apposita sezionedell'anagrafe tributaria già denominata "Archivio dei rapportifinanziari" e prevista dall'art. 7, comma 6, del d.P.R 29 settembre 1973,n. 605.

Ipunti 8.3 e 8.4 del nuovo schema in esame sono, invece, stati modificatirichiamando l'art. 11 comma 4 del decreto legge n. 201 del 2011, nel quale èstabilito che l'Agenzia elabori i dati oggetto di comunicazione integrativa annualecon procedure centralizzate, secondo i criteri che verranno individuati consuccessivo provvedimento del Direttore, per la formazione di specifiche listeselettive di contribuenti a maggior rischio di evasione e che tali dati sianoaltresì utilizzati ai fini della semplificazione degli adempimenti deicittadini in merito alla compilazione della dichiarazione sostitutiva unica dicui all'articolo 4 del decreto legislativo 31 marzo 1998, n. 109, nonché insede di controllo sulla veridicità dei dati dichiarati nella medesimadichiarazione (art. 11, comma 4 del citato decreto, così come novellato dallalegge n. 135 del 2012).

Sonostate, quindi, espunte dal nuovo testo le precisazioni in ordine allelimitazioni all'accesso dei dati a fini di accertamento, ovvero l'espressaprevisione che i dati contenuti nella nuova comunicazione integrativa annualenon avrebbero costituito oggetto diretto dell'attività di accertamento e chenon avrebbero implementato i dati accessibili attraverso la procedura delleindagini finanziarie.

L'Agenzia,su richiesta del Garante, ha precisato che il nuovo schema disciplinaunicamente le modalità con le quali deve essere effettuata la comunicazioneintegrativa annuale e la conservazione dei dati comunicati, in attuazione deicommi 2 e 3 dell'art. 11 del decreto legge n. 201 del 2011, e che aipunti 8.3 e 8.4 dello schema in esame "è stato operato unicamente unrichiamo alla norma, nella consapevolezza che la disciplina del trattamento deidati era estranea a tale atto". Le finalità per le quali questi dati sonoraccolti e trattati, infatti, sono indicate direttamente nel successivo comma 4del predetto articolo 11, che prevede l'emanazione di un ulterioreprovvedimento del Direttore dell'Agenzia in cui saranno individuati i criteri perl'elaborazione delle liste selettive di contribuenti a maggior rischioevasione, che sarà preventivamente sottoposto al Garante.

Secondol'Agenzia, "proprio l'esigenza di una maggiore aderenza al dettatonormativo, che richiede al provvedimento direttoriale la disciplina dellemodalità di comunicazione dei dati relativi ai rapporti finanziari con laprevisione di adeguate misure di sicurezza, di natura tecnica e organizzativaper la trasmissione degli stessi, ha fatto sì che la precisazione in ordine all'accessoall'Archivio dei rapporti fosse espunta dal nuovo schema diprovvedimento". In ogni caso, l'Agenzia ha dichiarato che "nonostantel'archiviazione delle nuove informazioni sia effettuata nell'apposita sezionedell'anagrafe tributaria denominata "Archivio dei rapportifinanziari" l'Agenzia delle entrate non modificherà il profilo deisoggetti che attualmente accedono al suddetto Archivio. Pertanto, i daticontenuti nella comunicazione integrativa annuale non saranno visibili daglistessi".

Nelloschema viene, infine, stabilito che i dati saranno conservati entro i terminimassimi di decadenza previsti in materia di accertamento delle imposte suiredditi, quindi fino al 31 dicembre del sesto anno successivo ad ogni annod'imposta; allo scadere di tale periodo saranno integralmente e automaticamentecancellati.

OSSERVA:

Fermarestando l'esigenza dell'Agenzia delle entrate di disporre di ogni necessariaidonea informazione per l'azione di verifica e contrasto dell'evasione fiscale,nel presente parere si richiamano le osservazioni formulate dal Garante sulprecedente schema di provvedimento in ordine alle rilevanti problematiche dicarattere generale relative alla protezione dei dati personali sia conriferimento all'eccezionale concentrazione presso l'anagrafe tributariadi un'enorme quantità di informazioni personali, sia in relazione alle finalitàdi classificazione degli interessati cui la raccolta di tali informazionirisulta preordinata (parere del 17 aprile 2012).

B. Le misure di sicurezza

Lemisure di sicurezza idonee e preventive destinate a proteggere una tale quantitàdi informazioni personali devono tenere conto, sin dal momento della lororaccolta, degli enormi rischi insiti in un trattamento di dati quale quelloeffettuato presso l'anagrafe tributaria, soprattutto in relazione ad accessiabusivi ed a utilizzi impropri, e alla proliferazione di interconnessioni eraffronti. Ciò, prendendo in considerazione anche gli aspettitecnico-organizzativi dell'intera filiera di trattamento, che va dall'estrazionedei dati dai sistemi informativi dei soggetti tenuti all'adempimento, alla loroorganizzazione nel formato richiesto dall'Agenzia per la successivatrasmissione verso l'anagrafe tributaria.

Comegià rilevato nel parere del 17 aprile 2012, a fronte di tali considerazionioccorre valutare con particolare rigore le misure di sicurezza, di naturatecnica e organizzativa individuate dall'Agenzia delle entrate per latrasmissione dei dati e per la relativa conservazione indicate nello schema diprovvedimento.

Analogamentea quanto stabilito nel precedente schema di provvedimento, è previsto che glioperatori finanziari, per l'invio all'anagrafe tributaria della comunicazioneintegrativa annuale dei rapporti attraverso il SID, raccolgano e aggreghino informa di file una mole di dati estratta dai diversi archivi presenti nei proprisistemi informativi, solitamente trattata dagli stessi con più sistemiapplicativi. Anche questa modalità di comunicazione prescelta dall'Agenziarende necessaria già all'origine, ai fini dell'adempimento di cui allo schemain esame, una concentrazione di informazioni e, di conseguenza, un potenzialedi rischio che difficilmente si riscontra nel trattamento di dati personalieffettuato nell'ordinario esercizio dell'attività finanziaria o bancaria.

1. Osservazioni preliminari

1.1. Stato di avanzamento della realizzazionedell'infrastruttura SID Dalla documentazione in atti, emerge che lanuova infrastruttura prescelta dall'Agenzia per la trasmissione telematica(SID), dovrebbe essere rilasciata da parte di SoGei S.p.a. entro la fine didicembre 2012 ed è, pertanto, ancora in fase di sviluppo.

L'architetturadel SID, inoltre, anche al fine di modulare il canale di comunicazione rispettoalle caratteristiche del soggetto inviante, coinvolge l'operatore finanziarionel processo di trasmissione dei dati, non solo nella fase di estrazione dalproprio sistema informativo, ma anche nelle fasi successive relative,soprattutto, alla scelta della modalità di invio tra FTP e PEC, all'individuazionedel nodo di interscambio e alle relative configurazioni tecniche (ad esempio,gestione degli account e delle credenziali di autenticazione informatica), conle conseguenti responsabilità in materia di sicurezza.

Talicircostanze, quindi, non hanno consentito un'agevole valutazione dei profili disicurezza in quanto la definizione delle misure idonee e preventive deveavvenire in concreto sulla base dei rischi insiti nelle singole fasi deitrattamenti di dati di cui si compone l'intero flusso informativo.

Pertanto,visto l'attuale stato di avanzamento della realizzazione del SID e il rilevantecoinvolgimento degli operatori finanziari nella messa in sicurezza del canaledi trasmissione, il Garante si riserva di verificare nel dettaglio ilcompletamento delle funzionalità della nuova piattaforma, anche prima dellamessa in esercizio.

1.2. Application to application Nelprovvedimento del 17 aprile 2012, il Garante aveva prescritto all'Agenzia diindividuare adeguate misure di sicurezza, di natura tecnica e organizzativa,anche in relazione al trattamento posto in essere dagli operatori finanziari,qualora la trasmissione non fosse avvenuta con interconnessione application toapplication tra i rispettivi sistemi informativi in grado di minimizzare irischi per la sicurezza nella fase preordinata alla trasmissione.

Lecaratteristiche del SID, e, in particolare, del modulo software open Java peril controllo formale, la compressione e la cifratura dei dati da trasmettere,consentono di automatizzare il processo di raccolta dei dati presso glioperatori finanziari, rafforzando così l'intera filiera di trattamento delleinformazioni riducendo passaggi manuali tra incaricati del trattamento cheaumentano di per sé le possibilità di accessi non autorizzati e trattamentiillegittimi.

Tuttavia,dalla documentazione in atti, emerge che l'architettura del SID non è in gradodi escludere eventuali interventi umani (in particolare, nelle operazioni diestrazione dei dati dai sistemi informativi, di spostamento dei file elaboratisulle piattaforme esposte, di messa a disposizione dei file via FTP o di inviotramite PEC, nonché nella ricezione delle ricevute, soprattutto negli operatoridi medie-piccole dimensioni) e prevede la possibilità di passaggi intermedi (adesempio, nodi di interscambio consorziati).

Inogni caso, occorre evidenziare che, dall'analisi della documentazione fornitadall'Agenzia delle entrate relativa ai rapporti dell'anno 2011, la maggiorparte degli operatori finanziari (il 77%) aveva un numero di rapporti inferiorea 100 (più di 10.000 su quasi 13.000 operatori), mentre 260 operatori (il 2%)avevano complessivamente più di 550 milioni di rapporti (quasi il 92% deltotale pari a circa 600 milioni).

D'altraparte, si evidenzia che risulta sproporzionato imporre la totale automazionedelle procedure a soggetti che effettuano volumi di comunicazioni moltolimitati (ad esempio, circa 7000 operatori hanno comunicato nel 2011 meno di 10rapporti), la quale, invece, risulta indispensabile rispetto agli operatori digrandi dimensioni, come già rappresentato dal Garante nel provvedimento del 17aprile 2012.

Pertanto,essendo ragionevole prevedere che gli operatori di piccole dimensioniutilizzino il SID senza una completa integrazione nei propri sistemiinformativi, si ritiene necessario che, nel valutare le caratteristiche delflusso informativo in esame al fine di garantire la sicurezza dei dati, siapresa in considerazione anche tale circostanza, fornendo agli operatori leistruzioni necessarie anche qualora la procedura di estrazione e invio dei datiall'anagrafe tributaria non venga totalmente automatizzata.

2. Misure e accorgimenti che devono essere adottatidagli operatori finanziari Alla luce di quanto sopra esposto, occorre,pertanto, individuare alcune misure e accorgimenti che gli operatori finanziaridovranno adottare in conseguenza della ridefinizione del flusso dicomunicazione dei dati attraverso il nuovo SID. Tali misure e accorgimentitengono anche conto del caso in cui gli operatori finanziari, anche in ragionedelle caratteristiche dei rispettivi sistemi informativi, non riescano adautomatizzare completamente la procedura di estrazione e invio, richiedendol'intervento, ancorché limitato, di uno o più utenti, e alle ipotesi in cui siavvalgano di nodi di interscambio esterni.

Inparticolare, al fine di ridurre al minimo i rischi di accessi non autorizzati odi trattamenti non consentiti ai dati personali oggetto di comunicazioneintegrativa annuale all'archivio dei rapporti finanziari, gli operatorifinanziari devono assicurare che:

a) isoggetti che intervengono nelle procedure di estrazione e invio devono esserescelti dagli operatori finanziari sulla base di elevati requisiti di idoneitàsoggettiva in termini di affidabilità e competenze, preferibilmente tra coloroche abbiano un rapporto stabile con essi;

b) anchein considerazione delle dimensioni dell'operatore finanziario, siano adottatimeccanismi di cifratura e di sicurezza, rispettivamente finalizzati aproteggere le informazioni contenute nel file durante i successivi passaggiall'interno dell'operatore stesso e ad assicurare l'integrità del contenuto e aprevenirne alterazioni (ad esempio, nello spostamento del file elaborato dalmodulo open Java sul server esposto per il prelevamento attraverso FTP o PEC);

c)l'accesso al file, nelle successive fasi del trattamento, anche dopo lacifratura, sia circoscritto ad un numero il più possibile limitato diincaricati;

d) vistii volumi ridotti della gran parte dei flussi relativi alla comunicazioneintegrativa annuale, deve ritenersi che la PEC risulterà lo strumento ditrasmissione privilegiato dalla maggioranza degli operatori finanziari dipiccole e medie dimensioni. Qualora la comunicazione all'Agenzia delle entrateavvenga mediante l'utilizzo di caselle di PEC alimentate in modo noncompletamente automatico, e quindi attraverso postazioni client, tali postazionidevono disporre, come da ordinarie prassi di sicurezza informatica, di versionicostantemente aggiornate del sistema operativo, del browser, dei programmiantivirus e degli altri software applicativi utilizzati sulla postazionemedesima, al fine di ridurre i rischi connessi ad accessi non consentiti oall'azione di virus o altri malware;

e)qualora gli operatori finanziari decidano di affidare la comunicazione asoggetti esterni, designati responsabili o incaricati del trattamento, il filedovrà essere loro fornito già cifrato;

f) ilfile cifrato che viene trasmesso ai predetti soggetti esterni per la successivatrasmissione all'anagrafe tributaria deve essere conservato sui nodi diinterscambio per il tempo strettamente necessario allo scambio dei dati.L'Agenzia ha dichiarato di provvedere alla cancellazione in occasione delprelievo di tale file; in ogni caso l'operatore finanziario deve verificarel'avvenuta cancellazione dai nodi di interscambio subito dopo la ricezionedelle relative ricevute;

g) anchele comunicazioni inviate tramite PEC contenenti dati personali, ancorchécifrati, devono essere cancellate da parte dell'operatore dai server di postautilizzati per la comunicazione, una volta completata la procedura di invio oricezione;

h) glioperatori finanziari, soggetti in capo ai quali sono demandate la gestionedelle utenze e delle credenziali di autenticazione FTP, devono rispettare lemisure minime di sicurezza di cui all'Allegato B del Codice, comunicandoall'Agenzia periodicamente con scadenza prefissata su canali sicuri le nuovecredenziali di autenticazione per l'accesso ai propri server FTP;

i) inodi di interscambio devono disporre di uno spazio FTP dedicato allacomunicazione integrativa annuale; in caso di nodi che servono più operatorifinanziari, tale spazio deve essere distinto per ciascuno di essi; anche lecredenziali di accesso al server FTP devono essere riferite unicamente allacomunicazione integrativa annuale di ogni singolo operatore;

l) conriferimento al ruolo assunto dai nodi di interscambio rispetto al trattamentodei dati personali, ancorché cifrati, qualora l'invio avvenga per conto terzi,occorre che l'operatore finanziario:

-designi preventivamente quale responsabile del trattamento il gestore del nodo,che deve offrire idonee garanzie in relazione a quanto previsto dall'art. 29del Codice;

-fornisca a tale soggetto adeguate istruzioni e vigili sul trattamento daeffettuare, con particolare riguardo alle ipotesi in cui tale soggetto siadesignato responsabile da più operatori, al fine di garantire misure dicarattere tecnico organizzativo volte ad assicurare la segregazione dei flussitra l'Agenzia e ciascun operatore;

m)riguardo alla possibilità di avvalersi di nodi di interscambio già certificatio consorziati, e quindi esterni, l'operatore finanziario deve assicurare che latrasmissione al nodo del file da comunicare all'anagrafe tributaria avvenga conmisure di sicurezza analoghe a quelle assicurate nell'interscambio tra il nodomedesimo e l'Agenzia delle entrate;

Comegià ribadito nel parere del 17 aprile 2012, anche in sede di esame del presenteschema di provvedimento, considerato che gli aspetti relativi alla sicurezzadei trattamenti effettuati presso gli operatori finanziari ai fini dellacomunicazione integrativa annuale all'archivio dei rapporti finanziari sonocorrelati alla messa in esercizio del SID, il Garante si riserva di effettuareeventuali verifiche, anche a campione, al fine di individuare ulteriori misureladdove risulti necessario incrementarne i livelli di sicurezza.

3. Il Sistema di interscambio dati

3.1. Criticità e osservazioni Allo stato, in basealla documentazione agli atti e da quella fornita dall'Agenzia delle entrate,le principali criticità relative al nuovo SID, attualmente ancora in fase diultimazione, si possono rinvenire nei seguenti passaggi del flusso dati:

1. allostato, non sono state ancora individuate nel dettaglio da parte dell'Agenzia:

a) le modalità di registrazione di ogni singolo operatore per utilizzare lapiattaforma FTP (cfr. punto 5.3 dello schema), finalizzata, in particolare,alla comunicazione della scelta del nodo da utilizzare in caso di nodoconsorziato, ovvero se nodo proprio, all'indicazione dell'indirizzo IP e dellecredenziali di accesso; per la registrazione, l'Agenzia ha dichiarato che èprevisto l'utilizzo del proprio sito attraverso un'applicazione ancora in fasedi progettazione di dettaglio;

b) lemodalità di integrazione nei sistemi informativi del modulo open Java, ovverola componente software realizzata dall'Agenzia per il controllo formale, lacompressione e la cifratura dei dati da trasmettere. Tale integrazionecostituisce il presupposto per l'automatizzazione delle procedure, essenzialeall'abbattimento significativo dei rischi di accessi non autorizzati,trattamenti illegittimi, non consentiti e non conformi alle finalità;

2. ilmodulo software di firma, realizzato anch'esso in ambiente open Java, èseparato da quello di controllo formale, compressione e cifratura. Talesoftware, secondo l'Agenzia, consentirebbe di "firmare digitalmente"il file da trasmettere; il certificato impiegato risulta, inoltre, esserequello utilizzato dall'operatore finanziario per inviare documentazione fiscaleattraverso il servizio Entratel. Al riguardo, inoltre, pur senza conseguenzesulle finalità dell'Agenzia volte ad assicurare l'integrità del file oggetto ditrasmissione, è opportuno precisare che il meccanismo prefigurato per la firma,che prevede l'utilizzo della Certification Authority (CA) dell'Agenzia delleentrate in luogo di una CA ufficiale e non richiede l'impiego di un dispositivofisico di firma (ad esempio, smart card), non risulta produrre un file confirma digitale ma con una c.d. firma elettronica avanzata;

3. non èrichiesto che il file da inviare tramite la PEC venga firmato con l'appositocertificato rilasciato dall'Agenzia; valuti l'Agenzia se anche tali filetrasmessi tramite PEC devono essere firmati dall'operatore finanziario di mediedimensioni (ad esempio, operatori con più di 1000 rapporti) al fine digarantire anche in questo caso, oltre alla certificazione del mittente già inparte assicurata dallo stesso canale di trasmissione, l'integrità del filerispetto a possibili alterazioni;

4. conriferimento alle caratteristiche dei nodi di interscambio, l'Agenzia hadichiarato che non è ancora stato redatto l'elenco dei nodi di cui al punto 5.2dello schema. Dalla documentazione in atti, non emergono, allo stato, irequisiti tecnici richiesti dall'Agenzia per la certificazione del nodorelativamente al corretto funzionamento del colloquio tra i sistemi (punti2.1.2 e 2.1.3 dell'allegato 3 allo schema di provvedimento);

5. ilcanale FTP prescelto dall'Agenzia per il colloquio con i nodi di interscambionon risulterebbe cifrato poiché, secondo quanto dichiarato dall'Agenzia,l'eventuale cifratura non consentirebbe di effettuare un adeguato tracciamentodelle operazioni svolte;

6. nonrisulta dalla documentazione in atti che i file di esito dell'invio trasmessidall'Agenzia all'operatore finanziario vengano protetti con modalità chepermettano la consultazione da parte del solo operatore destinatario. Ciòrisulterebbe una criticità nel caso in cui tali file, verificate incongruenzenei dati trasmessi rispetto a quelli già presenti nell'archivio dei rapportifinanziari, contengano dati personali.

3.2. Misure e accorgimenti necessari Conriferimento alle criticità sopra evidenziate, riferibili in parte ancheall'attuale stato di avanzamento del progetto SID, ancora in fase direalizzazione, al fine di ridurre al minimo i rischi di accessi non autorizzatio di trattamenti non consentiti ai dati personali oggetto di comunicazioneintegrativa annuale all'archivio dei rapporti finanziari, l'Agenzia deve:

i)integrare e modificare lo schema di provvedimento in esame prevedendo che:

1. nelcaso in cui i file di esito trasmessi dall'Agenzia contengano dati personali,siano adottate idonee modalità di cifratura, con riferimento ad entrambe lemodalità di interscambio (FTP e PEC). Tale cifratura deve avvenire mediantel'utilizzo della chiave pubblica del certificato di firma attribuito a ciascunoperatore, ovvero con altra modalità tecnica in grado di garantire la letturadel file al solo operatore finanziario.

2. afronte delle caratteristiche dei dati oggetto del flusso, soprattutto inrelazione all'interesse che il valore strategico di una simile banca dati puòsuscitare, al fine di ridurre le fragilità insite nel protocollo FTP rispettoad accessi abusivi, l'interscambio dei dati sia cifrato, anche attraverso i meccanismidi protezione già presenti nella gran parte dei prodotti disponibili (ancheopen source). L'Agenzia deve individuare opportune modalità di tracciamentodelle operazioni svolte compatibili anche con la cifratura del canale;

ii)adottare le misure e gli accorgimenti seguenti, prima dell'inizio deltrattamento:

1. conriferimento a quanto non ancora individuato nel dettaglio:

a) la procedura di registrazione che ogni singolo operatore deve effettuare perutilizzare la piattaforma FTP, attraverso un'applicazione predispostadall'Agenzia, deve avvenire su canali di trasmissione sicuri, ciò anche conriferimento alle successive trasmissioni di informazioni tecniche deglioperatori (ad esempio, le credenziali di autenticazione di cui al precedentepunto 2, lett. h);

b) lemodalità di integrazione nei sistemi informativi del modulo open Java, quale presupposto per l'automatizzazione delle procedure, soprattutto con riferimentoagli operatori di grandi dimensioni, devono essere approfonditamente esaminate dall'Agenziaed adeguatamente indicate agli operatori finanziari, al fine di minimizzare irischi di accessi non autorizzati e trattamenti non consentiti durante lefasi successive all'estrazione del file. Al riguardo, il Garante si riserva diverificarne in concreto le funzionalità anche prima della messa in esercizio;

2. conriferimento alle caratteristiche che i nodi di interscambio devono possedereper ottenere la certificazione da parte dell'Agenzia, si rileva che deve essereprevisto uno spazio dedicato alla comunicazione integrativa annuale; in caso dinodi che servono più operatori finanziari, tale spazio deve essere distinto perciascuno di essi; anche le credenziali di accesso al server FTP devono essereriferite unicamente alla comunicazione integrativa annuale di ogni singolooperatore;

3. anchele comunicazioni a mezzo PEC contenenti dati personali, ancorché cifrati,devono essere cancellate dai server di posta utilizzati, una volta completatala procedura di invio o ricezione.

C. Le finalità del trattamento deidati oggetto di comunicazione integrativa annuale

1. Le finalità del trattamento Comeprevisto dal legislatore (art. 11, comma 2, del decreto legge n. 201 del 2011),l'Agenzia ha inteso disciplinare con lo schema di provvedimento in esameunicamente le modalità di comunicazione e conservazione dei dati oggetto dellacomunicazione integrativa annuale da parte degli operatori finanziariall'anagrafe tributaria, che sono destinati ad essere archiviati nell'appositasezione separata dell'anagrafe tributaria, denominata archivio dei rapportifinanziari.

Lascelta di eliminare dal testo le disposizioni che, nella versione precedente,limitavano l'accesso puntuale ai dati a fini di accertamento risponderebbe,secondo l'Agenzia, unicamente ad un'esigenza formale, rinviando ad unsuccessivo provvedimento la disciplina del trattamento di tali dati.

L'Agenziaha dichiarato, quindi, che il provvedimento del Direttore dell'Agenzia delleentrate con cui saranno individuati i criteri da utilizzare per la formazionedelle liste selettive sarà preventivamente sottoposto a questa Autorità. Ciò,come previsto nel parere del Garante del 17 aprile 2012, nel quale è statoritenuto che i rischi che comporta una siffatta attività di classificazione delcontribuente richiedono una verifica preliminare dell'Autorità al fine diindividuare eventuali misure e accorgimenti idonei a garantire l'applicazionedei principi in materia di protezione dei dati personali (artt. 14 e 17 delCodice), fermo restando l'obbligo di notificazione al Garante ai sensidell'art. 37, comma 1, lett. d), del Codice.

L'Agenzia,in ogni caso, ha dichiarato che i dati contenuti nella comunicazioneintegrativa annuale non saranno visibili ai soggetti autorizzati all'accessoall'attuale archivio dei rapporti finanziari.

1.1. Verifica preliminare sugli accessi ai dati contenuti nellacomunicazione integrativa annuale Al riguardo, occorrerilevare che, oltre alle finalità di formazione delle liste dei contribuenti amaggior rischio evasione e di semplificazione e controllo in materia di ISEErichiamate sommariamente dall'Agenzia nel testo dello schema, il citato art.11, comma 4, prevede che tali informazioni possano essere utilizzate anche perle ulteriori finalità di cui all'art. 7, comma 11, d.P.R. n. 605, per le qualiallo stato è consentito accedere all'attuale archivio dei rapportifinanziari, che contiene unicamente gli estremi e la natura dei rapportifinanziari ma non le informazioni relative ai saldi iniziali e finali e ai datiaggregati delle movimentazioni con l'evidenza del dare e avere, oggetto dellacomunicazione integrativa annuale in esame.

Pertanto,atteso che il trattamento dei dati in esame, relativi alla totalità deisoggetti che intrattengono rapporti con gli operatori finanziari, presentarischi specifici per i diritti e le libertà fondamentali, nonché per la dignitàdegli interessati, si ribadisce che, come già previsto nel parere del Garante17 aprile 2012, laddove vengano disciplinati ulteriori casi di trattamento deidati oggetto della comunicazione integrativa annuale, l'Agenzia deve sottoporrealla verifica preliminare dell'Autorità tale circostanza ai finidell'individuazione di procedure e garanzie idonee a consentire il rispetto ditali diritti e libertà (art. 17 del Codice). Ciò, anche con riferimento aciascuna delle ipotesi di utilizzo di tali dati contemplate dal legislatore nelcitato art. 11, comma 4, oltre a quella relativa alla formazione delle listeche, come sopra illustrato, richiede altresì una valutazione sull'attività diclassificazione del contribuente ai sensi dell'art. 14 del Codice.

2. La conservazione in anagrafe tributaria Perquanto riguarda i tempi di conservazione, infine, si prende atto positivamente,che l'Agenzia ha provveduto a esplicitare nello schema in esame i tempi diconservazione dei dati che corrispondono a quelli di decadenza in materia diaccertamento delle imposte sui redditi, stabilendone l'automatica cancellazioneal termine di tale periodo. Ciò, in linea a quanto indicato dal Garante nel pareredel 17 aprile 2012.

Resta,in ogni caso, ferma l'esigenza di esaminare organicamente, in altra sede e inun più ampio contesto, le misure di sicurezza relative alla conservazionedei dati in anagrafe tributaria anche al fine di valutare l'ulterioreincremento di livelli di sicurezza da garantire rispetto a trattamenti di datiquali quelli effettuati presso l'archivio dei rapporti finanziari.

TUTTO CIO' PREMESSO IL GARANTE:

I. aisensi dell'articolo 154, commi 4 e 5, del Codice, esprime il parere favorevolesullo schema di provvedimento del Direttore dell'Agenzia delle entrateconcernente le Disposizioni di attuazione dell'articolo 11, commi 2 e 3, deldecreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni,dalla legge 22 dicembre 2011, n. 214 "Modalità per la comunicazioneintegrativa annuale all'archivio dei rapporti finanziari", a condizioneche venga integrato e modificato prevedendo che:

1) ilprotocollo FTP utilizzato per l'interscambio dei dati sia cifrato, ancheattraverso i meccanismi di protezione già presenti nella gran parte deiprodotti disponibili (anche open source). L'Agenzia deve individuare opportunemodalità di tracciamento delle operazioni svolte compatibili anche con lacifratura del canale;

2) nelcaso in cui i file di esito dell'invio contengano dati personali, sianoadottate idonee modalità di cifratura, con riferimento ad entrambe le modalitàdi interscambio (FTP e PEC). Tale cifratura deve avvenire mediante l'utilizzodella chiave pubblica del certificato di firma attribuito a ciascun operatore,ovvero con altra modalità tecnica in grado di garantire la lettura del file alsolo operatore finanziario;

3) alfine di garantirne la massima conoscibilità agli operatori finanziari, l'Allegato 1 al presente parere, sia contenutonello schema di provvedimento in esame.

II. aisensi dell'articolo 154, comma 1, lett. c), del Codice, al fine di ridurre alminimo i rischi di accessi non autorizzati o di trattamenti non consentiti aidati personali oggetto di comunicazione integrativa annuale all'archivio deirapporti finanziari, prescrive di adottare, prima dell'inizio del trattamento,le misure e gli accorgimenti contenuti, rispettivamente, per gli operatorifinanziari, nell'Allegato 1, parteintegrante del presente parere, e, per l'Agenzia delle entrate, nei punti 3.2.,lett. ii), del paragrafo B e 1.1. del paragrafo C del presente parere.

Roma, 15 novembre 2012

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia

Allegato 1

Glioperatori finanziari devono assicurare che:

a) isoggetti che intervengono nelle procedure di estrazione e invio siano sceltidagli operatori finanziari sulla base di elevati requisiti di idoneitàsoggettiva in termini di affidabilità e competenze, preferibilmente tra coloroche abbiano un rapporto stabile con essi;

c)l'accesso al file, nelle successive fasi del trattamento, anche dopo lacifratura, sia circoscritto ad un numero il più possibile limitato di incaricati;

d)qualora la comunicazione all'Agenzia delle entrate avvenga mediante l'utilizzodi caselle di PEC alimentate in modo non completamente automatico, e quindiattraverso postazioni client, tali postazioni devono disporre, come daordinarie prassi di sicurezza informatica, di versioni costantemente aggiornatedel sistema operativo, del browser, dei programmi antivirus e degli altrisoftware applicativi utilizzati sulla postazione medesima, al fine di ridurre irischi connessi ad accessi non consentiti o all'azione di virus o altrimalware;

e)qualora gli operatori finanziari decidano di affidare la comunicazione asoggetti esterni, designati responsabili o incaricati del trattamento, il filesia loro fornito già cifrato;

f) ilfile cifrato che viene trasmesso ai predetti soggetti esterni per la successivatrasmissione all'anagrafe tributaria sia conservato sui nodi di interscambioper il tempo strettamente necessario allo scambio dei dati. L'operatorefinanziario deve verificare l'avvenuta cancellazione dai nodi di interscambiosubito dopo la ricezione delle relative ricevute;

g) anchele comunicazioni a mezzo PEC contenenti dati personali, ancorché cifrati, sianocancellate da parte dell'operatore dai server di posta utilizzati per lacomunicazione, una volta completata la procedura di invio o ricezione;

h) glioperatori finanziari, soggetti in capo ai quali sono demandate la gestionedelle utenze e delle credenziali di autenticazione FTP, rispettino le misureminime di sicurezza di cui all'Allegato B del Codice, comunicando all'Agenziaperiodicamente con scadenza prefissata su canali sicuri le nuove credenziali diautenticazione per l'accesso ai propri server FTP;

l) conriferimento al ruolo assunto dai nodi di interscambio rispetto al trattamentodei dati personali, ancorché cifrati, qualora l'invio avvenga per conto terzi:

- talesoggetto sia preventivamente designato quale responsabile del trattamento ilgestore del nodo, che deve offrire idonee garanzie in relazione a quantoprevisto dall'art. 29 del Codice;

- sianofornite a tale soggetto adeguate istruzioni e vigili sul trattamento daeffettuare, con particolare riguardo alle ipotesi in cui tale soggetto siadesignato responsabile da più operatori, al fine di garantire misure dicarattere tecnico organizzativo volte ad assicurare la segregazione dei flussitra l'Agenzia e ciascun operatore;

m)riguardo alla possibilità di avvalersi di nodi di interscambio già certificatio consorziati, e quindi esterni, sia garantito che la trasmissione al nodo delfile da comunicare all'anagrafe tributaria avvenga con misure di sicurezzaanaloghe a quelle assicurate nell'interscambio tra il nodo medesimo e l'Agenziadelle entrate.