PROVVEDIMENTO DEL 31 GENNAIO 2013

Registro dei provvedimenti
n. 48 del 31 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

INdata odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vicepresidente, del dott.ssa Giovanna Bianchi Clerici, dellaprof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretariogenerale;

VISTOil decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezionedei dati personali (di seguito Codice);

VISTOil parere del 15 novembre 2012 con il quale il Garante si èespresso favorevolmente sullo schema di provvedimento del Direttoredell'Agenzia delle entrate in materia di Disposizioni di attuazionedell'articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011, n. 201,convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214"Modalità per la comunicazione integrativa annuale all'archivio deirapporti finanziari" (punto I del dispositivo), a condizione che venga integratoe modificato prevedendo che:

1) ilprotocollo FTP utilizzato per l'interscambio dei dati sia cifrato, ancheattraverso i meccanismi di protezione già presenti nella gran parte deiprodotti disponibili (anche open source). L'Agenzia deve individuare opportunemodalità di tracciamento delle operazioni svolte compatibili anche con lacifratura del canale;

2) nelcaso in cui i file di esito dell'invio contengano dati personali, sianoadottate idonee modalità di cifratura, con riferimento ad entrambe le modalitàdi interscambio (FTP e PEC). Tale cifratura deve avvenire mediante l'utilizzodella chiave pubblica del certificato di firma attribuito a ciascun operatore,ovvero con altra modalità tecnica in grado di garantire la lettura del file alsolo operatore finanziario;

3) alfine di garantirne la massima conoscibilità agli operatori finanziari,l'Allegato 1 al predetto parere, sia contenuto nello schema di provvedimento inquestione;
VISTA la nota dell'Agenzia delle entrate del 27 dicembre 2012con la quale l'Agenzia ha rappresentato al riguardo che:

- i file di esito trasmessi dall'Agenzia non contengono dati personali poiché glieventuali errori rilevati vengono segnalati attraverso il riferimento a codici presentisul tracciato record;

- in luogo della cifratura del protocollo FTP, prescritta dal Garante nel citatoparere del 15 novembre 2012, si intende utilizzare in alternativa, garantendoaltresì il tracciamento delle operazioni svolte, l'utilizzo della tecnologiaVPN in modalità site to site che assicura la protezione del canale trasmissivosu cui viaggiano in chiaro i soli parametri per l'apertura del canaletrasmissivo e i comandi FTP;

-l'allegato 1 al predetto parere del Garante, contenente le raccomandazionidestinate agli operatori finanziari, verrà inserito nel provvedimento delDirettore dell'Agenzia;

- èstato previsto di introdurre la firma dei file anche per le comunicazionieffettuate tramite PEC dagli operatori finanziari;

VISTOl'allegato tecnico alla citata nota, che, descrivendo la nuova architettura direte e   di sicurezza per il Sistema di interscambio dati (SID),prevede l'utilizzo della tecnologia VPN;

RITENUTOche l'utilizzo della tecnologia VPN nei termini prospettati dall'Agenzia garantiscalivelli di sicurezza non inferiori alla cifratura del protocollo FTP, rimanendoin ogni caso necessaria l'individuazione di opportune modalità di tracciamentodelle operazioni di trasferimento di file svolte;

CONSIDERATAfavorevolmente la scelta dell'Agenzia di introdurre la firma dei file anche perle comunicazioni effettuate tramite PEC dagli operatori finanziari;

CONSIDERATOaltresì che, in ogni caso, restano ferme prescrizioni impartite dal Garante conil predetto parere del 15 novembre 2012, ai sensi dell'articolo 154, comma 1,lett. c), del Codice (punto II del dispositivo), secondo le quali, al fine diridurre al minimo i rischi di accessi non autorizzati o di trattamenti nonconsentiti ai dati personali oggetto di comunicazione integrativa annualeall'archivio dei rapporti finanziari, prima dell'inizio del trattamento debbanoessere adottate le misure e gli accorgimenti individuati, rispettivamente, pergli operatori finanziari, nell'Allegato 1, parte integrante del parere, e, perl'Agenzia delle entrate, nei punti 3.2., lett. ii), del paragrafo B e 1.1. delparagrafo C del parere;

VISTAla documentazioni in atti;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

aisensi dell'art. 154, comma 1, lett. c) del Codice, in relazione alla richiestaformulata dall'Agenzia delle entrate con la nota del 27 dicembre 2012 e tenutoconto delle considerazioni sopra formulate, fermo restando quanto prescrittonel provvedimento del 15 novembre 2012 (punto II del dispositivo) circa lemisure e gli accorgimenti da adottare da parte degli operatori finanziari edall'Agenzia prima dell'inizio del trattamento, dispone che in luogo dellacifratura del protocollo FTP,  prevista dal Garante nel citato parere del15 novembre 2012, si possa utilizzare la tecnologia VPN in modalità site tosite nei termini prospettati dall'Agenzia medesima, individuando altresìopportune modalità di tracciamento delle operazioni di trasferimento di filesvolte.

Roma, 31 gennaio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia