4 decreti fiscali: nuove modalità per acquisire on-line dati proporzionati
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Parere del 26 luglio 2006

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Viste le richieste di parere dell’Agenzia delle entrate del 16 e del 20 marzo 2006, relative ai seguenti schemi di provvedimento: comunicazioni all’anagrafe tributaria relative ai contratti di somministrazione di energia elettrica, di servizi idrici e del gas (art. 6, comma 1, lettera g-ter), d.P.R. 605/1973); modalità e termini di comunicazione dei dati all’anagrafe tributaria da parte degli uffici comunali in relazione alle denunce di inizio attività presentate allo sportello unico comunale per l’edilizia, a permessi per costruire e ad ogni altro atto di assenso comunque denominato in materia di attività edilizia rilasciato ai sensi del d.P.R. 6 giugno 2001, n. 380 e successive modificazioni, relativamente ai soggetti dichiaranti, agli esecutori e ai progettisti dell’opera (art. 7, comma 11, d.P.R. 605/1973); trasmissione telematica di comunicazioni all’anagrafe tributaria (art. 6, comma 1, lettera e-bis) del d. P. R. 605/1973); modalità tecniche per la trasmissione ai comuni delle dichiarazioni ai sensi dell’art. 1 del decreto-legge 30 settembre 2005, n. 203, convertito con modificazioni dalla legge 2 dicembre 2005, n. 248);
Visti gli artt. 20, comma 2, e 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;

PREMESSO:

L’Agenzia delle entrate ha chiesto il parere del Garante in ordine a quattro schemi di provvedimento del suo direttore attuativi del d.P.R. 29 settembre 1973, n. 605, come modificato dalla legge 30 dicembre 2004, n. 311 (legge finanziaria 2005), e del decreto-legge 30 settembre 2005, n. 203, convertito con modificazioni dalla legge 2 dicembre 2005, n. 248 (legge finanziaria 2006).

I primi due schemi in esame disciplinano, rispettivamente, le modalità e i termini per la comunicazione telematica all’anagrafe tributaria di informazioni relative ai contratti di somministrazione di energia elettrica, di servizi idrici e del gas, nonché delle denunce di inizio attività presentate allo sportello unico comunale per l’edilizia, relativamente ai soggetti dichiaranti, agli esecutori e ai progettisti dell’opera.

Il terzo schema di provvedimento è volto ad uniformare modalità e termini di comunicazione di dati all’anagrafe tributaria. In particolare, tale schema impone di utilizzare esclusivamente la via telematica per tutte le trasmissioni di dati, estendendola a comunicazioni previste da precedenti decreti ministeriali, di seguito elencati, sui quali (come rilevato nel provvedimento di questa Autorità del 25 maggio 2005) non era stato richiesto il parere del Garante:

  • trasmissione dei dati relativi ai pagamenti effettuati a mezzo bonifico per interventi di recupero del patrimonio edilizio ai fini della detrazione di cui all’art. 1, comma 1, della legge 27 dicembre 1997, n. 449, identificativi del mittente, dei beneficiari della detrazione e dei destinatari dei pagamenti (d. m. 18 febbraio 1998, n. 41, come modificato dal decreto ministeriale 9 maggio 2002, n. 153);
  • comunicazioni da parte delle pubbliche amministrazioni e degli enti pubblici, degli estremi dei contratti di appalto, di somministrazione e di trasporto, conclusi mediante scrittura privata e non registrati (d. m. 18 marzo 1999);
  • comunicazioni degli atti di concessione, di autorizzazione e licenza adottati da uffici pubblici, relativamente ai soggetti beneficiari (d. m. 17 settembre 1999);
    comunicazioni delle domande di iscrizione, variazione e cancellazione negli albi, registri ed elenchi tenuti dagli ordini professionali, enti ed uffici preposti (d.m. 17 settembre 1999);
  • comunicazioni da parte degli uffici marittimi e degli uffici della motorizzazione civile, sezione nautica, di dati e di notizie relativi alle iscrizioni ed alle note di trascrizione di atti costitutivi, traslativi o estintivi della proprietà o di altri diritti reali di godimento, nonché alle dichiarazioni di armatore, concernenti navi, galleggianti ed unità da diporto, o quote di essi (d.m. 21 ottobre 1999);
  • comunicazioni da parte del registro aeronautico nazionale e dei direttori delle circoscrizioni di aeroporto, dei dati e delle notizie relativi alle iscrizioni, alle variazioni e cancellazioni (d.m. 21 ottobre 1999);
  • comunicazioni degli elenchi delle persone fisiche che hanno corrisposto interessi passivi, premi di assicurazione e contributi previdenziali predisposti da soggetti che erogano mutui agrari e fondiari, imprese assicuratrici ed enti previdenziali (d.m. 27 gennaio 2000);
  • comunicazioni da parte di aziende, istituti, enti e società, dei dati e delle notizie riguardanti i contratti di assicurazione, ad esclusione di quelli relativi alla responsabilità civile ed all’assistenza e garanzie accessorie, relativamente ai soggetti contraenti (d.m. 27 giugno 2000);
  • comunicazioni da parte di aziende, istituti, enti e società, dei dati e delle notizie riguardanti i contratti di somministrazione di energia elettrica, relativamente agli utenti (d.m. 27 giugno 2000).

Il predetto schema di provvedimento è volto, altresì, ad integrare e convalidare il provvedimento del direttore dell’Agenzia delle entrate del 10 marzo 2005, adottato anch’esso senza consultare il Garante.

Infine, l’ultimo schema in esame, intende disciplinare le modalità tecniche di accesso da parte dei comuni ai dati delle dichiarazioni dei redditi e di trasmissione in via telematica da parte dell’Agenzia delle entrate delle dichiarazioni relative ai contribuenti in essi residenti.

OSSERVA:

Il Garante rileva che i quattro schemi di provvedimento pongono analoghe problematiche oggettive e soggettive, anche dal punto di vista della sicurezza e del rispetto dei principi di necessità, pertinenza, non eccedenza e proporzionalità del trattamento dei dati, che rendono opportuna una trattazione unitaria degli stessi in un unico parere.

1. I principi di necessità e di proporzionalità
Questa Autorità osserva che non vi è alcuna preclusione di fondo all’utilizzo esclusivo delle modalità telematiche per la trasmissione dei dati all’anagrafe tributaria: modalità che, oltre ad essere previste dalla legge, qualora siano configurate in termini adeguati, possono offrire maggiori opportunità in ordine alla qualità ed alla sicurezza dei dati. Non è parimenti in discussione l’esigenza di disporre di ogni necessaria idonea informazione per l’azione di verifica e contrasto dell’evasione fiscale.

La previsione esclusiva di tali modalità, tuttavia, pone in misura più accentuata l’obbligo di rispettare il principio di necessità e di proporzionalità nel trattamento dei dati personali, che per legge si applica anche alle attività svolte dall’Agenzia delle entrate e presso l’anagrafe tributaria (artt. 3 e 11 del Codice).

Va valutata positivamente la circostanza che negli schemi in esame si precisa la volontà di conformarsi a tali principi del Codice.

Si rileva, tuttavia, che la sistematica trasmissione di informazioni prevista dai provvedimenti in esame, non risulta configurata nell’osservanza del principio di necessità che impone al titolare del trattamento di predisporre i sistemi informativi e i programmi informatici riducendo al minimo l’utilizzazione di dati personali in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante opportune modalità che permettano di identificare l’interessato solo in caso di necessità. Inoltre, le singole categorie di informazioni e la quantità dei dati che si intendono trattare devono essere pertinenti, non eccedenti e proporzionate rispetto alle finalità perseguite.

Un sistema telematico rispettoso dei predetti principi in materia di protezione dei dati personali deve consentire un agevole accesso diretto ai dati, evitando duplicazioni di banche di dati, attraverso una consultazione interattiva e simultanea delle informazioni necessarie che non pregiudichi la loro tempestiva fruibilità ma assicuri una maggiore qualità dei dati stessi sotto il profilo della loro esattezza e costante aggiornamento. Ciò, in particolare, con riferimento alla moltitudine di dati destinati, in base alle modalità individuate negli schemi di provvedimenti in esame, a confluire nell’anagrafe tributaria, che riproducono, senza criteri selettivi, svariate banche dati e informazioni relative a utenti, assicurati, liberi professionisti ed altri dati contenuti in elenchi o registri pubblici.

Consideri l’Agenzia, nel dare attuazione alle norme in questione, quali modalità di comunicazione siano più appropriate, evitando, ove possibile, l’integrale acquisizione e duplicazione presso l’anagrafe tributaria di innumerevoli informazioni (con rischi anche di disallineamento e insufficiente aggiornamento dei dati) e avvalendosi di meccanismi di consultazione in tempo reale e di acquisizione telematica dei soli flussi di dati, anche per categorie di informazioni o di interessati.

Anche al fine di favorire la piena e rapida attuazione del disegno complessivo contenuto nel codice dell’amministrazione digitale, i sistemi informativi non devono tendere ad accumulare in modo centralizzato (ancorché realizzato in via telematica) una moltitudine di dati personali. Ogni sforzo dovrà invece essere volto a realizzare un sistema pubblico di connettività teso a sviluppare la condivisione, l’integrazione e la circolazione del patrimonio informativo e dei dati della pubblica amministrazione in un ottica di interoperabilità applicativa dei medesimi sistemi informatici e dei flussi informativi (d.l.g. 7 marzo 2005, n. 82 come modificato dal d.lg. 4 aprile 2006, n. 159).

Per quanto riguarda lo schema di provvedimento relativo alla trasmissione delle dichiarazioni dei redditi ai comuni, in particolare, si evidenzia che, allo stato degli elementi forniti, non risulta comprovata la necessità di una trasmissione annuale delle dichiarazioni dei redditi agli stessi, in luogo dell’accesso puntuale consentito loro, in via telematica, attraverso il servizio Siatel (Sistema di interscambio anagrafe tributaria ed enti locali).

Con riferimento, poi, alle informazioni più analitiche successivamente trasmissibili ai comuni, l’eventuale trattamento di dati sensibili e giudiziari che potrebbero emergere dalle dichiarazioni dei redditi e potrebbero essere trasmessi solo in caso di indispensabilità, dovrà essere comunque individuato in un atto di natura regolamentare da sottoporre in separata sede al parere del Garante (artt. 20 e 21 del Codice).

Nell’ambito del predetto provvedimento, inoltre, non risultano definiti i ruoli e le responsabilità dell’Agenzia delle entrate e dei comuni rispetto al trattamento dei dati personali, ciò anche con riferimento alla prevista successiva partecipazione di questi ultimi all’accertamento fiscale.

Considerato l’ambito tematico demandato dalla legge agli schemi in esame, si segnala da ultimo l’esigenza di affrontare in altra sede la questione degli effetti realizzati in termini di trattamento dei dati raccolti in attuazione degli atti non sottoposti a suo tempo al parere del Garante (art. 11, comma 2, del Codice).

2. La sicurezza
Sotto il profilo della sicurezza nella trasmissione delle informazioni, i primi tre schemi in esame prevedono l’interazione degli enti obbligati al conferimento dei dati all’anagrafe tributaria tramite due canali di accesso: la rete Entratel, posta in esercizio dall’Agenzia, e la rete pubblica Internet.

Dal punto di vista funzionale le modalità di accesso e, in particolare, di autenticazione informatica, sarebbero tuttavia comuni ai due canali.

Nel caso della rete Entratel il collegamento degli enti al sito riservato tramite cui procedere alla trasmissione delle informazioni avverrebbe con protocollo vpn, aggiungendo quindi un livello di sicurezza alla cifratura della sessione end-to-end svolta tramite convenzionali sessioni ssl su collegamenti di tipo web. L’accesso al vpn avverrebbe con apposite credenziali, diverse da quelle utilizzate per l’accesso ai servizi.

La procedura di autenticazione degli incaricati si baserebbe su credenziali composte da un codice identificativo alfanumerico di otto caratteri e da una password, modificabile secondo quanto previsto dal disciplinare tecnico sulle misure minime di sicurezza di cui all’Allegato B) al Codice. Una volta ottenuto l’accesso al sito riservato sarebbe possibile svolgere determinate operazioni mentre per altre, relative al cosiddetto cassetto fiscale, occorrerebbe utilizzare un ulteriore pin (personal identification code) riservato, in possesso di ciascun utente.

L’accesso al sistema dell’Agenzia delle entrate da parte dei soggetti che conferiscono i dati sarebbe finalizzato esclusivamente alla trasmissione delle informazioni di propria pertinenza, con funzioni di corredo per la verifica della trasmissione e l’ottenimento delle relative ricevute.

Il meccanismo di autenticazione non risulta in contrasto con le misure minime di sicurezza di cui all’art. 34 del Codice e al predetto disciplinare tecnico.

Rispetto alla modalità di accesso Entratel, l’Agenzia deve, però, precisare che le credenziali di autenticazione devono essere esclusivamente personali per ciascun incaricato del trattamento, anzichè “di gruppo”. Il documento allegato alla richiesta di parere (“Nota per il Garante sulla sicurezza nel trattamento dei dati provenienti da fonti esterne e sulle modalità tecniche di utilizzo e archiviazione”) lascia, infatti, margini di interpretazione rispetto al possibile uso condiviso di credenziali da parte di incaricati appartenenti alla medesima organizzazione. Nel caso sussistano o si prefigurino prassi d’uso non in linea con le misure minime di sicurezza occorrerà quindi prescrivere idonee azioni correttive.

Per quanto riguarda poi lo schema di provvedimento relativo alla trasmissione delle dichiarazioni dei redditi ai comuni, l’Agenzia ha individuato il servizio Siatel quale mezzo tecnico di trasmissione dei dati. Tuttavia, ancorché tale sistema palesi specifici motivi di allarme, la delicatezza dei dati trattati, nonchè l’esigenza di mantenere una costante idoneità delle misure di sicurezza diverse da quelle “minime” impongono di adottare ulteriori misure ed accorgimenti che possano accrescere i livelli di sicurezza.

In particolare, il meccanismo di autenticazione degli incaricati di trattamento, pur essendo in linea con le misure “minime”, andrebbe modificato ed integrato con misure idonee a irrobustire la procedura di autenticazione e a delimitare nel tempo e nella localizzazione sulla rete la possibilità di accesso alla banca dati dell’anagrafe tributaria.

Tali misure, se già operanti, devono essere esplicitate o adottate entro un ragionevole lasso di tempo al fine di assicurare più elevati livelli di sicurezza.

Schematicamente, per il profilo di sicurezza, andrebbero quindi predisposti strumenti e procedure per:

  • I) irrobustire la procedura di autenticazione tramite l’adozione di componenti non riservate delle credenziali, non facilmente riconducibili a soggetti legittimamente incaricati: l’utilizzo del codice fiscale, pur tecnicamente corretto, può prestarsi alla realizzazione di attacchi basati su social engineering, anche condotti dall’interno degli enti coinvolti;
  • II) controllare che gli accessi all’anagrafe tributaria abbiano origine esclusivamente dalle numerazioni di rete Ip di pertinenza di ciascun ente autorizzato, implementando meccanismi di access control list (acl) con strumenti usualmente utilizzati per gestire la sicurezza perimetrale della propria rete;
  • III) garantire che gli accessi da parte dei legittimi incaricati avvengano esclusivamente nell’ambito di intervalli temporali o di data predeterminati, definiti sulla base delle esigenze d’ufficio;
  • IV) assicurare infine che gli accessi avvengano soltanto tramite l’uso di postazioni di lavoro appartenenti alla rete Ip dell’ente autorizzato o/e dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell’erogatore del servizio.

TUTTO CIÒ PREMESSO IL GARANTE:

esprime il parere richiesto sui quattro schemi di decreto del Direttore dell’Agenzia delle entrate indicati in premessa con le osservazioni di cui ai punti 1 e 2:

A) relativamente ai primi tre schemi di provvedimento, con riferimento:

  • I) all’esigenza di considerare quali modalità di comunicazione siano adeguate rispetto ai principi di necessità e proporzionalità, evitando, ove possibile, duplicazioni se non nei soli casi realmente necessari, avvalendosi anche di meccanismi di consultazione in tempo reale e di acquisizione telematica dei soli flussi di dati, anche per categorie di informazioni o di interessati;
  • II) alla necessità di precisare che le credenziali di autenticazione siano esclusivamente personali per ciascun incaricato di trattamento, anziché di gruppo;

B) relativamente allo schema di provvedimento concernente la trasmissione delle dichiarazioni dei redditi ai comuni, con riferimento:

  • I) all’esigenza di comprovare la necessità di una trasmissione annuale delle dichiarazioni dei redditi, in luogo dell’accesso telematico puntuale consentito loro attraverso il servizio Siatel, verificando, altresì, l’eventuale trattamento di dati sensibili e giudiziari e definendo i ruoli e le responsabilità dell’Agenzia delle entrate e dei comuni rispetto al trattamento dei dati personali;
  • II) alla necessità di prevedere strumenti e procedure per:

    1. irrobustire la procedura di autenticazione tramite l’adozione di componenti non riservate delle credenziali, non facilmente riconducibili a soggetti legittimamente incaricati;
    2. controllare che gli accessi all’anagrafe tributaria abbiano origine esclusivamente dalle numerazioni di rete Ip di pertinenza di ciascun ente autorizzato, implementando meccanismi di access control list con strumenti usualmente utilizzati per gestire la sicurezza perimetrale della propria rete;
    3. garantire che gli accessi da parte dei legittimi incaricati avvengano esclusivamente nell’ambito di intervalli temporali o di data predeterminati, definiti sulla base delle esigenze d’ufficio;
    4. assicurare infine che gli accessi avvengano soltanto tramite l’uso di postazioni di lavoro appartenenti alla rete Ip dell’ente autorizzato o/e dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell’erogatore del servizio.

Roma, 26 luglio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli