g-docweb-display Portlet

Proroga degli adempimenti per gli accessi all'anagrafe tributaria effettuati tramite web services limitatamente ad Inps, Inpdap, Enpals e Avcp, Ca...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1776140]

Proroga degli adempimenti per gli accessi all´anagrafe tributaria effettuati tramite web services limitatamente ad Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea - 2 dicembre 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il provvedimento del 18 settembre 2008, con il quale il Garante ha prescritto all´Agenzia delle entrate una serie di misure e accorgimenti necessari al fine di porre rimedio alle carenze riscontrate e di incrementare i livelli di sicurezza degli accessi all´Anagrafe tributaria da parte dei soggetti esterni all´amministrazione finanziaria, fornendo riscontro a questa Autorità circa la loro attuazione al decorso dei termini ivi stabiliti;

VISTA, in particolare, la prescrizione di cui alla lett. d), II), secondo punto del predetto provvedimento del Garante del 18 settembre 2008, che prevede, in particolare, che le (…) condizioni d´uso dei web services devono essere trasposte in appositi "accordi di servizio", redatti secondo il modello della cooperazione applicativa impiegata all´interno del sistema pubblico di connettività istituito dal Codice dell´amministrazione digitale. Gli "accordi di servizio" devono individuare idonee garanzie per il trattamento dei dati personali, prevedendo, in particolare, il tracciamento delle operazioni compiute in cooperazione applicativa, con possibilità di identificazione dell´utente che accede ai dati, il timestamp, l´indirizzo Ip di provenienza dell´utente e del server interconnesso, l´operazione effettuata e i dati trattati";

VISTO il provvedimento del 26 marzo 2010, con il quale il Garante ha individuato misure idonee ad assicurare che l’accesso all’Anagrafe tributaria, attraverso la nuova classe di web services predisposta dall’Agenzia delle Entrate da parte di Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea, avvenga nel rispetto del Codice in materia di protezione dei dati personali;

VISTI il punto 2), B), lett. e), del predetto provvedimento del Garante del 26 marzo 2010, che dispone che "i web services non siano utilizzati da soggetti esterni" agli enti sopra elencati, ed il punto 2, A), lett. e), del medesimo provvedimento, con il quale è stato da ultimo prorogato al 31 ottobre 2010, nei soli confronti di tali enti, il termine per l’adempimento della prescrizione di cui alla citata lett. d), II), secondo punto del provvedimento del Garante del 18 settembre 2008;

VISTE le note dell’Agenzia delle entrate con ciascuna delle quali è stata richiesta una proroga per l’adempimento della prescrizione di cui alla richiamata lett. d), II), secondo punto del provvedimento del Garante del 18 settembre 2008, per un totale di complessivi sessanta giorni (note del 26 ottobre 2010, prot. n. 2010/151881 e del 9 novembre 2010, prot. n. 2010/156682);

CONSIDERATO che l’Agenzia, con la nota del 26 ottobre 2010 ed in occasione degli incontri presso l’Autorità, ha rappresentato:

• di aver concluso la gran parte "delle attività finalizzate alla sostituzione degli attuali servizi di cooperazione applicativa (web services), con quelli di nuova generazione realizzati dall’Agenzia delle entrate" al fine di renderli conformi alle prescrizioni impartite dal Garante alla lettera d), II), secondo punto del citato provvedimento del 18 settembre 2008 e delle restanti ulteriori misure stabilite nel citato provvedimento del 26 marzo 2010;

• che i test effettuati "garantiscono, per il momento, l’attivazione entro il 31 ottobre 2010 dei nuovi servizi in ambiente internet" ma che, tuttavia, sono state incontrate, unitamente ad una parte degli altri enti interessati, delle difficoltà "nel completare l’iter di trasferimento degli stessi servizi nell’ambiente SPC Coop (modello della cooperazione applicativa impiegata all´interno del sistema pubblico di connettività istituito dal Codice dell´amministrazione digitale), così come previsto nel provvedimento del Garante del 18 settembre 2008";

• che "troveranno in ogni caso applicazione anche le ulteriori misure di sicurezza di cui al provvedimento del 26 marzo 2010 (…)";

• "l’Agenzia assicura, nella fruizione in ambiente internet da parte degli enti autorizzati, uno standard equivalente a quello previsto in ambiente SPC-Coop, sotto il profilo della sicurezza informatica dei dati";

• che "non appena saranno positivamente completate le sperimentazioni in ambiente SPC-Coop (…) troverà immediata attuazione il passaggio in ambiente di cooperazione applicativa";

RILEVATA, in ragione delle motivazioni sopra richiamate, la congruità del termine di proroga richiesto dall’Agenzia delle entrate per adempiere alla richiamata prescrizione di cui alla lett. d), II), secondo punto del provvedimento del Garante del 18 settembre 2008, avuto anche riguardo alle misure di sicurezza garantite medio tempore dall’Agenzia stessa;

VISTE le prescrizioni del provvedimento del Garante del 26 marzo 2010 di cui al punto 2, A), lett. a), che prevede che l’Agenzia debba garantire che "i web services possano essere utilizzati esclusivamente dagli utenti il cui codice utente sia stato preventivamente comunicato dall´ente di appartenenza" ed al punto 2, B), lett. d) che prevede, tra l’altro, che Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea comunichino preventivamente all’Agenzia delle entrate i codici degli utenti espressamente abilitati all’utilizzo del web services dell’Agenzia stessa;

VISTO, in particolare, che, secondo quanto rappresentato dall’Agenzia l’attuale "cornice di sicurezza nella quale vengono utilizzati i web services (WS Security) prevede già la comunicazione, attraverso le asserzione SAML, dei codici degli utenti. Tali asserzioni SAML, contenenti i codici degli utenti, vengono firmate digitalmente dall’ente esterno e inviate in modalità sicura all’Agenzia delle entrate. Le stesse in virtù della firma digitale apposta non possono essere ripudiate e garantiscono così l’imputabilità delle transazioni effettuate da un soggetto fisico" e che "attraverso le asserzioni SAML, l’Agenzia può eseguire la tracciabilità degli accessi e sviluppare sistemi di monitoraggio e di allarme in caso di utilizzo improprio dei servizi" (nota del 9 novembre 2010; prot. n. 2010/156682);

VISTO che, anche alla luce delle considerazione sopra esposte, l’Agenzia delle entrate richiede "di eliminare le liste degli utenti potenziali (dei web services) che devono essere preventivamente comunicati all’Agenzia" stessa (nota del 9 novembre 2010);
RITENUTO che, a seguito dell’adozione delle specifiche misure rappresentate dall’Agenzia nella nota del 9 novembre 2010 e sopra richiamate, si possa consentire l’utilizzo dei web services da parte di Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea senza la necessità dalla preventiva comunicazione da parte di tali enti delle liste dei rispettivi utenti da questi espressamente abilitati all’utilizzo dei suddetti servizi, prevista ai sopra richiamati punti 2, A), a) e 2, B) d) del provvedimento del Garante del 26 marzo 2010;

RITENUTO tuttavia necessario disporre che, laddove i suddetti enti intendano avvalersi dei web services dell’Agenzia delle entrate senza la preventiva comunicazione delle liste dei rispettivi utenti da questi espressamente abilitati all’utilizzo dei suddetti servizi, vengano predisposte soluzioni alternative che consentano all’Agenzia delle entrate di ricevere tempestivamente da tali enti informazioni relative a singole utenze ai fini del monitoraggio di eventuali utilizzi impropri dei collegamenti;

VISTA le documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

TUTTO CIO’ PREMESSO IL GARANTE:

ai sensi dell´art. 154, comma 1, lett. c) del Codice, viste le richieste dall´Agenzia delle entrate (note del 26 ottobre e del 9 novembre 2010), tenuto conto delle considerazioni sopra formulate, dell’adozione da parte dell’Agenzia delle specifiche misure rappresentate nella nota del 9 novembre 2010 e sopra richiamate, e fatte salve tutte le altre prescrizioni contenute nei provvedimenti del Garante del 18 settembre 2008 e del 26 marzo 2010, dispone che:

1. è prorogato per l’Agenzia delle entrate fino al 31 dicembre 2010 il termine per l’adempimento della prescrizione di cui alla lett. d), II), secondo punto del provvedimento del Garante del 18 settembre 2008, limitatamente ad Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea ai fini del completamento dell’iter di trasferimento dei web services all’interno del sistema pubblico di connettività, istituito dal Codice dell’amministrazione digitale;

2.a. l’Agenzia delle entrate possa consentire l’utilizzo dei web services da parte di Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea senza la necessità della preventiva comunicazione da parte di tali enti delle liste dei rispettivi utenti da questi espressamente abilitati all’utilizzo dei suddetti servizi, prevista dai sopra richiamati punti 2, A), a) e 2, B) d) del provvedimento del Garante del 26 marzo 2010;

2.b. Inps, Inpdap, Enpals e Avcp, Camere di commercio e Agea, laddove intendano avvalersi dei web services dell’Agenzia delle entrate senza la preventiva comunicazione delle liste dei rispettivi utenti da questi espressamente abilitati all’utilizzo dei suddetti servizi, debbano predisporre soluzioni alternative che consentano all’Agenzia di ricevere tempestivamente da tali enti informazioni relative a singole utenze ai fini del monitoraggio di eventuali utilizzi impropri dei collegamenti; ciò ferme restando, comunque, per tali enti le ulteriori prescrizioni di cui al punto 2, B), lett. d) del provvedimento del garante del 26 marzo 2010, relative all’obbligo di assicurare che l´utente dell´ente venga espressamente abilitato all´utilizzo dei web services dal soggetto giuridicamente preposto all´individuazione degli utenti e dei profili, ed all’obbligo di assicurare che i web services possano essere utilizzati esclusivamente da tali soggetti.

Roma, 2 dicembre 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli



Vedi anche (10)