Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Riscossione: maggiori garanzie per i contribuenti - 7 ottobre 2009 [1664231]

[doc. web n. 1664231]

vedi anche
[newsletter]

[provv. del 18 settembre 2008]

Riscossione: maggiori garanzie per i contribuenti - 7 ottobre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO:

Nell'ambito degli accertamenti già avviati sul sistema informativo della fiscalità, il Garante ha proseguito le verifiche nei confronti dell'amministrazione finanziaria con riferimento  al trattamento dei dati personali effettuato a fini di riscossione a mezzo ruolo. In particolare, oltre ai profili concernenti gli accessi all'anagrafe tributaria da parte degli agenti della riscossione, sono state affrontate, più in generale, alcune problematiche relative al trattamento dei dati personali effettuato per tali finalità, tenuto anche conto della riorganizzazione del servizio nazionale della riscossione in atto.

Nel corso dell'istruttoria, infatti, è emerso che il nuovo assetto del servizio di riscossione a mezzo ruolo è ancora in fase di sviluppo al fine di dare piena attuazione alla recente riforma del settore avvenuta ad opera dell'art. 3 del d. l. 30 settembre 2005, n. 203, convertito, con modificazioni, dalla l. 2 dicembre 2005, n. 248.

Tale riforma, che ha profondamente modificato il sistema del servizio nazionale di riscossione dei tributi a mezzo ruolo, ha ricondotto la gestione e la responsabilità della funzione della riscossione in capo all'Amministrazione finanziaria che la esercita mediante una società pubblica. Superando il preesistente impianto concessorio su base provinciale, che affidava il servizio della riscossione a soggetti privati, la riforma ha attribuito tali funzioni all'Agenzia delle entrate, affinché le eserciti mediante la società Riscossione S.p.A. (ora Equitalia S.p.A.), partecipata per il 51% dall'Agenzia delle Entrate e per il 49% dall'Inps, anche attraverso le società dalla stessa controllate.

Il gruppo Equitalia gestisce la riscossione a mezzo ruolo sul territorio nazionale -fatta eccezione per la Sicilia- attraverso le società partecipate (agenti della riscossione). Al gruppo Equitalia appartiene, altresì, la società Equitalia Servizi S.p.A. (ex Consorzio Nazionale concessionari – CNC) che provvede principalmente agli adempimenti informatici per tutto il gruppo e, in particolare, all'acquisizione dei carichi (riscossione spontanea e coattiva a mezzo ruolo), alla compilazione informatizzata dei ruoli ed alla stampa delle cartelle di pagamento. Infine, il gruppo comprende anche la società Equitalia Giustizia S.p.A. (recentemente costituta al fine di gestire i crediti relativi alle spese di giustizia e alle pene pecuniarie) che non è oggetto dell'istruttoria in esame.

Analoga riforma del servizio della riscossione a mezzo ruolo è in corso di attuazione nella Regione Siciliana, dove, in base alle prerogative derivanti dallo statuto speciale, la l. r. 22 dicembre 2005, n. 19 ha recepito la riforma statale del servizio di riscossione, prevedendo la costituzione di una parallela società pubblica per azioni, denominata Riscossione Sicilia S.p.A., partecipata dalla Regione Siciliana e dall'Agenzia delle Entrate al fine di gestire tale attività. La società, avvalendosi della partecipata Serit Sicilia S.p.A., svolge, in particolare, attività di riscossione a mezzo ruolo.

Per quanto riguarda il trattamento dei dati personali, secondo il citato art. 3, comma 29, del d.l. n. 203 del 2005, Equitalia S.p.A. e le società del gruppo, come anche Sicilia Riscossione S.p.A. e Serit Sicilia S.p.A., sono equiparate ai soggetti pubblici.

La rilevanza del riassetto previsto dalla riforma, sia sotto il profilo giuridico sia per l'entità degli interessati e dei dati personali trattati, ha reso necessario verificare, oltre ai numerosi flussi già in essere tra gli agenti della riscossione, Equitalia Servizi S.p.A. e l'anagrafe tributaria, la conformità al Codice dei trattamenti di dati personali effettuati dai soggetti coinvolti nella predetta riorganizzazione.

Le attività ispettive hanno riguardato, in particolare:

1) i rapporti in materia di trattamento di dati personali tra l'Agenzia delle entrate, Equitalia S.p.A., le altre società del gruppo Equitalia e Sogei S.p.A;

2) i rapporti in materia di trattamento di dati personali tra Riscossione Sicilia S.p.A. e Serit Sicilia S.p.A.;

3) i sistemi informativi utilizzati a fini di riscossione con riferimento specifico alle modalità di autenticazione e di autorizzazione degli utenti, alle funzionalità di alcuni applicativi, nonchè alle basi di dati esistenti;

4) le modalità di trattamento dei dati e le procedure di audit implementate;

5) l'informativa fornita agli interessati e l'esercizio da parte degli stessi dei diritti di cui all'art. 7 del Codice nell'ambito della riscossione;

6) gli accessi al sistema informativo della fiscalità e ad altre banche dati pubbliche e private;

7) il trattamento delle informazioni bancarie e l'accesso a fini di riscossione ai dati trasmessi all'anagrafe tributaria dagli operatori finanziari (cfr. art. 35, comma 25, del d. l. 4 luglio 2006, n. 223, convertito, con modificazioni, dalla l. 4 agosto 2006, n. 248,  e art. 1, comma 225, della l. 24 dicembre 2007, n. 244, e art. 83, comma 28-sexies, del d. l. 25 giugno 2008, n. 112, così come inserito dalla legge di conversione 6 agosto 2008, n. 133).

OSSERVA:

L'istruttoria effettuata, attraverso i menzionati accertamenti ispettivi, ha permesso di individuare alcune criticità relative al trattamento di dati personali effettuato a fini di riscossione mediante ruolo, di seguito descritte.

Sulla base della documentazione in atti, pertanto, il Garante, ai sensi dell'art. 154, comma 1, lett. c) del Codice, ritiene necessario prescrivere una serie di misure e accorgimenti che devono essere adottati, per le parti di competenza, dall'Agenzia delle entrate, da Equitalia S.p.A. e dalle società da essa partecipate, nonché, nel rispetto della speciale configurazione del servizio in Sicilia, dalla Regione Siciliana, da Riscossione Sicilia S.p.A. e dalla partecipata Serit Sicilia S.p.A (cfr. punto 9).

Tali misure e accorgimenti tengono conto del complesso riassetto organizzativo in corso e sono necessari al fine di porre rimedio alle carenze riscontrate, rendendo conforme al Codice il trattamento dei dati personali effettuato dall'Agenzia delle entrate e dal gruppo Equitalia, nonché dalla Regione Siciliana, da Riscossione Sicilia S.p.A. e dalla partecipata Serit Sicilia S.p.A., a fini di riscossione dei tributi a mezzo ruolo.

1. I rapporti in materia di trattamento di dati personali tra l'Agenzia delle entrate, Equitalia S.p.A., le altre società del gruppo Equitalia e Sogei S.p.A.

Criticità

A causa della recente riforma e della complessa riorganizzazione societaria ancora in corso, non risulta chiara la ripartizione delle competenze in materia di trattamento dei dati personali tra l'Agenzia delle entrate, Equitalia S.p.A., Equitalia Servizi S.p.A. e le altre società del gruppo.

Attualmente, è stato rilevato che l'Agenzia e ciascuna società ritengono di agire in qualità di autonome titolari del trattamento. Risultano, tuttavia, elementi di diritto e di fatto che rendono complessa la ricostruzione necessaria all'individuazione dei titolari del trattamento dei dati effettuato a fini di riscossione.

La legge attribuisce, infatti, direttamente all'Agenzia la funzione di riscossione che deve essere esercitata mediante Equitalia S.p.A., sulla quale (oltre al controllo azionario normativamente previsto) svolge attività di coordinamento, attraverso la preventiva approvazione dell'ordine del giorno delle sedute del consiglio di amministrazione e delle deliberazioni da assumere nello stesso consiglio. Equitalia S.p.A., anche attraverso altre società per azioni da essa controllate, effettua, in particolare, l'attività di riscossione mediante ruolo (art. 3 del d. l. n. 203 del 30 settembre 2005, convertito, con modificazioni, dalla l. 2 dicembre 2005, n. 248 e successivamente modificato dal comma 28-septies dell'art. 83, d.l. 25 giugno 2008, n. 112, aggiunto dalla legge di conversione 6 agosto 2008, n. 133).

Dall'esame degli elementi di fatto riscontrati, sono emerse circostanze discordanti da tale quadro normativo in ordine agli assetti gestionali relativi all'articolazione e alla gestione delle banche dati, al controllo dell'Agenzia delle entrate sull'attività di Equitalia S.p.A. e alla vincolatività delle direttive emanate da Equitalia S.p.A. per le società partecipate.

In seguito al confronto avviato nel corso dei recenti accertamenti, la stessa Equitalia S.p.A. ha dichiarato che, allo stato, è in corso un confronto interno al gruppo, anche con l'Agenzia delle entrate, al fine di precisare i rapporti giuridici esistenti e il ruolo assunto in relazione alla protezione dei dati personali anche alla luce della riorganizzazione ancora in corso.

In tale contesto si colloca l'attività svolta da Sogei in favore dell'Agenzia e del gruppo Equitalia che trova fondamento nel contratto servizi quadro per la gestione dei sistemi informativi della fiscalità tra Sogei e il Ministero dell'economia e delle finanze e negli appositi contratti esecutivi di riferimento.

Prescrizioni

1) Atteso che, ai sensi dell'art. 28 del Codice, l'individuazione della titolarità (o co-titolarità) del trattamento ex lege risulta condizionata dal concreto assetto del servizio nazionale della riscossione ancora in corso di riorganizzazione, l'Agenzia delle entrate, Equitalia S.p.A. e le società del gruppo devono definire al più presto il ruolo assunto in relazione alla protezione dei dati personali nell'ambito della riforma.

Tale definizione non può prescindere dal dato normativo che determina quali siano i soggetti che possono esercitare, anche congiuntamente, un potere decisionale del tutto autonomo sulle finalità e sulle modalità di trattamento dei dati, ivi compreso il profilo della sicurezza, assumendosi, in concreto, ogni responsabilità in proposito.  Da tali soggetti vanno distinti quelli deputati a svolgere un'attività, seppur esterna, ma ricadente nella sfera di titolarità e responsabilità di altri, che devono essere opportunamente designati responsabili del trattamento.

Le prescrizioni del presente provvedimento sono indirizzate a coloro che, allo stato, risultano essere i titolari del trattamento nell'ambito delle competenze attribuite dal vigente quadro normativo, ovvero, qualora l'assetto delle medesime non risulti completamente delineato, a entrambi i soggetti (Agenzia delle entrate ed Equitalia S.p.A.). Si rappresenta che, peraltro, anche sulla base delle risultanze che emergeranno dalla suddetta necessaria definizione, il Garante terrà conto di un'eventuale diversa ridefinizione dei ruoli assunti in materia di protezione dei dati personali dall'Agenzia delle entrate, da Equitalia S.p.A., da Equitalia Servizi S.p.A. e dalle altre società del gruppo ai fini dell'esatta individuazione dei titolari del trattamento destinatari delle prescrizioni.

2. Duplicazione degli archivi, conservazione dei dati e applicativi utilizzati

Nel corso degli accertamenti è emerso che la suddetta riorganizzazione ha richiesto, anche dal punto di vista tecnologico, la programmazione di un'articolata attività di migrazione degli applicativi, il consolidamento dei sistemi informativi e la centralizzazione dei servizi IT, prevedendo la messa in esercizio del nuovo sistema di riscossione di Equitalia entro il 31 dicembre 2010. Pertanto, l'attività di accertamento svolta dal Garante in merito agli aspetti tecnologici non ha interessato i sistemi informativi nella loro interezza, soffermandosi sulla struttura degli archivi, sulla conservazione dei dati, nonché sulle funzionalità e sulle policy di sicurezza di alcuni degli applicativi utilizzati.

Fermo restando che la configurazione finale dei sistemi informativi deve essere realizzata da Equitalia nel rispetto delle misure di sicurezza prescritte dal Codice, tenendo anche conto dei principi individuati dal Garante in provvedimenti relativi alla gestione di analoghe banche dati (cfr., ad esempio, i provvedimenti del Garante del 17 novembre 2005, dell'11 ottobre 2006 e del 18 settembre 2008, con riferimento, in particolare, ai sistemi e alle procedure di autenticazione informatica, al censimento delle postazioni e alla sicurezza dell'accesso ai dati esposti tramite servizi web in rete pubblica), in relazione alla fase transitoria in atto occorre, tuttavia, rilevare alcune criticità -emerse durante le verifiche- di seguito descritte, alcune delle quali derivano dalla precedente parcellizzazione sul territorio nazionale delle attività di riscossione.

In tale quadro, quindi, le prescrizioni individuate dal presente provvedimento tengono conto dell'evoluzione in corso dell'infrastruttura tecnologica del gruppo Equitalia, rinviando l'individuazione di eventuali ulteriori misure al termine della fase di consolidamento e di riorganizzazione.

Criticità

A) I dati personali relativi alla riscossione sono di regola trattati dagli agenti competenti per territorio, da Equitalia Servizi S.p.A. e dall'Agenzia delle entrate, comportando l'esistenza presso tali soggetti -a vario titolo competenti nelle diverse fasi della riscossione (formazione del ruolo, cartellazione, rendicontazione e procedure esecutive)- di autonome banche dati contenenti le medesime informazioni, con il rischio di disallineamenti tra le stesse, trattamenti su dati non aggiornati, nonché utilizzi non conformi alle finalità per le quali i dati sono raccolti. Se la duplicazione di intere banche dati presso i vari soggetti poteva essere giustificata in relazione alla precedente articolazione del servizio di riscossione, ciò non trova rispondenza alla luce della riorganizzazione prevista dalla riforma. La necessità di razionalizzare le predette banche dati risulta anche dalla centralizzazione in corso dei sistemi IT del gruppo Equitalia che ha previsto, per quanto riguarda i sistemi, la migrazione -in fase di ultimazione- di tutti i centri di elaborazione dati (Ced) dei singoli agenti della riscossione e di Equitalia Servizi S.p.A., presso Sogei (ove peraltro sono collocate tutte le banche dati dell'Agenzia).

B) Allo stato non risultano essere state individuate direttive per la conservazione dei dati, né con riferimento alla riscossione coattiva né a quella volontaria. Ciò con particolare riferimento allo storico delle interrogazioni effettuate all'anagrafe tributaria relative all'anagrafica e alle possidenze dei contribuenti.

C) Dalle risultanze agli atti emerge che il processo di riorganizzazione ha previsto anche la migrazione software delle applicazioni in uso presso gli agenti della riscossione verso i due applicativi principali (Aser e Set, sistemi informativi di riscossione) utilizzati a fini di riscossione a mezzo ruolo. Nel corso degli accertamenti presso Sogei è stato rilevato che il piano strategico di Equitalia S.p.A. prevede la costituzione di un sistema unico di riscossione alimentato dai diversi agenti della riscossione i quali potranno operare in maniera uniforme e coordinata sia da un punto di vista organizzativo che sotto il profilo informatico e gestionale. In particolare, il progetto del nuovo sistema, in base alla documentazione acquisita nel corso degli accertamenti, sarebbe incentrato sulla figura del contribuente, valutando il suo comportamento, la tipologia di debito, le possibili azioni correlate e l'efficacia delle azioni di riscossione, anche a fronte dell'analisi storica degli andamenti comportamentali, al fine di consentire l'individuazione puntuale della più opportuna strategia di cartellazione, notifica e riscossione coattiva.

D) Con particolare riferimento all'applicativo Aser, dalla documentazione agli atti non è stato possibile rilevare la ragione per la quale non è consentita la sincronizzazione delle credenziali di autenticazione degli utenti con quelle gestite tramite Resource Access Control Facility (Racf) digitate dagli utenti abilitati a inizio sessione, in fase di sign on, né le relative conseguenze in termini di protezione dei dati personali. Aser non consente, inoltre, la revoca automatica delle credenziali inutilizzate per un lungo periodo (alcuni agenti della riscossione provvedono con specifiche query a identificare e a revocare dette utenze) e non impedisce il riutilizzo di vecchie password per la medesima utenza.

Prescrizioni

1) L'Agenzia ed Equitalia S.p.A., nel corso della riorganizzazione, devono rivedere l'articolazione delle diverse banche dati utilizzate a fini di riscossione superando le attuali sovrapposizioni derivanti dalla precedente ripartizione del servizio della riscossione attraverso la realizzazione di un sistema informativo idoneo ad evitare ingiustificate duplicazioni di informazioni, disallineamenti informativi e rischi in ordine alla correttezza del trattamento dei dati.

2) L'Agenzia ed Equitalia S.p.A., nel rispetto dei principi di necessità e proporzionalità, devono individuare, sulla base di comprovate esigenze, idonei tempi di conservazione dei dati personali trattati da parte degli agenti della riscossione. Laddove emerga la comprovata esigenza di conservare le informazioni, deve essere garantita, attraverso opportuni profili di autorizzazione, l'accessibilità ai soli operatori per i quali tali dati risultino necessari per lo svolgimento dell'attività di riscossione. Al termine del periodo di conservazione individuato preventivamente dall'Agenzia e da Equitalia S.p.A., le informazioni devono essere eliminate anche automaticamente.

3) Fermi restando il divieto di cui all'art. 14 del Codice e l'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d) del Codice, la realizzazione di un sistema informatico volto ad analizzare il comportamento del contribuente presenta rischi specifici per i diritti fondamentali e la libertà, nonché la dignità degli interessati. Per una siffatta attività di profilazione del contribuente è necessaria in ogni caso una verifica preliminare dell'Autorità da effettuarsi prima dell'inizio del trattamento al fine di valutare la liceità di tale sistema e di individuare eventuali misure e accorgimenti idonei a garantire l'applicazione dei principi in materia di protezione dei dati personali (art. 17 del Codice).

4) In relazione all'applicativo Aser, è necessario assicurare che la mancata sincronizzazione delle credenziali di autenticazione con quelle Racf non comporti accessi non consentiti ai dati personali. Aser deve consentire la revoca automatica delle credenziali inutilizzate per un lungo periodo e deve impedire il riutilizzo delle ultime cinque password per la medesima utenza. Tali misure aggiuntive devono essere in ogni caso assicurate per gli applicativi che implicano il trattamento di dati personali utilizzati a fini di riscossione a mezzo ruolo, anche attraverso la configurazione degli stessi.

3. Informativa agli interessati ed esercizio dei diritti di cui all'art. 7 del Codice

Criticità

A) La cartella di pagamento indica espressamente i diversi rimedi che il contribuente può utilizzare nei confronti dell'ente creditore e del concessionario secondo i rispettivi ambiti di competenza. Tale documento, tuttavia, non contiene specifiche indicazioni utili ad un agevole esercizio dei diritti di cui all'art.7 del Codice da parte degli interessati che risponda all'articolata ripartizione di competenze tra ente creditore e le società del gruppo Equitalia nell'ambito della riscossione a mezzo ruolo. Infatti, è emerso, ad esempio, che le istanze di aggiornamento relative ai dati presupposti alla formazione del ruolo devono essere rivolte all'ente creditore in quanto gli agenti della riscossione che hanno emesso la cartella non possono intervenire direttamente sullo stesso.

B) Sul punto occorre evidenziare che al Garante pervengono numerose segnalazioni relative, in particolare, al mancato aggiornamento dei dati sull'attualità dei debiti nei confronti degli enti creditori e delle possidenze aggredite dagli agenti della riscossione,  nonostante il gruppo Equitalia abbia messo a disposizione degli enti creditori appositi strumenti telematici. Tali mancati aggiornamenti, che comportano gravi disagi ai contribuenti, sono infatti spesso causati dall'assenza di un idoneo dialogo tra gli agenti medesimi, gli enti creditori e l'autorità giudiziaria in caso di impugnazione del titolo (ad es. mancato aggiornamento dei dati relativi alla proprietà di un veicolo in relazione al quale la regione continua ad iscrivere a ruolo il vecchio proprietario, nonostante per gli anni precedenti lo stesso abbia già più volte ottenuto l'annullamento in autotutela dell'avviso di pagamento).

C) Equitalia S.p.A. ritiene di non poter evadere direttamente le istanze dei contribuenti volte ad esercitare diritti nei confronti di trattamenti svolti a fini di riscossione a mezzo ruolo, indirizzando gli interessati verso gli agenti della riscossione competenti per territorio, anche per quanto riguarda le istanze di accesso. Tale impostazione è diretta conseguenza dell'individuazione della titolarità del trattamento in capo ad ogni singola società di cui al punto 1 del presente provvedimento. In ogni caso, ciò può determinare un aggravio sproporzionato di oneri per l'esercizio dei diritti da parte degli interessati soprattutto in considerazione della riorganizzazione del gruppo in corso e dei mutamenti di competenza degli stessi agenti in caso di variazione del domicilio fiscale del contribuente.

Prescrizioni

1) Al fine di favorire l'interessato nell'esercizio dei diritti di cui all'art. 7 del Codice, nell'avviso (in caso di riscossione spontanea a mezzo ruolo) e nella cartella esattoriale deve essere previsto l'inserimento di un'idonea informativa volta a precisare le istanze che il debitore iscritto a ruolo può esercitare, rispettivamente, nei confronti dell'ente creditore e del concessionario, secondo le relative competenze nel trattamento dei dati personali (art. 2, comma 2, e 10, comma 1, del Codice).

2) L'Agenzia delle entrate ed Equitalia S.p.A. devono adottare ogni misura idonea a favorire l'aggiornamento dei dati trattati anche attivando un tempestivo dialogo tra gli agenti della riscossione, gli enti creditori e l'autorità giudiziaria, anche per mezzo di un maggiore utilizzo di strumenti telematici, sensibilizzando a tal fine le amministrazioni centrali, le regioni e gli altri enti creditori anche attraverso i rispettivi organismi rappresentativi, nonchè il Ministero della giustizia;

3) Sempre al fine di agevolare l'esercizio dei diritti degli interessati, occorre ridefinire i destinatari delle istanze alla luce di quanto indicato al punto 1 del presente provvedimento e introdurre misure di semplificazione per il riscontro al richiedente, tenendo conto della problematica relativa ai mutamenti di competenza degli stessi agenti della riscossione in caso di variazione del domicilio fiscale del contribuente (art. 2, comma 2, e 10, comma 1, del Codice).

4. Accesso all'anagrafe tributaria attraverso l'applicativo Arco

Nel corso degli accertamenti è stato verificato che i dipendenti degli agenti della riscossione accedono all'anagrafe tributaria attraverso l'applicativo Arco (Ausilio riscossione coattiva) realizzato conformemente a quanto disposto dall'art. 18, comma 2, del d.lg. 13 aprile 1999, n. 112 e dal relativo decreto ministeriale di attuazione (d.m. 16 novembre 2000, adottato sentito il Garante).

Il predetto decreto dispone che i concessionari (ora agenti della riscossione) possano esercitare, in qualsiasi momento successivo alla consegna del ruolo, la facoltà di accesso al "sistema informativo del Ministero delle finanze" relativamente ai debitori iscritti a ruolo e ai coobbligati, con esclusivo riferimento alle notizie indispensabili per lo svolgimento dell'attività di riscossione, individuate in apposito allegato al decreto stesso. L'accesso può avvenire telematicamente, con modalità centralizzate, in via diretta o mediante procedura file transfer e con richiesta contenente, a pena di improcedibilità, l'indicazione del numero identificativo del ruolo sulla base del quale la richiesta stessa è presentata; se il debitore è iscritto a più ruoli, è sufficiente l'indicazione di uno di essi. Nel decreto sono altresì individuate le specifiche tecniche e le misure di sicurezza da adottare per la realizzazione del collegamento telematico.

L'applicativo Arco permette, infatti, di visualizzare informazioni anagrafiche e reddituali in modalità on line e off line, a seconda dei profili di autorizzazione attribuiti agli utenti e, ai fini dell'interrogazione, i contribuenti devono essere individuati per codice fiscale e numero di ruolo. Gli utenti dell'applicativo Arco sono risultati essere circa mille.

È stato inoltre verificato nel corso degli accertamenti che l'Agenzia delle entrate, in attuazione del provvedimento del Garante del 18 settembre 2008 (doc. web n. 1549548), ha dotato l'applicativo Arco di un certificato di sicurezza Secure socket layer (Ssl) di tipo non self signed, assicurando pertanto l'identità del server tramite una Certification authority attendibile, come previsto dalla Public key infrastructure (Pki).

Tuttavia, a prescindere dall'attuazione delle predette misure, gli accertamenti hanno permesso di riscontrare quanto segue.

Criticità

A) La password iniziale da modificare al primo accesso ad Arco è risultata essere uguale per tutti; sul punto tuttavia l'Agenzia ha dichiarato, da ultimo, che il sistema di accesso ad Arco e la relativa gestione delle utenze sono stati recentemente centralizzati utilizzando il sistema Cau (Controllo accessi unificato). Tale sistema di accesso, comune alla gran parte delle applicazioni dell'Agenzia, fornirebbe ora agli utenti delle password iniziali di tipo random.

B) L'accesso ai dati dei contribuenti tramite Arco, secondo quanto previsto dal citato decreto, è consentito solo in presenza di un'iscrizione a ruolo. Per quanto riguarda i ruoli post riforma, infatti, l'operatore deve necessariamente immettere nella maschera di interrogazione il codice fiscale del debitore, il numero e l'anno del ruolo, l'ente e l'ambito territoriale. Tuttavia, nel corso degli accertamenti è stato riscontrato che la maschera di interrogazione dei ruoli ante riforma consente di visualizzare le informazioni sulle possidenze di qualsiasi contribuente a prescindere dal numero di ruolo, numero di cartella e dal collegamento territoriale con l'ambito di competenza dell'agente della riscossione. L'Agenzia ha confermato che il filtro sul numero di ruolo non può operare per le interrogazioni relative ai ruoli ante riforma in quanto in precedenza i ruoli venivano gestiti in modalità cartacea presso l'ex Cnc (ora Equitalia Servizi S.p.A.) e non è stato attribuito un codice identificativo di tali pendenze da inserire in anagrafe tributaria. Pertanto, l'Agenzia ha precluso l'accesso ad Arco per le interrogazioni relative ai ruoli ante riforma, in attesa di  realizzare una specifica modalità di interrogazione off-line con procedure batch in grado di offrire maggiori garanzie.

C) La consultazione off line comporta la duplicazione delle informazioni ottenute da Arco nei sistemi informativi degli agenti della riscossione i quali conservano lo storico dei risultati delle interrogazioni effettuate; tali informazioni, ancorché, secondo quanto dichiarato da Equitalia S.p.A., rilevanti al fine dell'eventuale discarico per inesigibilità, risultano tuttavia accessibili anche agli addetti alle procedure di riscossione coattiva;

D) Nel corso degli accertamenti è stato riscontrato che i dati sulle possidenze forniti dall'applicativo Arco non comprendono tutte le informazioni indicate nell'allegato 1 al  d.m. 16 novembre 2000, con particolare riferimento ai redditi dei contribuenti ed ai bilanci delle società pur presenti in anagrafe tributaria. Inoltre, i dati restituiti dall'applicativo talvolta risultano non aggiornati e incompleti, richiedendo ulteriori attività di reperimento di informazioni anche da pubblici registri per l'attivazione della riscossione coattiva delle somme iscritte a ruolo.

E) La gestione utenze è effettuata in modo centralizzato dall'Agenzia delle entrate. La richiesta di abilitazione degli operatori per l'accesso al sistema Arco avviene, inizialmente, ad opera dell'amministratore delegato dell'agente della riscossione nell'ambito del quale questi prestano la propria attività, che deve individuare anche il profilo da attribuire a ciascun utente. Tale richiesta viene inviata ad Equitalia S.p.A. che provvede ad inoltrarla all'Agenzia delle entrate per l'effettiva abilitazione. Tale procedura è seguita per tutte le attività di gestione delle utenze (ad es. disattivazioni, modifica password scaduta). Unica eccezione è costituita dalla Serit Sicilia S.p.A. che, per la Regione Sicilia, trasmette le proprie richieste direttamente all'Agenzia delle entrate senza il tramite di Equitalia S.p.A. Tuttavia, le procedure adottate non consentono di assicurare la tempestiva revisione dei profili di autorizzazione e la disattivazione delle utenze direttamente da parte degli agenti della riscossione e di Equitalia S.p.A.

Prescrizioni

1) L'Agenzia delle entrate deve assicurare che anche la password iniziale, ancorché da modificare al primo accesso, risulti diversa per ogni utente e sia comunicata in modo da garantire unicamente a quest'ultimo la conoscibilità della stessa.

2) L'Agenzia delle entrate deve garantire che anche l'interrogazione dei ruoli ante riforma consenta di visualizzare le informazioni sulle possidenze solo per i debitori iscritti al ruolo e per i co-obbligati. Pertanto, la diversa modalità di interrogazione per i ruoli ante riforma con maggiori garanzie sull'accesso, ora allo studio dell'Agenzia, deve essere realizzata in modo da consentire l'identificazione della pendenza iscritta a ruolo e la riferibilità della stessa al debitore del quale si richiedono le informazioni in anagrafe tributaria, secondo quanto previsto del d.m. del 16 novembre 2000, anche con riferimento alle specifiche tecniche di cui al relativo allegato 2.

3) Equitalia S.p.A. deve assicurare che le attività di riscossione avvengano sulla base di informazioni personali quanto più possibile esatte e aggiornate e che il reperimento di informazioni relative alle possidenze dei debitori avvenga con modalità idonee a rispettare il principio di liceità e correttezza del trattamento, utilizzando informazioni pertinenti e non eccedenti rispetto alla finalità perseguita. Laddove emerga la comprovata esigenza di conservare tutte le informazioni acquisite interrogando Arco, la consultazione dello storico del risultato delle interrogazioni deve avvenire solo in seguito ad un'opportuna procedura di autorizzazione degli operatori per i quali anche tali informazioni risalenti siano necessarie per lo svolgimento dell'attività istituzionale dell'agente della riscossione.

4) L'Agenzia ed Equitalia S.p.A. devono individuare modalità di gestione delle utenze idonee a consentire la tempestiva revisione del profilo di abilitazione o disabilitazione degli utenti direttamente da parte della stessa Equitalia e degli agenti della riscossione, con particolare riferimento ai soggetti preposti ad altre mansioni o che abbiano cessato il rapporto con la società, anche attraverso apposite verifiche a cadenza almeno trimestrale.

5. Anagrafi della popolazione residente.

Criticità

A) Nel corso degli accertamenti è emerso che gli agenti della riscossione hanno autonomamente attivato collegamenti, a vario titolo e attraverso più canali, con numerosissimi comuni per ottenere i dati personali dei debitori contenuti nelle anagrafi della popolazione residente al fine di soddisfare la legittima esigenza di disporre di informazioni aggiornate per la notifica delle cartelle esattoriali. Alcuni agenti della riscossione hanno infatti dichiarato che, nonostante l'incremento delle procedure di allineamento anagrafico in corso tra i comuni e l'anagrafe tributaria, le informazioni anagrafiche ottenute attraverso l'applicativo Arco talvolta non consentono di individuare il corretto domicilio del debitore.

B) I collegamenti realizzati dagli agenti con i comuni hanno comportato anche l'acquisizione di informazioni eccedenti rispetto alla finalità perseguita (ad es. dati di contribuenti che hanno assolto l'obbligo tributario, ovvero addirittura dati di soggetti minori d'età) e presentano numerosi profili critici sia in ordine ai dati raccolti (in alcuni casi anche relativi allo stato civile e alle liste elettorali), sia alle modalità tecniche con cui vengono realizzati (soprattutto in termini di misure di sicurezza, sia con riferimento agli accessi on-line, sia a quelli realizzati periodicamente tramite e-mail o supporti magnetici).

La stessa Equitalia S.p.A. ha dichiarato di aver preso atto delle anomalie riscontrate e di voler avviare una riflessione sul punto al fine di individuare, nel rispetto del Codice e della normativa di settore, idonee modalità di reperimento delle informazioni anagrafiche del debitore.

Sul punto occorre rilevare che l'art. 18 del d.lg. 13 aprile 1999, n. 112 ha previsto che, ai soli fini della riscossione mediante ruolo, i concessionari sono autorizzati ad accedere, gratuitamente ed anche in via telematica, a tutti i dati rilevanti a tali fini, anche se detenuti da uffici pubblici, con facoltà di prendere visione e di estrarre copia degli atti riguardanti i beni dei debitori iscritti a ruolo e i co-obbligati, nonché di ottenere, in carta libera, le relative certificazioni. Ai medesimi fini i concessionari sono altresì autorizzati ad accedere alle informazioni disponibili presso il sistema informativo del Ministero delle finanze e presso i sistemi informativi degli altri soggetti creditori, salve le esigenze di riservatezza e segreto opponibili in base a disposizioni di legge o di regolamento.

Tuttavia, poi il citato decreto di natura non regolamentare del Ministero delle finanze del 16 novembre 2000 ha disciplinato esclusivamente i casi, i limiti e le modalità di esercizio delle facoltà di accesso al sistema informativo della fiscalità e non anche agli altri uffici pubblici e ai sistemi informativi dei soggetti creditori diversi dall'allora Ministero delle finanze, rinviando per tali diverse ipotesi ad un atto di natura regolamentare.

Prescrizioni

1) Tenuto conto che a tutt'oggi non è stato adottato il decreto di cui all'art. 18, comma 3, Equitalia S.p.A. deve disciplinare il reperimento delle informazioni anagrafiche da parte delle società del gruppo e deve bloccare i collegamenti effettuati in assenza dei necessari presupposti normativi e delle idonee misure di sicurezza.

2) Devono altresì essere cancellate dai sistemi informativi delle società del gruppo Equitalia le informazioni eccedenti e non pertinenti le finalità perseguite, con particolare riferimento ai dati anagrafici di soggetti non debitori mai iscritti a ruolo.

6. Riscossione volontaria

Criticità

A) Nel corso degli accertamenti sono state rilevate incongruenze in relazione al ruolo assunto dagli agenti della riscossione -rispetto all'ente creditore- nell'ambito del trattamento dei dati personali relativo alla c.d. riscossione volontaria, con particolare riguardo alla necessaria distinzione tra le ipotesi di riscossione spontanea a mezzo ruolo (tassativamente previste dalla legge) e quelle di riscossione spontanea ( c.d. pre-ruolo; ad es. invio di inviti al pagamento di entrate patrimoniali non ancora suscettibili di essere iscritte al ruolo).

Tali incertezze comportano rilevanti conseguenze in ordine alle necessarie garanzie da adottare al fine di assicurare un corretto trattamento delle informazioni personali, soprattutto con riferimento all'individuazione del titolare del trattamento e alle finalità per le quali i dati possono essere trattati.

Prescrizione

1) Ferma restando la disciplina della riscossione spontanea a mezzo ruolo (art. 32 del d.lg. 26 febbraio 1999, n. 46), qualora Equitalia S.p.A. intenda effettuare le attività di cui al comma 4, lett. b), n. 1), del citato art. 3 del d.l. n. 203 del 2005 nel rispetto di procedure di gara ad evidenza pubblica, deve precisare, unitamente all'ente creditore, il ruolo svolto dalle società del gruppo Equitalia nell'ambito del trattamento di dati personali ai fini di riscossione spontanea, valutando il grado di autonomia assunto in ordine alle decisioni relative al trattamento delle informazioni e l'ambito di titolarità e responsabilità dell'ente stesso.

2) In seguito a tale precisazione, per le attività di cui al comma 4, lett. b), n. 1), del citato art. 3 del d.l. n. 203 del 2005, nelle convenzioni devono essere stabilite le rispettive attribuzioni in materia di protezione dei dati personali e le necessarie misure volte ad assicurare il corretto trattamento delle informazioni (ad esempio, l'informativa agli interessati, l'individuazione del soggetto a cui indirizzare le istanze per l'esercizio dei diritti di cui all'art. 7 del Codice, i tempi di conservazione dei dati). In ogni caso, Equitalia S.p.A. deve assicurare che i trattamenti effettuati nell'ambito delle predette attività siano distinti da quelli effettuati per la riscossione a mezzo ruolo, prevedendo che i dati siano trattati nel rispetto del principio di finalità attraverso apposite misure organizzative idonee ad assicurare anche la segregazione degli stessi.

7. Accesso ai dati trasmessi all'anagrafe tributaria dagli operatori finanziari (ai sensi dell'art. 35, comma 25, del d. l. 4 luglio 2006, n. 223, convertito, con modificazioni, dalla l. 4 agosto 2006, n. 248)

Criticità

A) Equitalia S.p.A. ha fornito direttive agli agenti della riscossione affinché, nelle more della definizione dell'accesso telematico ai dati trasmessi all'anagrafe tributaria dagli operatori finanziari (ai sensi dell'art. 35, comma 25, del d. l. 4 luglio 2006, n. 223, convertito, con modificazioni, dalla l. 4 agosto 2006, n. 248, c.d. anagrafe dei rapporti), venga valutata la possibilità di utilizzare i dati bancari relativi ai pagamenti effettuati dai contribuenti tramite i modelli F23 e F24 idonei a rivelare l'esistenza di conti correnti bancari per attivare pignoramenti presso terzi. Tale prassi presenta notevoli profili critici in ordine all'informativa resa ai contribuenti e per la correttezza del trattamento atteso che i dati non identificano gli estremi del rapporto bancario, ma solo Abi e Cab dell'intermediario presso il quale il contribuente ha provveduto ad effettuare il pagamento a prescindere dal mezzo utilizzato.

Allo stato, in ogni caso, risulta di imminente realizzazione l'accesso dei dipendenti degli agenti della riscossione all'anagrafe dei rapporti, superando in tal modo la necessità di reperire altrimenti le informazioni bancarie. Nel mese di marzo 2009 è infatti stata stipulata la convenzione tra l'Agenzia ed Equitalia S.p.A. e la capogruppo ha diramato alle società partecipate una nota per l'utilizzo dell'archivio dei rapporti finanziari; l'applicativo è tuttora in corso di definizione.

B) Dall'esame della convenzione e della predetta nota della capogruppo risulta, tuttavia, che:

  • non sono state fornite indicazioni agli agenti della riscossione sulle modalità di scelta dei dipendenti da autorizzare, anche alla luce del provvedimento del Direttore dell'Agenzia delle entrate del 18 dicembre 2006;
  • Equitalia S.p.A. e gli agenti della riscossione non sono direttamente dotati di strumenti idonei a disabilitare gli utenti;
  • non è stato adeguatamente chiarito il ruolo degli utenti di secondo livello presso gli agenti, c.d. "autorizzatori", che dovrebbero svolgere un'attività di "autorizzazione preventiva e controllo delle singole consultazioni effettuate dagli utenti di primo livello" (art. 5, comma 2, della convenzione);
  • la capogruppo non ha fornito agli agenti della riscossione istruzioni idonee a assicurare operativamente il divieto di duplicazione delle informazioni stabilito in convenzione (art. 10, comma 3, della convenzione);
  • nella nota della capogruppo sembrerebbe essere consentito anche l'accesso relativo a dati inerenti a rapporti finanziari chiusi al momento dell'interrogazione, nonostante ciò sia stato escluso dall'Agenzia nel corso degli accertamenti (pag. 2);
  • non sono previste diverse modalità di interrogazione per i ruoli ante riforma i quali non consentono l'inserimento del numero di ruolo nella maschera di interrogazione (cfr. art. 4, comma 4 della convenzione);
  • non sono previste dirette attività di controllo sugli accessi da parte dell'Agenzia, ma solo attraverso riscontri da parte di Equitalia S.p.A. (art. 13 della convenzione);
  • dall'allegato 3 alla convenzione si evince che l'accesso all'applicativo web "Consultazione archivio dei rapporti finanziari" sembrerebbe avvenire attraverso un indirizzo Url in modalità non sicura http;
  • emergono alcune incongruenze in ordine alle policy relative alla gestione delle password.

C) Presenta maggiori criticità in ordine alla protezione dei dati personali, l'applicazione della normativa in materia di accesso all'anagrafe tributaria e all'anagrafe dei rapporti da parte degli enti locali anche attraverso società esterne ai fini della riscossione delle proprie entrate (art. 1, comma 225, della l. 24 dicembre 2007, n. 244, e art. 83, comma 28-sexies, del d. l. 25 giugno 2008, n. 112, così come inserito dalla legge di conversione 6 agosto 2008, n. 133).

In particolare, presentano rischi specifici per la protezione dei dati personali degli interessati la numerosità dei soggetti potenzialmente interessati ad accedere a tali banche dati, l'applicazione di garanzie volte ad assicurare che le informazioni raccolte (soprattutto da parte di società esterne agli enti locali) siano utilizzate al solo fine di riscuotere le entrate patrimoniali degli enti stessi, nonché la realizzazione di idonee procedure di controllo sugli accessi.

L'Agenzia delle entrate ha dichiarato che, allo stato, gli enti locali utilizzano gli applicativi Siatel e Puntofisco per l'accesso alle informazioni anagrafiche e reddituali dei contribuenti, mentre non è ancora stata programmata l'attuazione della nuova normativa.

Prescrizioni

1) Non è consentito utilizzare i dati bancari relativi ai pagamenti effettuati dai contribuenti tramite i modelli F23 e F24 idonei a rivelare l'esistenza di rapporti bancari per attivare pignoramenti presso terzi in assenza di un'idonea informativa agli interessati.

2) In relazione all'accesso telematico ai dati trasmessi all'anagrafe tributaria dagli operatori finanziari da parte degli agenti della riscossione (ai sensi dell'art. 35, comma 25, del d. l. 4 luglio 2006, n. 223, convertito, con modificazioni, dalla l. 4 agosto 2006, n. 248) è necessario che:

  • Equitalia S.p.A. indichi agli agenti della riscossione idonei criteri per la scelta dei dipendenti da autorizzare, anche alla luce del provvedimento del Direttore dell'Agenzia delle entrate del 18 dicembre 2006;
  • l'Agenzia ed Equitalia S.p.A. individuino delle modalità di gestione delle utenze idonee a consentire la tempestiva disabilitazione degli utenti direttamente da parte della stessa Equitalia S.p.A.;
  • l'Agenzia fornisca a Equitalia S.p.A. adeguati strumenti di controllo sulle utenze e sugli accessi;
  • analoghe procedure  di controllo devono essere previste anche in favore del direttore generale dell'agente della riscossione al fine di assicurare il monitoraggio degli accessi anomali effettuati da parte degli utenti da lui individuati;
  • Equitalia S.p.A. definisca l'attività di autorizzazione preventiva e di controllo sulle singole consultazioni effettuate da parte degli utenti ai sensi del provvedimento del Direttore dell'Agenzia delle entrate del 18 dicembre 2006;
  • Equitalia S.p.A. fornisca agli agenti della riscossione istruzioni idonee a garantire il divieto di duplicazione delle informazioni;
  • l'Agenzia non consenta l'accesso a dati inerenti a rapporti finanziari chiusi al momento dell'interrogazione;
  • prima di attivare la consultazione per i ruoli ante riforma, l'Agenzia delle entrate preveda una modalità di interrogazione idonea a vincolare l'accesso ad un'effettiva iscrizione a ruolo, in modo da consentire l'identificazione della pendenza e la riferibilità della stessa al debitore del quale si richiedono le informazioni;
  • l'Agenzia delle entrate svolga direttamente un'adeguata attività di controllo sulle consultazioni con particolare riferimento ai ruoli ante riforma;
  • l'Agenzia assicuri che il collegamento all'applicativo web "Consultazione archivio dei rapporti", ancorché avvenga su rete Spc dai client della rete privata virtuale del gruppo Equitalia, sia realizzato esclusivamente in modalità Ssl;
  • con riferimento alla gestione delle password, l'applicativo, oltre alle misure minime di sicurezza di cui all'allegato B del Codice, deve prevedere la scadenza automatica della password dopo sessanta giorni e impedire il riutilizzo delle ultime cinque password per la medesima utenza; dopo la disattivazione dell'utente in seguito ai dieci tentativi di accesso non andati a buon fine o a un periodo di centottanta giorni di inattività, l'eventuale successiva riabilitazione deve seguire il percorso previsto per i nuovi utenti.

3) L'accesso all'anagrafe tributaria e all'anagrafe dei rapporti da parte degli enti locali anche attraverso società esterne ai fini della riscossione delle proprie entrate ai sensi dell'art. 83, comma 28-sexies, del d. l. 25 giugno 2008, n. 112 deve avvenire solo previa individuazione di procedure e garanzie idonee a consentire il rispetto dei diritti e delle libertà fondamentali, nonché della dignità degli interessati. A tal fine, si ritiene opportuno informare gli enti locali, tramite i rispettivi organismi rappresentativi, di tale necessità, rappresentando che le suddette procedure e garanzie devono essere in ogni caso sottoposte da parte dell'Agenzia delle entrate alla valutazione preliminare del Garante prima dell'inizio del trattamento per la prescrizione di eventuali ulteriori misure e accorgimenti idonei a dare applicazione anche ai principi individuati nel presente provvedimento e in quello del 18 settembre 2008 (art. 17 del Codice).

8. Le procedure di audit e sicurezza sul trattamento dei dati personali effettuato a fini di riscossione

Criticità

A) Pur tenendo conto della riorganizzazione in corso di cui al punto 1 del presente provvedimento, allo stato non risulta che siano ancora operative idonee procedure di controllo da parte dell'Agenzia e di Equitalia S.p.A. sul trattamento di dati personali a fini di riscossione, soprattutto per l'assenza di strumenti di alert e di analisi dei rischi sugli accessi alle informazioni personali contenute nelle banche dati.

B) Dalla documentazione in atti emerge che non sono presenti log di tracciamento degli accessi e delle operazioni effettuate con procedure di tipo batch verso l'applicativo Aser e verso l'applicativo Set.

Prescrizioni

1) L'Agenzia deve predisporre idonee e concrete procedure di audit anche periodiche sugli accessi all'anagrafe tributaria effettuati a fini di riscossione. In particolare, oltre ad attività di audit basate sul monitoraggio delle transazioni, tali procedure devono prevedere verifiche periodiche, anche a campione, con particolare riferimento alla verifica dell'attualità della pendenza soprattutto in relazione ai ruoli ante riforma.

2) Analoghe attività di controllo, anche attraverso la realizzazione di appositi applicativi, devono essere predisposte da Equitalia S.p.A. sull'attività svolta dalle società del gruppo e da Sogei S.p.A. in qualità di responsabile del trattamento, con l'attivazione di specifici alert che individuino comportamenti anomali o a rischio, anche attraverso il monitoraggio e l'analisi periodica, a livello statistico, dei dati relativi alle transazioni eseguite.

3) Equitalia S.p.A. deve prevedere il tracciamento degli accessi e delle operazioni effettuati, anche in modalità off line, che hanno comportato il trattamento di dati personali.

9. La riscossione nel territorio della Regione Siciliana

Per quanto riguarda la riscossione in Sicilia, la Regione Siciliana, Riscossione Sicilia S.p.A. e Serit Sicilia S.p.A., sentito il Garante, devono adeguarsi, nel rispetto delle competenze loro attribuite dalla legge, alle misure e agli accorgimenti prescritti nel presente provvedimento per il trattamento di dati personali a fini di riscossione a mezzo ruolo. In particolare devono:

  • alla luce del quadro normativo definito dalla riforma, precisare il ruolo assunto in relazione alla protezione dei dati personali;
  • comunicare al Garante le modalità con cui intendono adeguarsi alle prescrizioni di cui ai punti 2, 3, 5, 6, 7, 8 del presente provvedimento.

Le prescrizioni sopra illustrate devono essere predisposte al più presto. In ogni caso si ritiene necessario che le misure e gli accorgimenti sopra indicati, valutati singolarmente e nel loro complesso, siano posti in essere entro i termini individuati, rispettivamente, di uno, tre, sei e dodici mesi. Limitatamente a taluni specifici e limitati profili, considerata la particolare complessità organizzativa richiesta, alcune delle misure e degli accorgimenti indicati devono essere invece completati entro il termine di diciotto mesi. L'adempimento di tutte le prescrizioni del Garante dovrà essere, di volta in volta, puntualmente documentato a questa Autorità nei termini indicati decorrenti dalla data di ricezione del presente provvedimento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive all'Agenzia delle entrate, ad Equitalia S.p.A., alle società del gruppo Equitalia ed alla Regione Siciliana, a Riscossione Sicilia S.p.A. e a Serit Sicilia S.p.A., nonché alle società scorporate ai sensi dell'art. 3, comma 24 del d.l. n. 203 del 2005, nell'ambito delle rispettive competenze, di adottare al più presto le misure e gli accorgimenti illustrati in premessa e di seguito individuati al fine di porre rimedio alle carenze indicate in motivazione, riferibili al trattamento dei dati personali a fini di riscossione a mezzo ruolo e provvedendo comunque entro, e non oltre, i distinti termini di volta in volta indicati. L'adempimento delle prescrizioni dovrà essere, di volta in volta, documentato puntualmente a questa Autorità nei medesimi termini indicati decorrenti dalla data di ricezione del presente provvedimento.

1) Con riferimento ai rapporti tra l'Agenzia delle entrate, Equitalia S.p.A. e le altre società del gruppo Equitalia:

entro 6 mesi, nell'ambito della riorganizzazione ancora in corso, l'Agenzia delle entrate, Equitalia S.p.A. e le società del gruppo devono definire il ruolo assunto in relazione alla protezione dei dati personali facendo riferimento al dato normativo sopra citato che, unitariamente ma nel rispettivo ambito di competenza, attribuisce direttamente all'Agenzia delle entrate la funzione di riscossione da esercitarsi mediante Equitalia S.p.A.

2) In relazione alla duplicazione degli archivi, conservazione dei dati e applicativi utilizzati:

a) entro 18 mesi l'Agenzia ed Equitalia S.p.A., nel corso della riorganizzazione, devono rivedere l'articolazione delle diverse banche dati utilizzate a fini di riscossione superando le attuali sovrapposizioni derivanti dalla precedente ripartizione del servizio della riscossione attraverso la realizzazione di un sistema informativo idoneo ad evitare ingiustificate duplicazioni di informazioni, disallineamenti informativi e rischi in ordine alla correttezza del trattamento dei dati;

b) entro 6 mesi, l'Agenzia ed Equitalia S.p.A., nel rispetto dei principi di necessità e proporzionalità, devono individuare, sulla base di comprovate esigenze, idonei tempi di conservazione dei dati personali trattati da parte degli agenti della riscossione;

c) entro 12 mesi, laddove emerga la comprovata esigenza di conservare le informazioni, deve essere garantita, attraverso opportuni profili di autorizzazione, l'accessibilità ai soli operatori per i quali tali dati risultino necessari per lo svolgimento dell'attività di riscossione. Al termine del periodo di conservazione individuato preventivamente dall'Agenzia e da Equitalia S.p.A., le informazioni devono essere eliminate anche automaticamente;

d) la realizzazione di un sistema informatico volto ad analizzare il comportamento del contribuente presenta rischi specifici per i diritti fondamentali e la libertà, nonché la dignità degli interessati. Per una siffatta attività di profilazione del contribuente è necessaria in ogni caso una verifica preliminare dell'Autorità da effettuarsi prima dell'inizio del trattamento al fine di valutare la liceità di tale sistema e di individuare eventuali misure e accorgimenti idonei a garantire l'applicazione dei principi in materia di protezione dei dati personali;

e) entro 6 mesi, in relazione all'applicativo Aser, è necessario assicurare che la mancata sincronizzazione delle credenziali di autenticazione con quelle Racf non comporti accessi non consentiti ai dati personali;

f) entro 6 mesi, l'applicativo Aser deve consentire la revoca automatica delle credenziali inutilizzate per un lungo periodo e deve impedire il riutilizzo delle ultime cinque password per la medesima utenza;

g) entro 6 mesi, le misure aggiuntive di cui alla lettera f) devono essere in ogni caso assicurate per gli applicativi che implicano il trattamento di dati personali utilizzati a fini di riscossione a mezzo ruolo.

3) Per quanto riguarda l'informativa agli interessati e l'esercizio dei diritti di cui all'art. 7 del Codice:

a) entro 6 mesi, al fine di favorire l'interessato nell'esercizio dei diritti di cui all'art. 7 del Codice, l'Agenzia delle entrate ed Equitalia S.p.A. devono prevedere l'inserimento nella cartella esattoriale e nell'avviso (in caso di riscossione spontanea a mezzo ruolo) di un'idonea informativa volta a precisare le istanze che il debitore iscritto a ruolo può esercitare, rispettivamente, nei confronti dell'ente creditore e del concessionario, secondo le relative competenze nel trattamento dei dati personali;

b) entro 6 mesi, l'Agenzia delle entrate ed Equitalia S.p.A. devono adottare ogni misura idonea a favorire l'aggiornamento dei dati trattati anche attivando un tempestivo dialogo tra gli enti creditori, gli agenti della riscossione e l'autorità giudiziaria, anche per mezzo di un maggiore utilizzo di strumenti telematici, sensibilizzando a tal fine le amministrazioni centrali, le regioni e gli altri enti creditori anche attraverso i rispettivi organismi rappresentativi, nonché il Ministero della giustizia;

c) entro 12 mesi, occorre ridefinire i destinatari delle istanze di esercizio dei diritti da parte degli interessati alla luce di quanto indicato al punto 1 del presente provvedimento e introdurre misure di semplificazione per il riscontro al richiedente, tenendo conto della problematica relativa ai mutamenti di competenza degli stessi agenti della riscossione in caso di variazione del domicilio fiscale del contribuente.

4) Con riferimento all'accesso all'anagrafe tributaria attraverso l'applicativo Arco:

a) entro 1 mese, l'Agenzia delle entrate deve assicurare che anche la password iniziale, ancorché da modificare al primo accesso, risulti diversa per ogni utente e sia comunicata in modo da garantire unicamente a quest'ultimo la conoscibilità della stessa.

b) entro 3 mesi, l'Agenzia delle entrate deve garantire che anche l'interrogazione dei ruoli ante riforma consenta di visualizzare le informazioni sulle possidenze solo per i debitori iscritti al ruolo e per i co-obbligati. Pertanto, la diversa modalità di interrogazione per i ruoli ante riforma, ora allo studio dell'Agenzia, deve essere realizzata in modo da consentire l'identificazione della pendenza iscritta a ruolo e la riferibilità della stessa al debitore del quale si richiedono le informazioni in anagrafe tributaria, secondo le specifiche tecniche di cui all'allegato 2 del d.m. del 16 novembre 2000;

c) entro 12 mesi, Equitalia S.p.A. deve assicurare che le attività di riscossione avvengano sulla base di informazioni personali quanto più possibile esatte e aggiornate e che il reperimento di informazioni relative alle possidenze dei debitori avvenga con modalità idonee a rispettare il principio di liceità e correttezza del trattamento, utilizzando informazioni pertinenti e non eccedenti rispetto alla finalità perseguita. Laddove emerga la comprovata esigenza di conservare tutte le informazioni acquisite interrogando Arco, la consultazione dello storico del risultato delle interrogazioni deve avvenire solo in seguito ad un'opportuna procedura di autorizzazione degli operatori per i quali anche tali informazioni risalenti siano necessarie per lo svolgimento dell'attività istituzionale dell'agente della riscossione;

d) entro 6 mesi, l'Agenzia ed Equitalia S.p.A. devono individuare modalità di gestione delle utenze idonee a consentire la tempestiva revisione del profilo di abilitazione o disabilitazione degli utenti direttamente da parte della stessa Equitalia e degli agenti della riscossione, anche attraverso apposite verifiche a cadenza almeno trimestrale.

5) In relazione alle anagrafi della popolazione residente:

a) entro 6 mesi, tenuto conto che a tutt'oggi non è stato adottato il decreto di cui all'art. 18, comma 3, del d.lg. n. 112 del 1999, Equitalia S.p.A. deve disciplinare il reperimento delle informazioni anagrafiche da parte delle società del gruppo e deve bloccare i collegamenti effettuati in assenza dei necessari presupposti normativi e delle idonee misure di sicurezza.

b) entro 3 mesi, devono altresì essere cancellate dai sistemi informativi delle società del gruppo Equitalia le informazioni eccedenti e non pertinenti le finalità perseguite, con particolare riferimento ai dati anagrafici di soggetti non debitori mai iscritti a ruolo.

6) Con riferimento alla riscossione volontaria:

a) entro 6 mesi, qualora Equitalia S.p.A. intenda effettuare le attività di cui al comma 4, lett. b), n. 1), del citato art. 3 del d.l. n. 203 del 2005, nel rispetto di procedure di gara ad evidenza pubblica, deve precisare, unitamente all'ente creditore, il ruolo svolto dalle società del gruppo Equitalia nell'ambito del trattamento di dati personali ai fini di riscossione spontanea, valutando il grado di autonomia assunto in ordine alle decisioni relative al trattamento delle informazioni e l'ambito di titolarità e responsabilità dell'ente stesso;

b) entro 6 mesi, in seguito a tale precisazione, per le attività di cui al comma 4, lett. b), n. 1), del citato art. 3 del d.l. n. 203 del 2005, nelle convenzioni con gli enti creditori devono essere stabilite le rispettive attribuzioni in materia di protezione dei dati personali e le necessarie misure volte ad assicurare il corretto trattamento delle informazioni;

c) entro 6 mesi, Equitalia S.p.A. deve assicurare che i trattamenti effettuati nell'ambito delle attività di cui al comma 4, lett. b), n. 1), del citato art. 3 del d.l. n. 203 del 2005 siano distinti da quelli effettuati per la riscossione a mezzo ruolo, prevedendo che i dati siano trattati nel rispetto del principio di finalità attraverso apposite misure organizzative idonee ad assicurare anche la segregazione degli stessi.

7) Per quanto concerne l'accesso ai dati trasmessi all'anagrafe tributaria dagli operatori finanziari (ai sensi dell'art. 35, comma 25, del d. l. 4 luglio 2006, n. 223, convertito, con modificazioni, dalla l. 4 agosto 2006, n. 248):

a) non è consentito utilizzare i dati bancari relativi ai pagamenti effettuati dai contribuenti tramite i modelli F23 e F24 idonei a rivelare l'esistenza di rapporti bancari per attivare pignoramenti presso terzi in assenza di un'idonea informativa agli interessati;

b) in relazione all'accesso telematico ai dati trasmessi all'anagrafe tributaria dagli operatori finanziari da parte degli agenti della riscossione (ai sensi dell'art. 35, comma 25, del d. l. 4 luglio 2006, n. 223, convertito, con modificazioni, dalla l. 4 agosto 2006, n. 248) è necessario che:

i) entro 1 mese, Equitalia S.p.A. indichi agli agenti della riscossione idonei criteri per la scelta dei dipendenti da autorizzare, anche alla luce del provvedimento del Direttore dell'Agenzia delle entrate del 18 dicembre 2006;

ii) entro 3 mesi, l'Agenzia delle entrate ed Equitalia S.p.A. individuino delle modalità di gestione delle utenze idonee a consentire la tempestiva disabilitazione degli utenti direttamente da parte della stessa Equitalia S.p.A.;

iii) entro 1 mese, l'Agenzia delle entrate fornisca a Equitalia S.p.A. adeguati strumenti di controllo sulle utenze e sugli accessi;

iv) entro 3 mesi, analoghe procedure di controllo devono essere previste anche in favore del direttore generale dell'agente della riscossione al fine di assicurare il monitoraggio degli accessi anomali effettuati da parte degli utenti da lui individuati;

v) entro 1 mese, Equitalia S.p.A. definisca l'attività di autorizzazione preventiva e di controllo sulle singole consultazioni effettuate da parte degli utenti;

vi) entro 3 mesi, Equitalia S.p.A. fornisca agli agenti della riscossione istruzioni idonee a garantire il divieto di duplicazione delle informazioni;

vii) entro 1 mese, l'Agenzia delle entrate non consenta l'accesso a dati inerenti a rapporti finanziari chiusi al momento dell'interrogazione;

viii) prima di attivare la consultazione per i ruoli ante riforma, l'Agenzia delle entrate preveda una modalità di interrogazione idonea a vincolare l'accesso ad un'effettiva iscrizione a ruolo, in modo da consentire l'identificazione della pendenza e la riferibilità della stessa al debitore del quale si richiedono le informazioni;

ix) entro 3 mesi, l'Agenzia delle entrate svolga direttamente un'adeguata attività di controllo sulle consultazioni con particolare riferimento ai ruoli ante riforma;

x) entro 1 mese, l'Agenzia delle entrate assicuri che il collegamento all'applicativo web "Consultazione archivio dei rapporti", ancorché avvenga su rete Spc dai client della rete privata virtuale del gruppo Equitalia, sia realizzato esclusivamente in modalità Ssl;

xi) entro 1 mese, con riferimento alla gestione delle password, l'applicativo, oltre alle misure minime di sicurezza di cui all'allegato B del Codice, deve prevedere la scadenza automatica della password dopo sessanta giorni e impedire il riutilizzo delle ultime cinque password per la medesima utenza; dopo la disattivazione dell'utente in seguito ai dieci tentativi di accesso non andati a buon fine o a un periodo di centottanta giorni di inattività, l'eventuale successiva riabilitazione deve seguire il percorso previsto per i nuovi utenti.

c) l'accesso all'anagrafe tributaria e all'anagrafe dei rapporti da parte degli enti locali anche attraverso società esterne ai fini della riscossione delle proprie entrate ai sensi dell'art. 83, comma 28-sexies, del d. l. 25 giugno 2008, n. 112 deve avvenire solo previa individuazione di procedure e garanzie idonee a consentire il rispetto dei diritti e delle libertà fondamentali, nonché della dignità degli interessati. Pertanto, a tal fine:

i) l'Agenzia delle entrate deve sottoporre in ogni caso le procedure e le garanzie individuate alla valutazione preliminare del Garante prima dell'inizio del trattamento per la prescrizione di eventuali ulteriori misure e accorgimenti idonei a dare applicazione anche ai principi individuati nel presente provvedimento e in quello del 18 settembre 2008 (art. 17 del Codice);

ii) il presente provvedimento viene trasmesso agli organismi rappresentativi degli enti locali affinché vengano adeguatamente rappresentate a questi ultimi le predette condizioni necessarie a garantire la sicurezza a la correttezza di tale trattamento effettuato anche attraverso società esterne.

8) In relazione alle procedure di audit e sicurezza sul trattamento dei dati personali effettuato a fini di riscossione:

a) entro 6 mesi, l'Agenzia deve predisporre idonee e concrete procedure di audit anche periodiche sugli accessi all'anagrafe tributaria effettuati a fini di riscossione. In particolare, oltre ad attività di audit basate sul monitoraggio delle transazioni, tali procedure devono prevedere verifiche periodiche, anche a campione, con particolare riferimento alla verifica dell'attualità della pendenza soprattutto in relazione ai ruoli ante riforma;

b) entro 18 mesi, analoghe attività di controllo, anche attraverso la realizzazione di appositi applicativi, devono essere predisposte da Equitalia S.p.A. sull'attività svolta dalle società del gruppo e da Sogei S.p.A. in qualità di responsabile del trattamento, con l'attivazione di specifici alert che individuino comportamenti anomali o a rischio, anche attraverso il monitoraggio e l'analisi periodica, a livello statistico, dei dati relativi alle transazioni eseguite;

c) entro 6 mesi, Equitalia S.p.A. deve prevedere il tracciamento degli accessi e delle operazioni effettuati, anche in modalità off line, che hanno comportato il trattamento di dati personali.

9) Per quanto riguarda la riscossione nel territorio della Regione Siciliana:

La Regione Siciliana, Riscossione Sicilia S.p.A. e Serit Sicilia S.p.A., sentito il Garante, devono adeguarsi, nel rispetto delle competenze loro attribuite dalla legge, alle misure e agli accorgimenti prescritti nel presente provvedimento per il trattamento di dati personali a fini di riscossione a mezzo ruolo. In particolare, devono:

a) entro 3 mesi, alla luce del quadro normativo definito dalla riforma, precisare il ruolo assunto in relazione alla protezione dei dati personali;

b) entro 6 mesi, comunicare al Garante le modalità con cui intendono adeguarsi alle prescrizioni di cui ai punti 2, 3, 5, 6, 7, 8 del presente provvedimento.

Roma, 7 ottobre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Patroni Griffi