Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Comunicazioni all'anagrafe tributaria da parte di banche e operatori finanziari: parere sulle modalità di trasmissione e di conservazione dei dati

[doc. web n. 2099774]

Comunicazioni all'anagrafe tributaria da parte di banche e operatori finanziari: parere sulle modalità di trasmissione e di conservazione dei dati - 15 novembre 2012

Registro dei provvedimenti
n. 861 del 15 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito Codice);

VISTA la richiesta di parere dell'Agenzia delle entrate del 5 ottobre 2012, relativa al nuovo schema di provvedimento del Direttore dell'Agenzia in materia di Disposizioni di attuazione dell'articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 "Modalità per la comunicazione integrativa annuale all'archivio dei rapporti finanziari";

VISTA la nota dell'Agenzia delle entrate del 7 novembre 2012 con la quale sono state trasmesse alcune modifiche e integrazioni al predetto schema di provvedimento;

VISTE le note dell'Agenzia delle entrate del 9 e del 12 novembre 2012 con le quali sono stati forniti chiarimenti e documentazione;

VISTO il parere del Garante del 17 aprile 2012 sul precedente schema di provvedimento del Direttore dell'Agenzia delle entrate in materia di "Disposizioni di attuazione dell'articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011 n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011 n. 214. Comunicazione integrativa annuale all'archivio dei rapporti finanziari";

VISTA la documentazioni in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L'Agenzia delle entrate, con la nota del 5 ottobre 2012, ha sottoposto nuovamente al Garante, per l'acquisizione del relativo parere, lo schema di provvedimento del Direttore dell'Agenzia concernente le Disposizioni di attuazione dell'articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 "Modalità per la comunicazione integrativa annuale all'archivio dei rapporti finanziari", dopo aver apportato le modifiche volte a recepire le osservazioni formulate dall'Autorità nel parere del 17 aprile 2012 reso su una precedente versione del predetto schema. In tale occasione, anche sulla base delle criticità rilevate nel corso di apposite attività ispettive, il Garante aveva rappresentato all'Agenzia, in particolare, l'esigenza di integrare lo schema di provvedimento con ulteriori misure di sicurezza, di natura tecnica e organizzativa, relative alle modalità di comunicazione dei dati all'anagrafe tributaria anche con riferimento al trattamento posto in essere dagli operatori finanziari finalizzato alla trasmissione dei dati.

Il testo dello schema in esame e dei relativi allegati tecnici è stato modificato e integrato dall'Agenzia delle entrate, con la nota del 7 novembre 2012, in seguito ad alcuni chiarimenti richiesti nell'incontro tenutosi tra i rappresentanti della medesima Agenzia e dell'Ufficio del Garante il 29 ottobre 2012.

Con le note del 9 e del 12 novembre 2012, l'Agenzia ha fornito, da ultimo, chiarimenti e documentazione relativa, in particolare, allo stato di avanzamento del progetto dell'infrastruttura da utilizzare per la predetta comunicazione integrativa annuale.

A. Il contenuto dello schema di provvedimento

Gli operatori finanziari comunicano all'anagrafe tributaria l'esistenza e la natura dei rapporti e delle operazioni di natura finanziaria compiute al di fuori di un rapporto continuativo (ad esclusione di quelle effettuate tramite bollettino di conto corrente postale per un importo unitario inferiore a 1.500 euro), ai sensi dell'articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605.

Al fine di agevolare l'emersione della base imponibile, la nuova normativa introdotta dal citato decreto legge n. 201 del 2011 prevede che, oltre a quanto già comunicato, gli operatori finanziari inviino periodicamente all'anagrafe tributaria, anche le movimentazioni che hanno interessato i rapporti già censiti, ed ogni informazione relativa ai predetti rapporti necessaria ai fini dei controlli fiscali, nonché l'importo delle operazioni finanziarie (art. 11, comma 2).

L'art. 11, comma 3, prevede che "con provvedimento del Direttore dell'Agenzia delle entrate, sentiti le associazioni di categoria degli operatori finanziari e il Garante per la protezione dei dati personali, sono stabilite le modalità della comunicazione di cui al comma 2, estendendo l'obbligo di comunicazione anche ad ulteriori informazioni relative ai rapporti strettamente necessarie ai fini dei controlli fiscali. Il provvedimento deve altresì prevedere adeguate misure di sicurezza, di natura tecnica e organizzativa, per la trasmissione dei dati e per la relativa conservazione, che non può superare i termini massimi di decadenza previsti in materia di accertamento delle imposte sui redditi".

Il citato art. 11 prevede, altresì, al comma 4, che i dati comunicati, oltre che per le finalità sopra citate per le quali viene già consultato l'archivio dei rapporti finanziari, potranno essere trattati dall'Agenzia delle entrate per l'elaborazione con procedure centralizzate, secondo i criteri individuati con provvedimento del Direttore della medesima Agenzia, di specifiche liste selettive di contribuenti a maggior rischio di evasione.

Come dichiarato dall'Agenzia, lo schema in esame, nel dare attuazione ai commi 2 e 3 dell'art. 11 del decreto legge n. 201 del 2011, disciplina le modalità di comunicazione all'anagrafe tributaria delle informazioni relative ai rapporti finanziari e la conservazione delle stesse, individuando i dati da trasmettere nella c.d. comunicazione integrativa annuale e rinviando ad un diverso provvedimento del Direttore dell'Agenzia delle entrate  l'individuazione dei criteri da utilizzare per la formazione delle liste selettive dei contribuenti a maggior rischio evasione.

Il nuovo schema di provvedimento in esame prevede che i dati da comunicare all'anagrafe tributaria da parte degli operatori finanziari vengano trasmessi attraverso un apposito Sistema di interscambio dati (SID), in luogo dell'utilizzo del servizio Entratel inizialmente individuato nel precedente schema di provvedimento sottoposto all'attenzione dell'Autorità. Non sono, invece, state modificate le tipologie di informazioni oggetto di comunicazione, relative ai saldi iniziali e finali del rapporto finanziario e ai dati aggregati delle movimentazioni con l'evidenza del dare e avere.

Dalla documentazione in atti, emerge che l'Agenzia, anche al fine di superare le criticità connesse all'utilizzo del servizio Entratel evidenziate nel provvedimento del Garante del 17 aprile 2012, ha scelto di spostare sulla nuova infrastruttura SID tutte le comunicazioni all'anagrafe tributaria diverse da quelle effettuate a fini fiscali. Secondo l'Agenzia, tale sistema, dotato di procedure "totalmente automatizzate", consentirebbe di modulare le misure di sicurezza in ragione della tipologia di invii da effettuare. Il servizio Entratel, invece, pur oggetto di interventi tecnici volti a migliorarne la sicurezza e le funzionalità, sarà, invece, utilizzato unicamente per il rapporto diretto tra il contribuente e l'Agenzia per l'invio di documentazione fiscale (dichiarazioni, registrazione di atti, pagamenti, istanze di rimborsi, ecc.).

Nel testo vengono, altresì, esplicitati i tempi di conservazione dei dati raccolti e si dà conto delle finalità di trattamento degli stessi previste dalla legge, che, rispetto al precedente schema di provvedimento, è stata oggetto di recenti modifiche (legge 7 agosto 2012, n. 135).

Infine, viene disposto che gli operatori finanziari comunichino i dati annualmente entro il 31 marzo dell'anno successivo a quello a cui sono riferite le informazioni; le informazioni relative all'anno 2011 dovranno essere trasmesse entro il 10 aprile 2013 e quelle relative all'anno 2012 entro il 18 luglio 2013.

1.1 Modalità di trasmissione

In relazione alle modalità di trasmissione, lo schema prevede che venga utilizzata una nuova infrastruttura (SID), che "prevede il colloquio application to application tra sistemi informativi agendo, quindi, in modalità automatizzata".

Al fine di mettere in sicurezza i dati da trasmettere è previsto l'utilizzo obbligatorio di  un modulo software messo a disposizione dall'Agenzia delle entrate sul proprio sito Internet. Tale modulo software è richiamabile in ambiente open Java in modalità completamente automatica, senza necessità dell'intervento di un utente-operatore, e deve essere integrato nei processi informatici degli operatori finanziari.

Gli operatori finanziari dovranno utilizzare in modalità informatizzata il SID, attraverso due sistemi di interscambio: una piattaforma di File transfer protocol (FTP), opportunamente configurata, e il servizio di Posta elettronica certificata (PEC), possibile nel solo caso di trasmissione di file inferiori a 20 MB in formato compresso.

1.1.1. File transfer protocol
Per quanto riguarda l'interscambio dei dati attraverso la piattaforma FTP, viene utilizzato un sistema di trasmissione dati tra terminali remoti su rete pubblica (Internet), mediante un server FTP (nodo). Gli operatori finanziari possono utilizzare nodi autonomi, anche in forma consorziata, oppure possono avvalersi di nodi di colloquio con l'Agenzia delle entrate già certificati. Sul sito Internet dell'Agenzia delle entrate sarà disponibile l'elenco dei nodi già attivi.
In caso di nodi utilizzati per lo scambio dati per conto terzi, il nodo può operare esclusivamente da canale trasmissivo e non può avere alcun ruolo attivo nella predisposizione dei file da inviare.

Ogni singolo operatore finanziario, per utilizzare la piattaforma FTP, dovrà necessariamente avviare la procedura di registrazione che prevede la presentazione di apposita domanda, secondo le modalità riportate sul sito Internet dell'Agenzia delle entrate. In questa procedura gli operatori dovranno specificare, tra l'altro, la determinazione dei certificati digitali utilizzati per la crittografia e la firma dei flussi dati, la scelta del nodo da utilizzare e, nel caso di utilizzo di un nodo autonomo, l'indirizzo IP e le credenziali di accesso del server FTP esposto (credenziali che l'operatore finanziario consegna all'Agenzia per l'accesso al proprio server FTP).

In caso di accoglimento della richiesta di interazione con il SID direttamente con un nodo di interscambio autonomo non certificato, verranno definiti anche gli specifici accordi tecnici che comprendono i dati necessari al colloquio, tra i quali l'indirizzo IP del server FTP esposto dal nodo, le relative credenziali d'accesso da utilizzare e gli standard di nomenclatura dei file da scambiare. L'attivazione del nodo è subordinata alla verifica tecnico-funzionale ed alla conseguente certificazione rilasciata dal SID relativa al corretto funzionamento del colloquio tra i sistemi.

1.1.2. La Posta elettronica certificata

Con riferimento al servizio di PEC, viene precisato che tale servizio è consentito, in alternativa all'utilizzo della piattaforma FTP, unicamente per la trasmissione dei file inferiori a 20 MB in formato compresso. La PEC deve rispondere ai requisiti fissati dalla normativa di settore indicati nel provvedimento del Direttore dell'Agenzia delle entrate del 22 dicembre 2005, che disciplina già l'utilizzo della PEC da parte degli operatori finanziari, e nel testo dello schema è prevista, per coloro che non dispongono dei tale servizio di PEC, la comunicazione entro il 28 febbraio 2013.

Viene altresì stabilito che l'alimentazione delle caselle di PEC a fini della trasmissione debba avvenire in modalità completamente automatica, senza intervento di operatori.

1.1.3. La predisposizione del file da trasmettere

La predisposizione del file da mettere a disposizione dell'Agenzia delle entrate è a carico esclusivo del soggetto obbligato titolare dei dati da comunicare (operatore finanziario), senza la possibilità di avvalersi di intermediari fiscali.

In particolare, viene previsto che gli operatori finanziari, sin dalla prima fase di raccolta dei dati dai propri sistemi informatici, e per ambedue le modalità trasmissive, devono utilizzare meccanismi automatizzati di estrazione, di composizione (secondo le specifiche tecniche e il tracciato record allegati allo schema di provvedimento), di compressione e di immediata crittografia.

Il file da mettere a disposizione dell'Agenzia deve essere predisposto adottando accorgimenti di sicurezza, finalizzati a garantire che i dati trasmessi siano formalmente ben composti, di dimensioni più facilmente gestibili nella fase di trasmissione e protetti da rischi di accessi non conformi, utilizzi abusivi delle informazioni e alterazione dei dati: verifica formale di aderenza alle specifiche tecniche, adozione di meccanismi atti a comprimere i file da trasmettere e adozione di meccanismi di crittografia, atti a garantire la riservatezza dei dati trasmessi, utilizzando il certificato crittografico fornito dall'Agenzia delle entrate agli operatori finanziari e ad essa intestato.

La "firma digitale" del file, utilizzata per assicurare l'integrità del contenuto ed applicata una volta terminata la sua predisposizione, è prevista unicamente per l'utilizzo della piattaforma FTP, dal momento che il servizio di PEC, secondo l'Agenzia, "già prevede in sé, in forma nativa, la possibilità di garantire l'integrità di quanto trasportato". La firma viene apposta sul file attraverso un ulteriore modulo software di firma, reso disponibile sul sito Internet dell'Agenzia. Anche tale modulo software è richiamabile in ambiente open Java in modalità completamente automatica, senza necessità dell'intervento di un utente-operatore, e deve essere integrato nei processi informatici degli operatori finanziari.

Per la determinazione dei certificati di firma da utilizzare o per la loro prima generazione, è necessario che gli operatori finanziari siano preventivamente in possesso di propria abilitazione ai servizi telematici Entratel o Fisconline dell'Agenzia delle entrate.

Per gli operatori finanziari abilitati al servizio Entratel sarà utilizzato il certificato già in loro possesso; per quelli, invece, abilitati al servizio Fisconline sarà necessario generare il certificato di firma tramite l'apposita funzione messa a disposizione dall'Agenzia delle entrate.

Per la firma viene utilizzato il formato PKCS#7 detached; pertanto tramite la piattaforma FTP deve essere messa a disposizione dell'Agenzia delle entrate una coppia di file, il primo relativo ai dati da comunicare ed il secondo relativo alla busta di autenticazione prodotta.

1.1.4. Esiti

L'avvenuta presentazione delle comunicazioni, a fronte del risultato positivo dell'elaborazione di controllo formale, viene certificata dall'Agenzia mediante una ricevuta, resa disponibile tramite lo stesso canale adottato per la trasmissione. L'Agenzia comunica l'eventuale incongruenza dei dati contenuti nella comunicazione con quanto risultante nella banca dati dell'archivio dei rapporti mediante un esito che riporta tutte le incongruenze riscontrate. A seguito della ricezione di un esito negativo, l'utente è tenuto a valutare le azioni da intraprendere per la correzione degli errori riscontrati.

2. Trattamento dei dati

Con riferimento al trattamento dei dati, al paragrafo 8 dello schema, analogamente a quanto già previsto nella versione precedente, viene stabilito che i dati e le notizie comunicati siano raccolti e ordinati su scala nazionale al fine della valutazione della capacità contributiva, nel rispetto dei diritti e delle libertà fondamentali dei contribuenti, e archiviati nell'apposita sezione dell'anagrafe tributaria già denominata "Archivio dei rapporti finanziari" e prevista dall'art. 7, comma 6, del d.P.R 29 settembre 1973, n. 605.

I punti 8.3 e 8.4 del nuovo schema in esame sono, invece, stati modificati richiamando l'art. 11 comma 4 del decreto legge n. 201 del 2011, nel quale è stabilito che l'Agenzia elabori i dati oggetto di comunicazione integrativa annuale con procedure centralizzate, secondo i criteri che verranno individuati con successivo provvedimento del Direttore, per la formazione di specifiche liste selettive di contribuenti a maggior rischio di evasione e che tali dati siano altresì utilizzati ai fini della semplificazione degli adempimenti dei cittadini in merito alla compilazione della dichiarazione sostitutiva unica di cui all'articolo 4 del decreto legislativo 31 marzo 1998, n. 109, nonché in sede di controllo sulla veridicità dei dati dichiarati nella medesima dichiarazione (art. 11, comma 4 del citato decreto, così come novellato dalla legge n. 135 del 2012).

Sono state, quindi, espunte dal nuovo testo le precisazioni in ordine alle limitazioni all'accesso dei dati a fini di accertamento, ovvero l'espressa previsione che i dati contenuti nella nuova comunicazione integrativa annuale non avrebbero costituito oggetto diretto dell'attività di accertamento e che non avrebbero implementato i dati accessibili attraverso la procedura delle indagini finanziarie.

L'Agenzia, su richiesta del Garante, ha precisato che il nuovo schema disciplina unicamente le modalità con le quali deve essere effettuata la comunicazione integrativa annuale e la conservazione dei dati comunicati, in attuazione dei commi 2 e 3 dell'art. 11 del decreto legge  n. 201 del 2011, e che ai punti 8.3 e 8.4 dello schema in esame "è stato operato unicamente un richiamo alla norma, nella consapevolezza che la disciplina del trattamento dei dati era estranea a tale atto". Le finalità per le quali questi dati sono raccolti e trattati, infatti, sono indicate direttamente nel successivo comma 4 del predetto articolo 11, che prevede l'emanazione di un ulteriore provvedimento del Direttore dell'Agenzia in cui saranno individuati i criteri per l'elaborazione delle liste selettive di contribuenti a maggior rischio evasione, che sarà preventivamente sottoposto al Garante.

Secondo l'Agenzia, "proprio l'esigenza di una maggiore aderenza al dettato normativo, che richiede al provvedimento direttoriale la disciplina delle modalità di comunicazione dei dati relativi ai rapporti finanziari con la previsione di adeguate misure di sicurezza, di natura tecnica e organizzativa per la trasmissione degli stessi, ha fatto sì che la precisazione in ordine all'accesso all'Archivio dei rapporti fosse espunta dal nuovo schema di provvedimento". In ogni caso, l'Agenzia ha dichiarato che "nonostante l'archiviazione delle nuove informazioni sia effettuata nell'apposita sezione dell'anagrafe tributaria denominata "Archivio dei rapporti finanziari" l'Agenzia delle entrate non modificherà il profilo dei soggetti che attualmente accedono al suddetto Archivio. Pertanto, i dati contenuti nella comunicazione integrativa annuale non saranno visibili dagli stessi".

Nello schema viene, infine, stabilito che i dati saranno conservati entro i termini massimi di decadenza previsti in materia di accertamento delle imposte sui redditi, quindi fino al 31 dicembre del sesto anno successivo ad ogni anno d'imposta; allo scadere di tale periodo saranno integralmente e automaticamente cancellati.

OSSERVA:

Ferma restando l'esigenza dell'Agenzia delle entrate di disporre di ogni necessaria idonea informazione per l'azione di verifica e contrasto dell'evasione fiscale, nel presente parere si richiamano le osservazioni formulate dal Garante sul precedente schema di provvedimento in ordine alle rilevanti problematiche di carattere generale relative alla protezione dei dati personali sia con riferimento all'eccezionale  concentrazione presso l'anagrafe tributaria di un'enorme quantità di informazioni personali, sia in relazione alle finalità di classificazione degli interessati cui la raccolta di tali informazioni risulta preordinata (parere del 17 aprile 2012).

B. Le misure di sicurezza

Le misure di sicurezza idonee e preventive destinate a proteggere una tale quantità di informazioni personali devono tenere conto, sin dal momento della loro raccolta, degli enormi rischi insiti in un trattamento di dati quale quello effettuato presso l'anagrafe tributaria, soprattutto in relazione ad accessi abusivi ed a utilizzi impropri, e alla proliferazione di interconnessioni e raffronti. Ciò, prendendo in considerazione anche gli aspetti tecnico-organizzativi dell'intera filiera di trattamento, che va dall'estrazione dei dati dai sistemi informativi dei soggetti tenuti all'adempimento, alla loro organizzazione nel formato richiesto dall'Agenzia per la successiva trasmissione verso l'anagrafe tributaria.

Come già rilevato nel parere del 17 aprile 2012, a fronte di tali considerazioni occorre valutare con particolare rigore le misure di sicurezza, di natura tecnica e organizzativa individuate dall'Agenzia delle entrate per la trasmissione dei dati e per la relativa conservazione indicate nello schema di provvedimento.

Analogamente a quanto stabilito nel precedente schema di provvedimento, è previsto che gli operatori finanziari, per l'invio all'anagrafe tributaria della comunicazione integrativa annuale dei rapporti attraverso il SID, raccolgano e aggreghino in forma di file una mole di dati estratta dai diversi archivi presenti nei propri sistemi informativi, solitamente trattata dagli stessi con più sistemi applicativi. Anche questa modalità di comunicazione prescelta dall'Agenzia rende necessaria già all'origine, ai fini dell'adempimento di cui allo schema in esame, una concentrazione di informazioni e, di conseguenza, un potenziale di rischio che difficilmente si riscontra nel trattamento di dati personali effettuato nell'ordinario esercizio dell'attività finanziaria o bancaria.

1. Osservazioni preliminari

1.1. Stato di avanzamento della realizzazione dell'infrastruttura SID

Dalla documentazione in atti, emerge che la nuova infrastruttura prescelta dall'Agenzia per la trasmissione telematica (SID), dovrebbe essere rilasciata da parte di SoGei S.p.a. entro la fine di dicembre 2012 ed è, pertanto, ancora in fase di sviluppo.

L'architettura del SID, inoltre, anche al fine di modulare il canale di comunicazione rispetto alle caratteristiche del soggetto inviante, coinvolge l'operatore finanziario nel processo di trasmissione dei dati, non solo nella fase di estrazione dal proprio sistema informativo, ma anche nelle fasi successive relative, soprattutto, alla scelta della modalità di invio tra FTP e PEC, all'individuazione del nodo di interscambio e alle relative configurazioni tecniche (ad esempio, gestione degli account e delle credenziali di autenticazione informatica), con le conseguenti responsabilità in materia di sicurezza.

Tali circostanze, quindi, non hanno consentito un'agevole valutazione dei profili di sicurezza in quanto la definizione delle misure idonee e preventive deve avvenire in concreto sulla base dei rischi insiti nelle singole fasi dei trattamenti di dati di cui si compone l'intero flusso informativo.

Pertanto, visto l'attuale stato di avanzamento della realizzazione del SID e il rilevante coinvolgimento degli operatori finanziari nella messa in sicurezza del canale di trasmissione, il Garante si riserva di verificare nel dettaglio il completamento delle funzionalità della nuova piattaforma, anche prima della messa in esercizio.

1.2. Application to application

Nel provvedimento del 17 aprile 2012, il Garante aveva prescritto all'Agenzia di individuare adeguate misure di sicurezza, di natura tecnica e organizzativa, anche in relazione al trattamento posto in essere dagli operatori finanziari, qualora la trasmissione non fosse avvenuta con interconnessione application to application tra i rispettivi sistemi informativi in grado di minimizzare i rischi per la sicurezza nella fase preordinata alla trasmissione.

Le caratteristiche del SID, e, in particolare, del modulo software open Java per il controllo formale, la compressione e la cifratura dei dati da trasmettere, consentono di automatizzare il processo di raccolta dei dati presso gli operatori finanziari, rafforzando così l'intera filiera di trattamento delle informazioni riducendo passaggi manuali tra incaricati del trattamento che aumentano di per sé le possibilità di accessi non autorizzati e trattamenti illegittimi.

Tuttavia, dalla documentazione in atti, emerge che l'architettura del SID non è in grado di escludere eventuali interventi umani (in particolare, nelle operazioni di estrazione dei dati dai sistemi informativi, di spostamento dei file elaborati sulle piattaforme esposte, di messa a disposizione dei file via FTP o di invio tramite PEC, nonché nella ricezione delle ricevute, soprattutto negli operatori di medie-piccole dimensioni) e prevede la possibilità di passaggi intermedi (ad esempio, nodi di interscambio consorziati).

In ogni caso, occorre evidenziare che, dall'analisi della documentazione fornita dall'Agenzia delle entrate relativa ai rapporti dell'anno 2011, la maggior parte degli operatori finanziari (il 77%) aveva un numero di rapporti inferiore a 100 (più di 10.000 su quasi 13.000 operatori), mentre 260 operatori (il 2%) avevano complessivamente più di 550 milioni di rapporti (quasi il 92% del totale pari a circa 600 milioni).

D'altra parte, si evidenzia che risulta sproporzionato imporre la totale automazione delle procedure a soggetti che effettuano volumi di comunicazioni molto limitati (ad esempio, circa 7000 operatori hanno comunicato nel 2011 meno di 10 rapporti), la quale, invece, risulta indispensabile rispetto agli operatori di grandi dimensioni, come già rappresentato dal Garante nel provvedimento del 17 aprile 2012.

Pertanto, essendo ragionevole prevedere che gli operatori di piccole dimensioni utilizzino il SID senza una completa integrazione nei propri sistemi informativi, si ritiene necessario che, nel valutare le caratteristiche del flusso informativo in esame al fine di garantire la sicurezza dei dati, sia presa in considerazione anche tale circostanza, fornendo agli operatori le istruzioni necessarie anche qualora la procedura di estrazione e invio dei dati all'anagrafe tributaria non venga totalmente automatizzata.

2. Misure e accorgimenti che devono essere adottati dagli operatori finanziari
Alla luce di quanto sopra esposto, occorre, pertanto, individuare alcune misure e accorgimenti che gli operatori finanziari dovranno adottare in conseguenza della ridefinizione del flusso di comunicazione dei dati attraverso il nuovo SID. Tali misure e accorgimenti tengono anche conto del caso in cui gli operatori finanziari, anche in ragione delle caratteristiche dei rispettivi sistemi informativi, non riescano ad automatizzare completamente la procedura di estrazione e invio, richiedendo l'intervento, ancorché limitato, di uno o più utenti, e alle ipotesi in cui si avvalgano di nodi di interscambio esterni.

In particolare, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di comunicazione integrativa annuale all'archivio dei rapporti finanziari, gli operatori finanziari devono assicurare che:

a) i soggetti che intervengono nelle procedure di estrazione e invio devono essere scelti dagli operatori finanziari sulla base di elevati requisiti di idoneità soggettiva in termini di affidabilità e competenze, preferibilmente tra coloro che abbiano un rapporto stabile con essi;

b) anche in considerazione delle dimensioni dell'operatore finanziario, siano adottati meccanismi di cifratura e di sicurezza, rispettivamente finalizzati a proteggere le informazioni contenute nel file durante i successivi passaggi all'interno dell'operatore stesso e ad assicurare l'integrità del contenuto e a prevenirne alterazioni (ad esempio, nello spostamento del file elaborato dal modulo open Java sul server esposto per il prelevamento attraverso FTP o PEC);

c) l'accesso al file, nelle successive fasi del trattamento, anche dopo la cifratura, sia circoscritto ad un numero il più possibile limitato di incaricati;

d) visti i volumi ridotti della gran parte dei flussi relativi alla comunicazione integrativa annuale, deve ritenersi che la PEC risulterà lo strumento di trasmissione privilegiato dalla maggioranza degli operatori finanziari di piccole e medie dimensioni. Qualora la comunicazione all'Agenzia delle entrate avvenga mediante l'utilizzo di caselle di PEC alimentate in modo non completamente automatico, e quindi attraverso postazioni client, tali postazioni devono disporre, come da ordinarie prassi di sicurezza informatica, di versioni costantemente aggiornate del sistema operativo, del browser, dei programmi antivirus e degli altri software applicativi utilizzati sulla postazione medesima, al fine di ridurre i rischi connessi ad accessi non consentiti o all'azione di virus o altri malware;

e) qualora gli operatori finanziari decidano di affidare la comunicazione a soggetti esterni, designati responsabili o incaricati del trattamento, il file dovrà essere loro fornito già cifrato;

f) il file cifrato che viene trasmesso ai predetti soggetti esterni per la successiva trasmissione all'anagrafe tributaria deve essere conservato sui nodi di interscambio per il tempo strettamente necessario allo scambio dei dati. L'Agenzia ha dichiarato di provvedere alla cancellazione in occasione del prelievo di tale file; in ogni caso l'operatore finanziario deve verificare l'avvenuta cancellazione dai nodi di interscambio subito dopo la ricezione delle relative ricevute;

g) anche le comunicazioni inviate tramite PEC contenenti dati personali, ancorché cifrati, devono essere cancellate da parte dell'operatore dai server di posta utilizzati per la comunicazione, una volta completata la procedura di invio o ricezione;

h) gli operatori finanziari, soggetti in capo ai quali sono demandate la gestione delle utenze e delle credenziali di autenticazione FTP, devono rispettare le misure minime di sicurezza di cui all'Allegato B del Codice, comunicando all'Agenzia periodicamente con scadenza prefissata su canali sicuri le nuove credenziali di autenticazione per l'accesso ai propri server FTP;

i) i nodi di interscambio devono disporre di uno spazio FTP dedicato alla comunicazione integrativa annuale; in caso di nodi che servono più operatori finanziari, tale spazio deve essere distinto per ciascuno di essi; anche le credenziali di accesso al server FTP devono essere riferite unicamente alla comunicazione integrativa annuale di ogni singolo operatore;

l) con riferimento al ruolo assunto dai nodi di interscambio rispetto al trattamento dei dati personali, ancorché cifrati, qualora l'invio avvenga per conto terzi, occorre che l'operatore finanziario:

- designi preventivamente quale responsabile del trattamento il gestore del nodo, che deve offrire idonee garanzie in relazione a quanto previsto dall'art. 29 del Codice;

- fornisca a tale soggetto adeguate istruzioni e vigili sul trattamento da effettuare, con particolare riguardo alle ipotesi in cui tale soggetto sia designato responsabile da più operatori, al fine di garantire misure di carattere tecnico organizzativo volte ad assicurare la segregazione dei flussi tra l'Agenzia e ciascun operatore;

m) riguardo alla possibilità di avvalersi di nodi di interscambio già certificati o consorziati, e quindi esterni, l'operatore finanziario deve assicurare che la trasmissione al nodo del file da comunicare all'anagrafe tributaria avvenga con misure di sicurezza analoghe a quelle assicurate nell'interscambio tra il nodo medesimo e l'Agenzia delle entrate;

Come già ribadito nel parere del 17 aprile 2012, anche in sede di esame del presente schema di provvedimento, considerato che gli aspetti relativi alla sicurezza dei trattamenti effettuati presso gli operatori finanziari ai fini della comunicazione integrativa annuale all'archivio dei rapporti finanziari sono correlati alla messa in esercizio del SID, il Garante si riserva di effettuare eventuali verifiche, anche a campione, al fine di individuare ulteriori misure laddove risulti necessario incrementarne i livelli di sicurezza.

3. Il Sistema di interscambio dati

3.1. Criticità e osservazioni

Allo stato, in base alla documentazione agli atti e da quella fornita dall'Agenzia delle entrate, le principali criticità relative al nuovo SID, attualmente ancora in fase di ultimazione, si possono rinvenire nei seguenti passaggi del flusso dati:

1. allo stato, non sono state ancora individuate nel dettaglio da parte dell'Agenzia:

a)  le modalità di registrazione di ogni singolo operatore per utilizzare la piattaforma FTP (cfr. punto 5.3 dello schema), finalizzata, in particolare, alla comunicazione della scelta del nodo da utilizzare in caso di nodo consorziato, ovvero se nodo proprio, all'indicazione dell'indirizzo IP e delle credenziali di accesso; per la registrazione, l'Agenzia ha dichiarato che è previsto l'utilizzo del proprio sito attraverso un'applicazione ancora in fase di progettazione di dettaglio;

b) le modalità di integrazione nei sistemi informativi del modulo open Java, ovvero la componente software realizzata dall'Agenzia per il controllo formale, la compressione e la cifratura dei dati da trasmettere. Tale integrazione costituisce il presupposto per l'automatizzazione delle procedure, essenziale all'abbattimento significativo dei rischi di accessi non autorizzati, trattamenti illegittimi, non consentiti e non conformi alle finalità;

2. il modulo software di firma, realizzato anch'esso in ambiente open Java, è separato da quello di controllo formale, compressione e cifratura. Tale software, secondo l'Agenzia, consentirebbe di "firmare digitalmente" il file da trasmettere; il certificato impiegato risulta, inoltre, essere quello utilizzato dall'operatore finanziario per inviare documentazione fiscale attraverso il servizio Entratel. Al riguardo, inoltre, pur senza conseguenze sulle finalità dell'Agenzia volte ad assicurare l'integrità del file oggetto di trasmissione, è opportuno precisare che il meccanismo prefigurato per la firma, che prevede l'utilizzo della Certification Authority (CA) dell'Agenzia delle entrate in luogo di una CA ufficiale e non richiede l'impiego di un dispositivo fisico di firma (ad esempio, smart card), non risulta produrre un file con firma digitale ma con una c.d. firma elettronica avanzata;

4. non è richiesto che il file da inviare tramite la PEC venga firmato con l'apposito certificato rilasciato dall'Agenzia; valuti l'Agenzia se anche tali file trasmessi tramite PEC devono essere firmati dall'operatore finanziario di medie dimensioni (ad esempio, operatori con più di 1000 rapporti) al fine di garantire anche in questo caso, oltre alla certificazione del mittente già in parte assicurata dallo stesso canale di trasmissione, l'integrità del file rispetto a possibili alterazioni;

5. con riferimento alle caratteristiche dei nodi di interscambio, l'Agenzia ha dichiarato che non è ancora stato redatto l'elenco dei nodi di cui al punto 5.2 dello schema. Dalla documentazione in atti, non emergono, allo stato, i requisiti tecnici richiesti dall'Agenzia per la certificazione del nodo relativamente al corretto funzionamento del colloquio tra i sistemi (punti 2.1.2 e 2.1.3 dell'allegato 3 allo schema di provvedimento);

6. il canale FTP prescelto dall'Agenzia per il colloquio con i nodi di interscambio non risulterebbe cifrato poiché, secondo quanto dichiarato dall'Agenzia, l'eventuale cifratura non consentirebbe di effettuare un adeguato tracciamento delle operazioni svolte;

7. non risulta dalla documentazione in atti che i file di esito dell'invio trasmessi dall'Agenzia all'operatore finanziario vengano protetti con modalità che permettano la consultazione da parte del solo operatore destinatario. Ciò risulterebbe una criticità nel caso in cui tali file, verificate incongruenze nei dati trasmessi rispetto a quelli già presenti nell'archivio dei rapporti finanziari, contengano dati personali.

3.2. Misure e accorgimenti necessari

Con riferimento alle criticità sopra evidenziate, riferibili in parte anche all'attuale stato di avanzamento del progetto SID, ancora in fase di realizzazione, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di comunicazione integrativa annuale all'archivio dei rapporti finanziari, l'Agenzia deve:

i) integrare e modificare lo schema di provvedimento in esame prevedendo che:

1. nel caso in cui i file di esito trasmessi dall'Agenzia contengano dati personali, siano adottate idonee modalità di cifratura, con riferimento ad entrambe le modalità di interscambio (FTP e PEC). Tale cifratura deve avvenire mediante l'utilizzo della chiave pubblica del certificato di firma attribuito a ciascun operatore, ovvero con altra modalità tecnica in grado di garantire la lettura del file al solo operatore finanziario.

2. a fronte delle caratteristiche dei dati oggetto del flusso, soprattutto in relazione all'interesse che il valore strategico di una simile banca dati può suscitare, al fine di ridurre le fragilità insite nel protocollo FTP rispetto ad accessi abusivi, l'interscambio dei dati sia cifrato, anche attraverso i meccanismi di protezione già presenti nella gran parte dei prodotti disponibili (anche open source). L'Agenzia deve individuare opportune modalità di tracciamento delle operazioni svolte compatibili anche con la cifratura del canale;

ii) adottare le misure e gli accorgimenti seguenti, prima dell'inizio del trattamento:

1. con riferimento a quanto non ancora individuato nel dettaglio:

a)  la procedura di registrazione che ogni singolo operatore deve effettuare per utilizzare la piattaforma FTP, attraverso un'applicazione predisposta dall'Agenzia, deve avvenire su canali di trasmissione sicuri, ciò anche con riferimento alle successive trasmissioni di informazioni tecniche degli operatori (ad esempio, le credenziali di autenticazione di cui al precedente punto 2, lett. h);

b) le modalità di integrazione nei sistemi informativi del modulo open Java, quale  presupposto per l'automatizzazione delle procedure, soprattutto con riferimento agli operatori di grandi dimensioni, devono essere approfonditamente esaminate dall'Agenzia ed adeguatamente indicate agli operatori finanziari, al fine di minimizzare i rischi di accessi  non autorizzati e trattamenti non consentiti durante le fasi successive all'estrazione del file. Al riguardo, il Garante si riserva di verificarne in concreto le funzionalità anche prima della messa in esercizio;

2. con riferimento alle caratteristiche che i nodi di interscambio devono possedere per ottenere la certificazione da parte dell'Agenzia, si rileva che deve essere previsto uno spazio dedicato alla comunicazione integrativa annuale; in caso di nodi che servono più operatori finanziari, tale spazio deve essere distinto per ciascuno di essi; anche le credenziali di accesso al server FTP devono essere riferite unicamente alla comunicazione integrativa annuale di ogni singolo operatore;

3. anche le comunicazioni a mezzo PEC contenenti dati personali, ancorché cifrati, devono essere cancellate dai server di posta utilizzati, una volta completata la procedura di invio o ricezione.

C. Le finalità del trattamento dei dati oggetto di comunicazione integrativa annuale

1. Le finalità del trattamento
Come previsto dal legislatore (art. 11, comma 2, del decreto legge n. 201 del 2011), l'Agenzia ha inteso disciplinare con lo schema di provvedimento in esame unicamente le modalità di comunicazione e conservazione dei dati oggetto della comunicazione integrativa annuale da parte degli operatori finanziari all'anagrafe tributaria, che sono destinati ad essere archiviati nell'apposita sezione separata dell'anagrafe tributaria, denominata archivio dei rapporti finanziari.

La scelta di eliminare dal testo le disposizioni che, nella versione precedente, limitavano l'accesso puntuale ai dati a fini di accertamento risponderebbe, secondo l'Agenzia, unicamente ad un'esigenza formale, rinviando ad un successivo provvedimento la disciplina del trattamento di tali dati.

L'Agenzia ha dichiarato, quindi, che il provvedimento del Direttore dell'Agenzia delle entrate con cui saranno individuati i criteri da utilizzare per la formazione delle liste selettive sarà preventivamente sottoposto a questa Autorità. Ciò, come previsto nel parere del Garante del 17 aprile 2012, nel quale è stato ritenuto che i rischi che comporta una siffatta attività di classificazione del contribuente richiedono una verifica preliminare dell'Autorità al fine di individuare eventuali misure e accorgimenti idonei a garantire l'applicazione dei principi in materia di protezione dei dati personali (artt. 14 e 17 del Codice), fermo restando l'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice.

L'Agenzia, in ogni caso, ha dichiarato che i dati contenuti nella comunicazione integrativa annuale non saranno visibili ai soggetti autorizzati all'accesso all'attuale archivio dei rapporti finanziari.

1.1. Verifica preliminare sugli accessi ai dati contenuti nella comunicazione integrativa annuale

Al riguardo, occorre rilevare che, oltre alle finalità di formazione delle liste dei contribuenti a maggior rischio evasione e di semplificazione e controllo in materia di ISEE richiamate sommariamente dall'Agenzia nel testo dello schema, il citato art. 11, comma 4, prevede che tali informazioni possano essere utilizzate anche per le ulteriori finalità di cui all'art. 7, comma 11, d.P.R. n. 605, per le quali allo stato è consentito accedere all'attuale  archivio dei rapporti finanziari, che contiene unicamente gli estremi e la natura dei rapporti finanziari ma non le informazioni relative ai saldi iniziali e finali e ai dati aggregati delle movimentazioni con l'evidenza del dare e avere, oggetto della comunicazione integrativa annuale in esame.

Pertanto, atteso che il trattamento dei dati in esame, relativi alla totalità dei soggetti che intrattengono rapporti con gli operatori finanziari, presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, si ribadisce che, come già previsto nel parere del Garante 17 aprile 2012, laddove vengano disciplinati ulteriori casi di trattamento dei dati oggetto della comunicazione integrativa annuale, l'Agenzia deve sottoporre alla verifica preliminare dell'Autorità tale circostanza ai fini dell'individuazione di procedure e garanzie idonee a consentire il rispetto di tali diritti e libertà (art. 17 del Codice). Ciò, anche con riferimento a ciascuna delle ipotesi di utilizzo di tali dati contemplate dal legislatore nel citato art. 11, comma 4, oltre a quella relativa alla formazione delle liste che, come sopra illustrato, richiede altresì una valutazione sull'attività di classificazione del contribuente ai sensi dell'art. 14 del Codice.

2. La conservazione in anagrafe tributaria

Per quanto riguarda i tempi di conservazione, infine, si prende atto positivamente, che l'Agenzia ha provveduto a esplicitare nello schema in esame i tempi di conservazione dei dati che corrispondono a quelli di decadenza in materia di accertamento delle imposte sui redditi, stabilendone l'automatica cancellazione al termine di tale periodo. Ciò, in linea a quanto indicato dal Garante nel parere del 17 aprile 2012.

Resta, in ogni caso, ferma l'esigenza di esaminare organicamente, in altra sede e in un più  ampio contesto, le misure di sicurezza relative alla conservazione dei dati in anagrafe tributaria anche al fine di valutare l'ulteriore incremento di livelli di sicurezza da garantire rispetto a trattamenti di dati quali quelli effettuati presso l'archivio dei rapporti finanziari.

TUTTO CIO' PREMESSO IL GARANTE:

I. ai sensi dell'articolo 154, commi 4 e 5, del Codice, esprime il parere favorevole sullo schema di provvedimento del Direttore dell'Agenzia delle entrate concernente le Disposizioni di attuazione dell'articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 "Modalità per la comunicazione integrativa annuale all'archivio dei rapporti finanziari", a condizione che venga integrato e modificato prevedendo che:

1) il protocollo FTP utilizzato per l'interscambio dei dati sia cifrato, anche attraverso i meccanismi di protezione già presenti nella gran parte dei prodotti disponibili (anche open source). L'Agenzia deve individuare opportune modalità di tracciamento delle operazioni svolte compatibili anche con la cifratura del canale;

2) nel caso in cui i file di esito dell'invio contengano dati personali, siano adottate idonee modalità di cifratura, con riferimento ad entrambe le modalità di interscambio (FTP e PEC). Tale cifratura deve avvenire mediante l'utilizzo della chiave pubblica del certificato di firma attribuito a ciascun operatore, ovvero con altra modalità tecnica in grado di garantire la lettura del file al solo operatore finanziario;

3) al fine di garantirne la massima conoscibilità agli operatori finanziari, l'Allegato 1 al presente parere, sia contenuto nello schema di provvedimento in esame.

II. ai sensi dell'articolo 154, comma 1, lett. c), del Codice, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di comunicazione integrativa annuale all'archivio dei rapporti finanziari, prescrive di adottare, prima dell'inizio del trattamento, le misure e gli accorgimenti contenuti, rispettivamente, per gli operatori finanziari, nell'Allegato 1, parte integrante del presente parere, e, per l'Agenzia delle entrate, nei punti 3.2., lett. ii), del paragrafo B e 1.1. del paragrafo C del presente parere.

Roma, 15 novembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

 

Allegato 1

Gli operatori finanziari devono assicurare che:

a) i soggetti che intervengono nelle procedure di estrazione e invio siano scelti dagli operatori finanziari sulla base di elevati requisiti di idoneità soggettiva in termini di affidabilità e competenze, preferibilmente tra coloro che abbiano un rapporto stabile con essi;

b) anche in considerazione delle dimensioni dell'operatore finanziario, siano adottati meccanismi di cifratura e di sicurezza, rispettivamente finalizzati a proteggere le informazioni contenute nel file durante i successivi passaggi all'interno dell'operatore stesso e ad assicurare l'integrità del contenuto e a prevenirne alterazioni;

c) l'accesso al file, nelle successive fasi del trattamento, anche dopo la cifratura, sia circoscritto ad un numero il più possibile limitato di incaricati;

d) qualora la comunicazione all'Agenzia delle entrate avvenga mediante l'utilizzo di caselle di PEC alimentate in modo non completamente automatico, e quindi attraverso  postazioni client, tali postazioni devono disporre, come da ordinarie prassi di sicurezza informatica, di versioni costantemente aggiornate del sistema operativo, del browser, dei programmi antivirus e degli altri software applicativi utilizzati sulla postazione medesima, al fine di ridurre i rischi connessi ad accessi non consentiti o all'azione di virus o altri malware;

e) qualora gli operatori finanziari decidano di affidare la comunicazione a soggetti esterni, designati responsabili o incaricati del trattamento, il file sia loro fornito già cifrato;

f) il file cifrato che viene trasmesso ai predetti soggetti esterni per la successiva trasmissione all'anagrafe tributaria sia conservato sui nodi di interscambio per il tempo strettamente necessario allo scambio dei dati. L'operatore finanziario deve verificare l'avvenuta cancellazione dai nodi di interscambio subito dopo la ricezione delle relative ricevute;

g) anche le comunicazioni a mezzo PEC contenenti dati personali, ancorché cifrati, siano cancellate da parte dell'operatore dai server di posta utilizzati per la comunicazione, una volta completata la procedura di invio o ricezione;

h) gli operatori finanziari, soggetti in capo ai quali sono demandate la gestione delle utenze e delle credenziali di autenticazione FTP, rispettino le misure minime di sicurezza di cui all'Allegato B del Codice, comunicando all'Agenzia periodicamente con scadenza prefissata su canali sicuri le nuove credenziali di autenticazione per l'accesso ai propri server FTP;

i) i nodi di interscambio devono disporre di uno spazio FTP dedicato alla comunicazione integrativa annuale; in caso di nodi che servono più operatori finanziari, tale spazio deve essere distinto per ciascuno di essi; anche le credenziali di accesso al server FTP devono essere riferite unicamente alla comunicazione integrativa annuale di ogni singolo operatore;

l) con riferimento al ruolo assunto dai nodi di interscambio rispetto al trattamento dei dati personali, ancorché cifrati, qualora l'invio avvenga per conto terzi:

- tale soggetto sia preventivamente designato quale responsabile del trattamento il gestore del nodo, che deve offrire idonee garanzie in relazione a quanto previsto dall'art. 29 del Codice;

- siano fornite a tale soggetto adeguate istruzioni e vigili sul trattamento da effettuare, con particolare riguardo alle ipotesi in cui tale soggetto sia designato responsabile da più operatori, al fine di garantire misure di carattere tecnico organizzativo volte ad assicurare la segregazione dei flussi tra l'Agenzia e ciascun operatore;

m) riguardo alla possibilità di avvalersi di nodi di interscambio già certificati o consorziati, e quindi esterni, sia garantito che la trasmissione al nodo del file da comunicare all'anagrafe tributaria avvenga con misure di sicurezza analoghe a quelle assicurate nell'interscambio tra il nodo medesimo e l'Agenzia delle entrate.