Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere sullo schema di Intesa tra Agenzia delle entrate e Acquirente unico spa per la trasmissione dei dati utili all’addebito del canone tv nelle fatture per la fornitura di energia elettrica - 12 maggio 2016 [5217271]

[doc. web n. 5217271]

Parere sullo schema di Intesa tra Agenzia delle entrate e Acquirente unico spa per la trasmissione dei dati utili all'addebito del canone tv nelle fatture per la fornitura di energia elettrica - 12 maggio 2016

Registro dei provvedimenti
n. 216 del 12 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente,  della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il "Codice in materia di protezione dei dati personali" (d.lgs. 30 giugno 2003, n. 196), di seguito "Codice";

VISTA la legge 28 dicembre 2015, n. 208, "Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato (legge di stabilità 2016)", che, in particolare, introdotto, a decorrere dall'anno 2016, una nuova modalità di pagamento del canone di abbonamento alla televisione per uso privato per i titolari di utenza di fornitura di energia elettrica, mediante addebito sulle fatture emesse dalle imprese elettriche, in dieci rate mensili, da gennaio ad ottobre di ogni anno;

VISTO l'art. 2, comma 1, del decreto attuativo del Ministero dello sviluppo economico, di concerto con il Ministro dell'economia e delle finanze, in corso di pubblicazione, sul quale il Garante ha reso il proprio parere il 27 aprile 2016 (doc. web n. 4943860), ai sensi del quale:

a) Acquirente unico S.p.a. trasmette all'Agenzia delle entrate, secondo modalità e contenuti definiti d'intesa fra i succitati organi, sentito il Garante per la Protezione dei dati personali, le informazioni relative ai contratti rese disponibili ai sensi della Deliberazione dell'Autorità n. 628/2015/R/EEL del 17 dicembre 2015;

b) l'Agenzia delle entrate, sulla base delle informazioni disponibili nel sistema informativo dell'Anagrafe Tributaria, individua i contratti della tipologia altri clienti domestici per i quali il luogo di fornitura corrisponde alla residenza dell'intestatario e ne comunica gli estremi all'Acquirente unico S.p.a., secondo modalità e contenuti definiti d'intesa fra i succitati organi, sentito il Garante per la Protezione dei dati personali;

c) entro il 31 ottobre di ogni anno, l'Agenzia delle entrate trasmette ad Acquirente unico S.p.a. le informazioni di cui alla lettera b) aggiornate sulla base delle variazioni di residenza intervenute nel periodo, con le modalità e i contenuti definiti d'intesa fra i succitati organi, sentito il Garante per la Protezione dei dati personali, ai sensi della stessa lettera b);

d) Acquirente unico S.p.a. rende disponibili alle imprese elettriche, tramite il Sistema informativo integrato, le informazioni di cui alla lettera c), entro il 7 novembre di ogni anno.

VISTO altresì l'art. 2, comma 2, del medesimo decreto a norma del quale l'Agenzia delle entrate trasmette ad Acquirente unico S.p.a., secondo tempi, modalità e contenuti definiti d'intesa fra i succitati organi, sentito il Garante per la Protezione dei dati personali:

a) le informazioni sui soggetti che risultano aver presentato la dichiarazione di non detenzione di apparecchi televisivi di cui all'articolo 1, comma 153, della legge 28 dicembre 2015, n. 208, nonché la dichiarazione della sussistenza di altra utenza elettrica per la quale uno dei componenti il nucleo familiare è già tenuto al pagamento;

b) le informazioni relative ai soggetti appartenenti alla stessa famiglia anagrafica, come definita dall'articolo 4 del decreto del Presidente della Repubblica 30 maggio 1989, n. 223, individuati dall'Agenzia delle entrate - Direzione provinciale I di Torino – Ufficio Territoriale di Torino I – Sportello SAT, nei cui confronti non si deve procedere all'addebito sulle fatture per energia elettrica, in quanto il pagamento è stato effettuato con altre modalità, ovvero, in quanto almeno uno dei componenti della famiglia anagrafica risulta esente dal pagamento ai sensi dell'articolo 1, comma 132, della legge 24 dicembre 2007, n. 244, o per effetto di Convenzioni internazionali;

c) le variazioni intervenute nei dati di cui alle lettere a) e b);

VISTA la nota del 6 maggio 2016, con la quale l'Agenzia delle entrate, tenuto conto dell'urgenza di definire tempestivamente le modalità operative per consentire alle imprese elettriche il corretto addebito del canone nella bolletta di luglio, nelle more dell'emanazione del predetto decreto, ha sottoposto al parere del Garante lo schema di "Intesa tra Agenzia delle entrate e Acquirente unico spa per la trasmissione dei dati utili all'addebito del canone tv nelle fatture per la fornitura di energia elettrica", attuativo dell'art. 2 dello stesso;

CONSIDERATO che la versione dello schema di intesa in esame tiene conto delle indicazioni fornite dell'Ufficio del Garante volte a limitare, nel rispetto dei principi di necessità, pertinenza e non eccedenza rispetto alle finalità perseguite, le tipologie di informazioni personali oggetto di scambio tra l'Acquirente unico e l'Agenzia delle entrate;

VISTI gli allegati al predetto schema di intesa, in cui, in particolare, è stato previsto che:

- il SID (Sistema di Interscambio Flussi Dati, infrastruttura trasmissiva dell'Agenzia delle entrate, dedicata allo scambio automatizzato di flussi dati con amministrazioni, società, enti e ditte individuali) sia utilizzato nella modalità di scambio dati FTP, senza protezione del canale trasmissivo tramite la tecnologia VPN IPsec in modalità site-to-site;

- l'Acquirente unico esponga a tal fine un server FTP, in grado di essere raggiunto dal client FTP dell'Agenzia, comunicando alla stessa le relative credenziali d'accesso;

- i dati trasmessi via FTP siano firmati digitalmente in formato PKCS7 e successivamente cifrati allo scopo di assicurarne la provenienza e la riservatezza, utilizzando un algoritmo a chiave simmetrica, generata randomicamente di volta in volta;

VISTA la nota del 9 maggio 2016 con cui l'Agenzia delle entrate, con riferimento alle modalità di scambio dati tra l'Agenzia delle Entrate e Acquirente unico, ha precisato che è stato scelto di utilizzare l'infrastruttura SID, nella modalità di scambio dati FTP senza protezione del canale trasmissivo tramite la tecnologia VPN IPsec in modalità site-to-site, "per  venire incontro alle esigenze di Acquirente unico. Dal momento che lo stesso non sarebbe riuscito, in tempi brevi, a predisporre un server FTP con tali caratteristiche". L'Agenzia, dunque, "in considerazione della tipologia dei dati trattati dal sistema e delle misure di sicurezza comunque presenti, quali ad esempio la firma digitale e la crittografia dei dati", ha ritenuto di assecondare le richieste di Acquirente unico;

RITENUTO, tuttavia, che non risulti adeguatamente motivata la difficoltà di Acquirente unico a rendere disponibile un server FTP "sicuro" (SFTP o protetto con una tecnologia VPN);

CONSIDERATO, infatti, che se la cifratura dei dati oggetto di comunicazione è idonea a garantire la protezione delle informazioni nella fase di trasmissione, una sessione di collegamento FTP tra un client dell'Agenzia e un server esposto sulla rete pubblica Internet da Acquirente unico, in assenza di protezione crittografica del canale, aumenta la vulnerabilità dei sistemi agli attacchi informatici, mettendo a rischio l'infrastruttura informatica e i dati personali in essa contenuti;

RITENUTO, pertanto, che, ai sensi dell'art. 154, comma 1, lett. c) del Codice, in considerazione delle specifiche caratteristiche dei trattamenti in esame, risulta necessario prescrivere l'adozione di idonee e preventive misure di sicurezza, garantendo che i dati personali, ancorché cifrati, viaggino su canali sicuri, in modo da ridurre al minimo i rischi di violazione di dati personali contenuti nei sistemi informativi dei soggetti interagenti (art. 31 del Codice), con particolare riferimento, in questo caso, a quello dell'Acquirente unico che sarebbe tecnicamente il più esposto; ciò, realizzando, come già prescritto in relazione al SID con i provvedimenti del Garante del 15 novembre 2012 (doc. web n. 2099774) e del 31 gennaio 2013 (doc. web n. 2268436), un collegamento sicuro con tecnologie crittografiche con un sistema di file transfer sicuro (SFTP o FTP/S) oppure, in alternativa, un sistema FTP semplice, ma all'interno di un canale VPN IPsec o SSL. Nelle more della configurazione sicura del predetto collegamento, l'Agenzia delle entrate e l'Acquirente unico possono individuare altri sistemi di scambio dati con equivalenti livelli di sicurezza idonei a garantire la protezione, oltre che dei dati personali, anche dei sistemi informativi di entrambi gli enti;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

ai sensi dell'art. 154, comma 1, lett. g), del Codice, esprime parere favorevole sullo schema di "Intesa tra Agenzia delle entrate e Acquirente unico spa per la trasmissione dei dati utili all'addebito del canone tv nelle fatture per la fornitura di energia elettrica", e dell'art. 154, comma 1, lett. c), prescrive all'Agenzia delle entrate e ad Acquirente unico che, in tale ambito, il SID venga utilizzato realizzando un collegamento sicuro con tecnologie crittografiche con un sistema di file transfer sicuro (SFTP o FTP/S) oppure, in alternativa, un normale sistema FTP all'interno di un canale VPN IPsec o SSL. Nelle more della configurazione sicura del predetto collegamento, l'Agenzia delle entrate e l'Acquirente unico possono individuare altri sistemi di scambio dati con equivalenti livelli di sicurezza idonei a garantire la protezione, oltre che dei dati personali, anche dei sistemi informativi di entrambi gli enti.

Roma, 12 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia