[doc. web n. 8275939]

Parere sullo schema di provvedimento del Direttore dell´Agenzia delle entrate per l´accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati - 5 aprile 2018

Registro dei provvedimenti
n. 195 del 5 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito Codice);

VISTO l´articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175, ai sensi del quale, in particolare, "con provvedimento del Direttore dell´Agenzia delle entrate, sentita l´Autorità Garante per la protezione dei dati personali, sono individuate le modalità tecniche per consentire al contribuente o agli altri soggetti autorizzati di accedere alla dichiarazione precompilata resa disponibile in via telematica dall´Agenzia delle entrate";

VISTO il provvedimento del Direttore dell´Agenzia delle entrate del 23 febbraio 2015 avente per oggetto l´"Accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati", sul quale l´Autorità ha espresso il proprio parere il 19 febbraio 2015 (doc. web n. 3741076), e quelli dell´11 aprile 2016, sul quale il Garante si è espresso con il parere del 7 aprile 2016 (doc. web n. 4916838) e del 7 aprile 2017, sul quale il Garante si è espresso con il parere del 30 marzo 2017 (doc. web n. 6378475), aventi il medesimo oggetto;

VISTA la nota dell´Agenzia delle entrate del 28 marzo 2018, prot. n. 68568, con la quale è stato sottoposto al parere del Garante lo schema del nuovo provvedimento del Direttore dell´Agenzia avente per oggetto l´"Accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati";

RILEVATO che lo schema di provvedimento in esame, in aggiunta alle misure e gli accorgimenti stabiliti con i provvedimenti suindicati per l´accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati, a partire dal 2018, prevede che:

- i Centri di assistenza fiscale (di seguito Caf) e i professionisti abilitati possano effettuare richieste di accesso alle dichiarazioni precompilate via web, previa autenticazione, oltre che con le credenziali rilasciate dall´Agenzia delle entrate e con una CNS, anche con un´identità SPID;

- alcuni Caf espressamente individuati, possano accedere, in via sperimentale, "in cooperazione applicativa con cornice di sicurezza", alle dichiarazioni dei redditi precompilate e alle informazioni attinenti alla dichiarazione 730 precompilata disponibili presso l´Agenzia delle entrate. Al termine dell´attività di sperimentazione relativa all´anno di imposta 2017, anche sulla base degli esiti dei controlli a campione effettuati, l´Agenzia delle Entrate, sentito il Garante per la protezione dei dati personali, si riserva di valutare l´introduzione di ulteriori misure di sicurezza;

RILEVATO che lo schema in esame individua le misure di sicurezza necessarie per consentire l´accesso ai Caf che aderiscono alla sperimentazione, prevedendo la stipula di un´apposita convenzione con l´Agenzia delle entrate, allegata alla richiesta di parere in esame e redatta nel rispetto di quanto previsto nel provvedimento del Garante del 18 settembre 2008 (doc. web n. 1549548). In particolare, nello schema (punti 4.2.4.2. e 5.9.) viene previsto che:

1. i servizi di cooperazione applicativa resi disponibili dall´Agenzia delle entrate devono essere esclusivamente integrati dai CAF con il proprio sistema informativo e non possono essere resi disponibili a terzi, né direttamente né indirettamente, per via informatica;

2. l´accesso ai servizi di cooperazione applicativa è consentito esclusivamente dagli applicativi del Caf realizzati per le finalità di accesso alla dichiarazione precompilata;

3. i servizi di cooperazione applicativa non possono essere utilizzati da soggetti esterni al Caf anche nell´ipotesi in cui questi operino per conto dello stesso;

4. in nessun caso è consentita la messa a disposizione, da parte dei Caf, dei  web service forniti su rete pubblica (Internet);

5. la procedura di autenticazione dell´utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza almeno equivalente a quella offerta dal protocollo TLS1.2 esclusivo, chiavi RSA 2048 bit e cifrari basati su algoritmo AES;

6. i Caf devono tracciare le operazioni concernenti la richiesta di accesso ai dati tramite il canale di cooperazione applicativa e conservarle secondo i requisiti di legge;

7. nelle richieste di accesso, oltre ai dati di riscontro richiesti per tutti gli accessi da parte dei soggetti autorizzati (individuati nello schema di provvedimento ai punti 4.2.3.3. e 4.2.4.1.), devono essere indicati il codice hash del file in formato pdf contenente le copie della delega e del documento del contribuente delegante, nonché la modalità di sottoscrizione della delega;

8. oltre alle ordinarie modalità di controllo dell´Agenzia delle entrate sulle deleghe e sui documenti di identità indicati nelle richieste di accesso alle dichiarazioni precompilate di cui al punto 5.8 dello schema in esame, i Caf che aderiscono alla sperimentazione garantiscono anche un accesso, in "cooperazione applicativa con cornice di sicurezza", ai predetti documenti indicati nelle richieste di accesso con modalità asincrona entro 48 ore dalla richiesta dell´Agenzia. Le modalità tecniche di accesso al predetto servizio di fornitura puntuale, tramite web services, sono disciplinate da un´apposita convenzione tra l´Agenzia delle entrate e i CAF che aderiscono alla sperimentazione, nel rispetto comunque delle misure di sicurezza individuate dall´Agenzia e riportate ai predetti punti da 1 a 9 del presente parere;

9. i Caf devono utilizzare proprie procedure, di carattere organizzativo e tecnologico, in grado di evidenziare eventuali anomalie nelle attività di accesso ai dati da parte degli utilizzatori designati. A seguito di una segnalazione prodotta dalle suddette procedure, i Caf dovranno adottare le opportune contromisure volte a prevenire accessi abusivi ai dati. Qualora non sia possibile adottare tempestivamente tali contromisure, i Caf dovranno  procedere all´interruzione del servizio, dandone contestuale comunicazione all´Agenzia delle Entrate;

RILEVATO che la versione dello schema in esame tiene conto degli approfondimenti effettuati con i rappresentanti dell´Agenzia delle entrate al fine di individuare le misure di sicurezza necessarie a garantire la protezione dei dati personali in relazione all´accesso, in via sperimentale, di alcuni Caf, in "cooperazione applicativa con cornice di sicurezza", alle dichiarazioni dei redditi precompilate e alle informazioni attinenti alla dichiarazione 730 precompilata disponibili presso l´Agenzia delle entrate;

RITENUTO necessario, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di accesso, prescrivere ai Caf che aderiscono alla predetta sperimentazione l´adozione delle misure necessarie individuate dall´Agenzia e riportate ai predetti punti da 1 a 9 del presente parere;

RITENUTO, in ogni caso, necessario rinviare all´esito della valutazione condotta dall´Agenzia delle entrate, anche sulla base degli esiti dei controlli a campione effettuati durante la sperimentazione, il rafforzamento delle misure sopra individuate in relazione alle modalità di accesso dei Caf  per i successivi anni d´imposta;

RILEVATO, con particolare riferimento al punto 9 del presente parere, che a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare (CAF) del trattamento è comunque tenuto a notificare un´eventuale violazione dei dati personali nei termini di cui agli artt. 33 e 34 del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO´ PREMESSO IL GARANTE

I. ai sensi dell´art. 154, comma 1, lett. g), del Codice e dell´art. 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175, esprime parere favorevole sul nuovo schema di provvedimento del Direttore dell´Agenzia delle entrate per l´accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati;

II. ai sensi dell´articolo 154, comma 1, lett. c), del Codice, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di accesso, in via sperimentale, in "cooperazione applicativa con cornice di sicurezza" alle dichiarazioni dei redditi precompilate e alle informazioni attinenti alla dichiarazione 730 precompilata disponibili presso l´Agenzia delle entrate, prescrive ai Caf aderenti di adottare, prima dell´inizio del trattamento, le misure e gli accorgimenti indicati nei punti da 1 a 9 del presente parere;

III. per gli effetti di quanto previsto al precedente punto II. il provvedimento sarà pertanto notificato anche ai Caf che partecipano alla sperimentazione.

Roma, 5 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia