Diritti interna

Doveri interna

ricerca avanzata

Convenzione fra il Ministero dell'interno-Dipartimento della pubblica sicurezza e l'Agenzia delle entrate per l'accesso da parte delle forze di po...

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1822278
Data:
26/05/11
Argomenti:
Fisco , Anagrafe tributaria , Agenzia delle Entrate , Diffusione dati fiscali
Tipologia:
Parere del Garante

[doc. web n. 1822278]

vedi anche
[provv. 18 settembre 2008]

Convenzione fra il Ministero dell´interno-Dipartimento della pubblica sicurezza e l´Agenzia delle entrate per l´accesso da parte delle forze di polizia alla banca dati dell´Anagrafe tributaria attraverso l´applicativo denominato Puntofisco - 26 maggio 2011

Registro dei provvedimenti
n. 210 del 26 maggio 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De paoli, segretario generale;

Vista la richiesta di parere del Ministero dell´interno-Dipartimento della pubblica sicurezza;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196), in particolare l´art. 54;

Esaminata la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

Il Ministero dell´interno-Dipartimento della pubblica sicurezza ha chiesto il parere del Garante in ordine a uno schema di Convenzione, e all´Allegato tecnico che ne costituisce parte integrante, da stipularsi tra il Ministero e l´Agenzia delle entrate avente a oggetto l´accesso da parte delle forze di polizia, tramite il Centro elaborazione dati (C.e.d.) del Dipartimento, alla banca dati dell´Anagrafe tributaria, detenuta dall´Agenzia, attraverso l´applicativo denominato Puntofisco.

Il parere è richiesto ai sensi dell´art. 54, comma 1, del Codice nella parte in cui prevede la stipula da parte del Ministero dell´interno, previo parere conforme del Garante, di convenzioni-tipo volte ad agevolare la consultazione di pubblici registri, elenchi, schedari e banche di dati da parte di autorità di pubblica sicurezza e di forze di polizia nei casi in cui esse possono acquisire da altri soggetti informazioni, atti e documenti, in conformità a vigenti disposizioni di legge o di regolamento, anche per via telematica.

Il parere è reso tenendo conto delle informazioni e degli elementi forniti dal Ministero e dall´Agenzia, che hanno fornito piena collaborazione, anche nel corso di alcuni incontri tecnici tenuti presso questa Autorità e si riferisce a una versione aggiornata dello schema di Convenzione e dell´Allegato redatti all´esito degli approfondimenti svolti nell´ambito di detti incontri, che hanno permesso di chiarire e specificare numerosi aspetti della Convenzione, relativi, in primo luogo, all´indicazione, nella Premessa, della normativa che prevede le attività che legittimano l´acquisizione dei dati contenuti nell´Anagrafe tributaria da parte delle forze di polizia (lettere f) e g)) e alla conseguente individuazione, nel testo della Convenzione, delle corrispondenti specifiche finalità per le quali è consentito l´accesso (art. 4).

E´ stata, inoltre, inserita la definizione di "dato personale" tra le informazioni cui è possibile accedere (art. 1), mentre è stato escluso l´accesso da parte delle forze di polizia ai dati sensibili contenuti nelle dichiarazioni fiscali (art. 2), in conformità al provvedimento con cui il Garante ha escluso la consultabilità di tale categoria di dati contenuti nell´Anagrafe tributaria, attraverso l´applicativo Puntofisco, in assenza di un´idonea base normativa (provv. 18 settembre 2008).

E´ stato, altresì, specificato che, oltre al tracciamento effettuato dall´Agenzia degli accessi all´Anagrafe tributaria e delle operazioni compiute, anche il C.e.d. procede al tracciamento degli accessi alla banca dati (art. 13), di cui viene data comunicazione agli utenti (art. 6), e sono stati meglio definiti (art. 8) i rapporti tra i supervisori locali e gli amministratori locali (denominati Focal point).

In conformità ai provvedimenti concernenti l´adozione di misure di sicurezza in materia di trattamento dei dati personali presso il C.e.d. (provv. 17 novembre 2005 e 11 ottobre 2006), si è reso opportuno chiarire che il Centro verifica ogni sessanta giorni le abilitazioni degli utenti autorizzati ad accedere all´Anagrafe tributaria (art. 10, comma 5).

Disposizioni sull´obbligo per il C.e.d. di impartire specifiche direttive agli utenti, quali incaricati del trattamento ai sensi dell´art. 30 del Codice, sono state introdotte dagli artt. 11, comma 3 e 12, comma 2 della Convenzione.

OSSERVA

1. Le attività delle forze di polizia
La legge 31 maggio 1965, n. 575 prevede che nei confronti degli "indiziati di appartenere ad associazioni di tipo mafioso, alla camorra, alla ‘ndrangheta o ad altre associazioni (…) che perseguono finalità o agiscono con metodi corrispondenti a quelli delle associazioni di tipo mafioso", nonché dei soggetti indiziati di particolari reati, possono essere proposte dal questore territorialmente competente "le misure di prevenzione della sorveglianza speciale di pubblica sicurezza e dell´obbligo di soggiorno nel comune di residenza o di dimora abituale" (artt. 1 e 2).

A tal fine, l´articolo 2-bis della legge stabilisce che il questore procede "anche a mezzo della guardia di finanza o della polizia giudiziaria, ad indagini sul tenore di vita, sulle disponibilità finanziarie e sul patrimonio" di tali soggetti, nonché "ad indagini sull´attività economica facente capo agli stessi soggetti allo scopo anche di individuare fonti di reddito" (comma 1). In particolare, può essere accertata la titolarità "di licenze, autorizzazioni, concessioni o abilitazioni all´esercizio di attività imprenditoriali e commerciali, comprese le iscrizioni ad albi professionali e pubblici registri" nonché il beneficio di "contributi, finanziamenti o mutui agevolati" concessi "da parte dello Stato, degli enti pubblici o delle Comunità europee" (comma 2).

Le indagini possono essere effettuate anche nei confronti del coniuge, dei figli e di conviventi, nonché "delle persone fisiche o giuridiche, società, consorzi od associazioni, del cui patrimonio i soggetti medesimi risultano poter disporre in tutto o in parte, direttamente o indirettamente" (comma 3).

Per svolgere tali accertamenti il questore può richiedere "direttamente o a mezzo di ufficiali o agenti di polizia giudiziaria, ad ogni ufficio della pubblica amministrazione, ad ogni ente creditizio nonché alle imprese, società ed enti di ogni tipo, informazioni e copia della documentazione ritenuta utile ai fini delle indagini" (comma 6).

L´art. 55 c.p.p., da parte sua, prevede che la polizia giudiziaria, oltre che svolgere "ogni indagine e attività disposta o delegata dall´autorità giudiziaria" (comma 2), deve, "anche di propria iniziativa, prendere notizia dei reati, impedire che vengano portati a conseguenze ulteriori, ricercarne gli autori, compiere gli atti necessari per assicurare le fonti di prova e raccogliere quant´altro possa servire per l´applicazione della legge penale" (comma 1).

2. Accesso all´Anagrafe tributaria in ottica di identità federata
Con provvedimento del 18 settembre 2008 il Garante ha prescritto all´Agenzia delle entrate l´adozione di una serie di misure e accorgimenti atti a porre rimedio a manchevolezze rilevate nella regolamentazione degli accessi all´Anagrafe tributaria, da disciplinare attraverso apposite convenzioni, da parte di soggetti esterni all´amministrazione finanziaria.

In particolare, è stato prescritto all´Agenzia di predefinire una procedura per le autenticazioni e le autorizzazioni degli utenti, nonché, al fine di individuare comportamenti anomali degli stessi, di predisporre procedure e attività di audit sugli enti esterni, basate anche sul monitoraggio delle transazioni e su sistemi di alert, e di dotare gli enti esterni di analoghi strumenti.

Il provvedimento prevede che i controlli sugli accessi vengano effettuati con cadenze periodiche e documentati con le modalità stabilite nelle convenzioni.

Con successivo provvedimento del 26 marzo 2009 il Garante ha, peraltro, ritenuto adeguata la realizzazione per gli utenti del C.e.d. di una modalità di accesso all´Anagrafe tributaria, attraverso l´applicativo Puntofisco, in ottica di identità federata.

L´identità federata presuppone una relazione di fiducia tra le parti, secondo la quale la parte che detiene la banca dati – nella specie, l´Agenzia – ripone fiducia nell´assunzione di responsabilità di un identity provider – nella specie, il Ministero –, che individua e gestisce l´utente abilitato all´accesso, ne conosce l´identità e ne controlla l´attività.

L´Autorità ha ritenuto adeguata tale modalità di accesso per il C.e.d. trattandosi di una struttura già oggetto di specifici accertamenti da parte del Garante – definiti con i provvedimenti 17 novembre 2005 e 11 ottobre 2006 – concernenti l´adozione di più robuste misure di sicurezza nel trattamento dei dati personali effettuato presso il Centro.

In particolare, sulla base delle prescrizioni impartite dall´Autorità, il Dipartimento ha introdotto, in tempi diversi, riguardo agli utenti delle forze di polizia abilitati all´accesso al Centro, tra le altre misure, la certificazione digitale e il censimento delle postazioni da cui vengono effettuati gli accessi al C.e.d. (e, attraverso il Centro, alle banche dati esterne con cui questo è interconnesso); specifiche procedure di creazione, gestione e controllo delle utenze, con aggiornamento periodico ogni sessanta giorni della corrispondenza, per  ciascun utente, tra le abilitazioni all´accesso e le funzioni effettivamente svolte; strumenti di monitoraggio degli accessi e sistemi di alert.

3.La Convenzione

3.1. Tipologie di dati e finalità dell´accesso
La Convenzione individua specificamente le tipologie di dati oggetto della Convenzione, costituite da dati anagrafici, reddituali e fiscali dei soggetti censiti nell´Anagrafe tributaria, escludendo dall´accesso i dati sensibili (art. 2).

L´accesso, per la sola consultazione, alla banca dati da parte delle forze di polizia è espressamente limitato alle finalità connesse allo svolgimento delle attività previste dalla normativa indicata nella Premessa e nel testo (art. 4), relative all´applicazione delle misure di prevenzione ai sensi della legge n.575/1965 e alle indagini di polizia giudiziaria di cui all´art. 55 c.p.p., effettuate nel rispetto delle condizioni e dei limiti  posti dalle disposizioni che disciplinano tali attività.

3.2. Utenti abilitati all´accesso
Possono accedere alla banca dati gli operatori delle forze di polizia con qualifica di ufficiale o agente di polizia giudiziaria cui sono attribuiti dal C.e.d., in funzione dell´incarico svolto, specifici profili di abilitazione (art. 6), che vengono sottoposti a verifica ogni sessanta giorni (art. 10, comma 5), e credenziali di autenticazione personali (art. 11, comma 4). Il C.e.d. adotta procedure di registrazione che prevedono il riconoscimento diretto e l´identificazione certa dell´utente.

L´accesso è consentito esclusivamente dalle postazioni di lavoro delle forze di polizia; al fine di consentire il controllo degli accessi alla banca dati, vengono forniti all´Agenzia i codici identificativi personali rilasciati dal C.e.d. agli utenti (art. 5, comma 1).

Nella Convenzione vengono specificati gli obblighi a carico degli utenti di utilizzare le informazioni acquisite per le sole finalità di cui all´art. 4, e di osservare la normativa del Codice in tema di rispetto dei principi di pertinenza nel trattamento delle informazioni e di osservanza delle necessarie misure di sicurezza (art. 11, commi 1 e 2).

E´ posto l´obbligo per il C.e.d. di impartire al personale abilitato direttive relative alle responsabilità connesse all´accesso improprio alla banca dati, all´uso illegittimo delle informazioni e alla loro indebita divulgazione, comunicazione e cessione a terzi (art. 11, comma 3); è, altresì, previsto per entrambe le parti l´obbligo di formazione di detto personale all´utilizzo della banca dati (artt. 6 e 7, comma 3).

Sono stati, inoltre, previsti specifici divieti a carico del C.e.d., e il correlativo obbligo di impartire direttive al riguardo agli utenti, in materia di duplicazione delle informazioni acquisite per la creazione di autonome banche dati e di utilizzo di dispositivi automatici (robot) che consentono la consultazione in forma massiva dei dati personali (art. 12).

3.3. Sicurezza nel flusso dei dati
Nell´Allegato tecnico che costituisce parte integrante della Convenzione viene specificato che in relazione alla sicurezza nel flusso dei dati, considerato il particolare contesto di identità federata che caratterizza i rapporti fra le parti, è previsto "l´utilizzo del protocollo ssl per garantire le funzionalità di crittografia dei dati trasferiti da client e server. Dal punto di vista tecnico il servizio sfrutta le misure di sicurezza dei protocolli previsti dallo standard WS-Security ed in particolare per la fase di autenticazione al servizio, in conformità a quanto previsto dagli standard vengono utilizzate asserzioni SAML (Security Assertion Markup Language). In particolare, ogni richiesta di accesso al servizio viene firmata digitalmente dall´Ente richiedente ed elaborata solo dopo la verifica della firma apposta. L´utilizzo di SAML consente il trasferimento, in maniera sicura e conforme agli standard, dell´identità dell´utente finale che usufruirà delle informazioni fornite dai servizi di consultazione online e permette il corretto tracciamento delle operazioni effettuate sui sistemi dell´Agenzia delle Entrate dall´utente finale".

Inoltre il C.e.d. è tenuto a "fornire gli indirizzi IP dei server dai quali perverranno le richieste di accesso, in modo che questi vengano autorizzati sul firewall della DMZ dell´Agenzia".

Preso atto di tale contesto di sicurezza nel flusso dei dati, che risulta analogo a quanto prescritto dal Garante nel provvedimento del 18 settembre 2008, in particolare in ordine all´utilizzo di protocolli https/ssl (secure sockets layer) per la crittografia dei dati, si rende, peraltro, necessario inserire nella Convenzione una disposizione sull´obbligo per l´Agenzia, in conformità a quanto previsto nel predetto provvedimento, di includere le informazioni relative al C.e.d. nel documento redatto dall´Agenzia che riporta tutti i flussi di trasferimento di dati da e verso l´Anagrafe tributaria e tutti gli accessi di tipo interattivo, batch o di altro genere, specificando gli elementi indicati nel provvedimento stesso (ad esempio la base normativa, la finalità istituzionale, la frequenza dei trasferimenti, il numero di soggetti che usano la procedura).

3.4 Tracciamento degli accessi e delle operazioni effettuate
Il C.e.d. provvede al tracciamento degli accessi alla banca dati e l´Agenzia provvede al tracciamento anche dell´accesso ai dati ivi detenuti, che consente di verificare le operazioni eseguite da ciascun utente (art. 13). Gli utenti sono informati di tali attività di tracciamento (art. 6).

3.5 Reportistica e sistemi di alert
Nella Convenzione non si fa menzione di reportistica che permetta al C.e.d. di verificare le operazioni svolte nell´Anagrafe tributaria dagli operatori di polizia abilitati, monitorate dall´Agenzia, né dell´adozione di sistemi di alert per il controllo degli accessi alla banca dati.

Nel fornire riscontro a una specifica richiesta di informazioni dell´Autorità, l´Agenzia ha affermato di non avere fornito sistemi di monitoraggio e di alert al Ministero, in quanto questo accede all´Anagrafe tributaria in modalità di identità federata, ed è già dotato di propri strumenti di controllo degli accessi.

Il Ministero dell´interno, nel fornire riscontro a un´analoga richiesta, ha illustrato i sistemi adottati per monitorare l´accesso degli operatori di polizia al C.e.d., che afferma poter essere applicati anche all´accesso alle banche dati esterne, tra cui l´Anagrafe tributaria.

Collegandosi al Portale del SSII (Sistema per il Servizio Informativo Interforze, cui appartiene il C.e.d.) i dirigenti degli uffici (nella Convenzione denominati "supervisori locali") possono visionare gli accessi, intesi come login al sistema, effettuati dal personale dipendente e vengono avvertiti, attraverso alert, di accessi anomali rispetto a parametri predeterminati, in quanto effettuati in un orario o in un giorno non consentito dal profilo applicativo dell´utente, oppure da una postazione di lavoro assegnata ad un ufficio diverso da quello di appartenenza dell´utente.

Gli avvisi delle anomalie permangono fino al controllo del dirigente e comunque per quindici giorni.

Preso atto di tali chiarimenti, si rileva peraltro:

- che il Ministero non ha chiarito se l´accesso alla banca dati dell´Anagrafe tributaria, attraverso l´applicazione Puntofisco, sia tra quelli effettivamente sottoposti alle procedure di controllo e di alert applicate per l´accesso degli operatori di polizia al C.e.d.;

- che l´Agenzia non ha predisposto per il Ministero strumenti che possano consentire a questo il monitoraggio e, conseguentemente, il controllo delle operazioni svolte dagli utenti.

Valutate le funzioni svolte dagli alert realizzati dal Ministero, e apprezzata la già accertata adeguatezza della modalità di accesso del C.e.d. all´Anagrafe tributaria in ottica di identità federata, si ritiene, peraltro, necessario che la Convenzione venga integrata attraverso l´inserimento:

1. del riferimento all´inclusione dell´applicativo Puntofisco tra quelli sottoposti ai sistemi del C.e.d. relativi al monitoraggio degli accessi e agli alert su anomalia, essendo attualmente presente solo il riferimento al tracciamento degli accessi;

2. del riferimento alla disponibilità per i dirigenti degli uffici ("supervisori locali" nella Convenzione) dei risultati di tale attività di monitoraggio e alert nel Portale SSII;

3. di una disposizione sull´obbligo per il Ministero di fornire apposite istruzioni preventive ai supervisori. Tali istruzioni dovranno vincolare questi ultimi alla verifica puntuale e tempestiva degli alert sulle anomalie rilevate dal sistema negli accessi attraverso l´applicativo Puntofisco;

4. di una disposizione sull´obbligo per l´Agenzia di fornire al Ministero strumenti idonei a consentire, anche attraverso una reportistica trasmessa con periodicità non superiore al trimestre, il monitoraggio delle operazioni compiute e a supportare i controlli, anche a campione, sulle attività svolte dagli utenti;

5. dell´estensione a trenta giorni, invece degli attuali quindici, del periodo di disponibilità per i supervisori nel Portale SSII degli avvisi generati dalle anomalie.

Con l´inserimento di tali integrazioni, la combinazione dei sistemi di alert e di monitoraggio predisposti dal C.e.d. e dall´Agenzia fornisce un contesto che risulta analogo, in quanto ad efficacia, funzionalità e sicurezza, a quanto prescritto dal Garante nel provvedimento del 18 settembre 2008 in tema di accessi all´Anagrafe tributaria.

Si rende, inoltre, necessario includere nella Premessa il riferimento al menzionato provvedimento del 26 marzo 2009 con cui, come rilevato, il Garante ha ritenuto adeguata per gli utenti del C.e.d. la realizzazione della modalità di accesso all´Anagrafe tributaria, attraverso l´applicativo Puntofisco,  in ottica di identità federata.

3.6 Responsabili della Convenzione e modalità di modifica della stessa
Lo schema di Convenzione individua, per ciascuna parte, le figure dei responsabili della corretta applicazione e delle attività di gestione della medesima (art. 1), giuridicamente preposti alla gestione dei rapporti e delle comunicazioni tra le parti, definendo alcune loro specifiche attività, in particolare in tema di avvio e gestione operativa del servizio di accesso alla banca dati (art. 10). Lo schema  indica inoltre la necessità della consultazione del Garante nell´ipotesi di modifiche o integrazioni alla Convenzione (art. 16).

4. Osservazioni
L´accesso da parte delle forze di polizia alla banca dati dell´Anagrafe tributaria gestita dall´Agenzia delle entrate, tenuto conto  della tipologia delle informazioni conservate, risulta pertinente alle attività attinenti all´applicazione delle misure di prevenzione previste dalla legge n. 575/1965 e alle indagini di polizia giudiziaria di cui all´art. 55 c.p.p..

Le disposizioni contenute nella Convenzione, sopra riportate, con le indicate integrazioni non presentano profili di criticità in rapporto al rispetto della disciplina in materia di protezione dei dati personali, ivi compreso il profilo della sicurezza.

TUTTO CIÒ PREMESSO IL GARANTE

esprime, ai sensi dell´art. 54 del Codice, parere favorevole sullo schema di Convenzione da stipularsi fra il Ministero dell´interno-Dipartimento della pubblica sicurezza e l´Agenzia delle entrate avente a oggetto l´accesso da parte delle forze di polizia, tramite il Centro elaborazione dati del Dipartimento, alla banca dati dell´Anagrafe tributaria, detenuta dall´Agenzia, attraverso l´applicativo denominato Puntofisco, a condizione che il testo della Convenzione venga integrato con l´inserimento:

1. di una disposizione sull´obbligo per l´Agenzia, come previsto dal provvedimento del 18 settembre 2008, di includere anche le informazioni relative al C.e.d. nel documento che riporta tutti i flussi di trasferimento di dati da e verso l´Anagrafe tributaria e tutti gli accessi di tipo interattivo, batch o di altro genere;

2. del riferimento all´inclusione dell´applicativo Puntofisco tra quelli sottoposti ai sistemi del C.e.d. relativi al monitoraggio degli accessi e agli alert su anomalia;

3. del riferimento alla disponibilità per i supervisori locali dei risultati di tale attività di monitoraggio e alert nel Portale SSII;

4. di una disposizione sull´obbligo per il Ministero di fornire apposite istruzioni preventive ai supervisori locali. Tali istruzioni dovranno vincolare questi ultimi alla verifica puntuale e tempestiva degli alert sulle anomalie rilevate dal sistema negli accessi attraverso l´applicativo Puntofisco;

5. di una disposizione sull´obbligo per l´Agenzia di fornire al Ministero strumenti idonei a consentire, anche attraverso una reportistica trasmessa con periodicità non superiore al trimestre, il monitoraggio delle operazioni compiute e a supportare i controlli, anche a campione, sulle attività svolte dagli utenti;

6. dell´estensione a trenta giorni, invece degli attuali quindici, del periodo di disponibilità per i supervisori nel Portale SSII degli avvisi generati dalle anomalie;

7. del riferimento nella Premessa al provvedimento del 26 marzo 2009 con cui il Garante ha ritenuto adeguata per gli utenti del C.e.d. la realizzazione della modalità di accesso all´Anagrafe tributaria, attraverso l´applicativo Puntofisco, in ottica di identità federata.

Roma, 26 maggio 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
De Paoli