g-docweb-display Portlet

Provvedimento del 31 gennaio 2013 [2268436]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2268436]

Provvedimento del 31 gennaio 2013

Registro dei provvedimenti
n. 48 del 31 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, del dott.ssa Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito Codice);

VISTO il parere del 15 novembre 2012 con il quale il Garante si è espresso favorevolmente sullo schema di provvedimento del Direttore dell´Agenzia delle entrate in materia di Disposizioni di attuazione dell´articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 "Modalità per la comunicazione integrativa annuale all´archivio dei rapporti finanziari" (punto I del dispositivo), a condizione che venga integrato e modificato prevedendo che:

1) il protocollo FTP utilizzato per l´interscambio dei dati sia cifrato, anche attraverso i meccanismi di protezione già presenti nella gran parte dei prodotti disponibili (anche open source). L´Agenzia deve individuare opportune modalità di tracciamento delle operazioni svolte compatibili anche con la cifratura del canale;

2) nel caso in cui i file di esito dell´invio contengano dati personali, siano adottate idonee modalità di cifratura, con riferimento ad entrambe le modalità di interscambio (FTP e PEC). Tale cifratura deve avvenire mediante l´utilizzo della chiave pubblica del certificato di firma attribuito a ciascun operatore, ovvero con altra modalità tecnica in grado di garantire la lettura del file al solo operatore finanziario;

3) al fine di garantirne la massima conoscibilità agli operatori finanziari, l´Allegato 1 al predetto parere, sia contenuto nello schema di provvedimento in questione;
VISTA la nota dell´Agenzia delle entrate del 27 dicembre 2012 con la quale l´Agenzia ha rappresentato al riguardo che:

-  i file di esito trasmessi dall´Agenzia non contengono dati personali poiché gli eventuali errori rilevati vengono segnalati attraverso il riferimento a codici presenti sul tracciato record;

-  in luogo della cifratura del protocollo FTP, prescritta dal Garante nel citato parere del 15 novembre 2012, si intende utilizzare in alternativa, garantendo altresì il tracciamento delle operazioni svolte, l´utilizzo della tecnologia VPN in modalità site to site che assicura la protezione del canale trasmissivo su cui viaggiano in chiaro i soli parametri per l´apertura del canale trasmissivo e i comandi FTP;

- l´allegato 1 al predetto parere del Garante, contenente le raccomandazioni destinate agli operatori finanziari, verrà inserito nel provvedimento del Direttore dell´Agenzia;

- è stato previsto di introdurre la firma dei file anche per le comunicazioni effettuate tramite PEC dagli operatori finanziari;

VISTO l´allegato tecnico alla citata nota, che, descrivendo la nuova architettura di rete e   di sicurezza per il Sistema di interscambio dati (SID), prevede l´utilizzo della tecnologia VPN;

RITENUTO che l´utilizzo della tecnologia VPN nei termini prospettati dall´Agenzia garantisca livelli di sicurezza non inferiori alla cifratura del protocollo FTP, rimanendo in ogni caso necessaria l´individuazione di opportune modalità di tracciamento delle operazioni di trasferimento di file svolte;

CONSIDERATA favorevolmente la scelta dell´Agenzia di introdurre la firma dei file anche per le comunicazioni effettuate tramite PEC dagli operatori finanziari;

CONSIDERATO altresì che, in ogni caso, restano ferme prescrizioni impartite dal Garante con il predetto parere del 15 novembre 2012, ai sensi dell´articolo 154, comma 1, lett. c), del Codice (punto II del dispositivo), secondo le quali, al fine di ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti ai dati personali oggetto di comunicazione integrativa annuale all´archivio dei rapporti finanziari, prima dell´inizio del trattamento debbano essere adottate le misure e gli accorgimenti individuati, rispettivamente, per gli operatori finanziari, nell´Allegato 1, parte integrante del parere, e, per l´Agenzia delle entrate, nei punti 3.2., lett. ii), del paragrafo B e 1.1. del paragrafo C del parere;

VISTA la documentazioni in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO´ PREMESSO IL GARANTE

ai sensi dell´art. 154, comma 1, lett. c) del Codice, in relazione alla richiesta formulata dall´Agenzia delle entrate con la nota del 27 dicembre 2012 e tenuto conto delle considerazioni sopra formulate, fermo restando quanto prescritto nel provvedimento del 15 novembre 2012 (punto II del dispositivo) circa le misure e gli accorgimenti da adottare da parte degli operatori finanziari e dall´Agenzia prima dell´inizio del trattamento, dispone che in luogo della cifratura del protocollo FTP,  prevista dal Garante nel citato parere del 15 novembre 2012, si possa utilizzare la tecnologia VPN in modalità site to site nei termini prospettati dall´Agenzia medesima, individuando altresì opportune modalità di tracciamento delle operazioni di trasferimento di file svolte.

Roma, 31 gennaio 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia