Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate per l’accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati, a partire dal 2019 - 11 aprile 2019 [9113901]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9113901
Data:
11/04/19
Argomenti:
Fisco , Dichiarazioni dei redditi , Agenzia delle Entrate
Tipologia:
Parere del Garante

[doc. web n. 9113901]

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate per l’accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati, a partire dal 2019 - 11 aprile 2019

Registro dei provvedimenti
n. 89 dell'11 aprile 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

VISTO il d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Codice in materia di protezione dei dati personali, d. lgs. 30 giugno 2003, n. 196, così come modificato dal predetto d.lgs. n. 101 del 2018;

VISTO l’articolo 1 del decreto legislativo 21 novembre 2014, n. 175, ai sensi del quale, in particolare, entro il 15 aprile di ciascun anno, l’Agenzia delle entrate deve rendere disponibile telematicamente la dichiarazione precompilata relativa ai redditi dell’anno precedente ai titolari di redditi di lavoro dipendente e assimilati e, con provvedimento del Direttore, della medesima Agenzia, sentito il Garante “sono individuate le modalità tecniche per consentire al contribuente o agli altri soggetti autorizzati di accedere alla dichiarazione precompilata resa disponibile in via telematica dall'Agenzia delle entrate” (commi 1 e 3);

VISTA la nota dell’Agenzia delle entrate dell’11 gennaio 2019, integrata con le note del 14 marzo e dell’8 aprile 2019, con la quale è stato richiesto il parere dell’Autorità sullo schema di provvedimento del Direttore concernente l’accesso alla dichiarazione 730 precompilata a partire dall’anno 2019 da parte del contribuente e degli altri soggetti autorizzati;

VISTO, da ultimo, il provvedimento del Direttore dell’Agenzia del 9 aprile 2018, avente per oggetto l’”Accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati”, a partire dall’anno 2018, sul quale l’Autorità ha espresso il proprio parere favorevole il 5 aprile 2018 (doc. web n. 8275939), che, in particolare, rispetto ai precedenti (provvedimento del 23 febbraio 2015, sul quale l’Autorità ha espresso il proprio parere il 19 febbraio 2015, doc. web n. 3741076, 11 aprile 2016, sul quale il Garante si è espresso con il parere del 7 aprile 2016, doc. web n. 4916838, e 7 aprile 2017, sul quale il Garante si è espresso con il parere del 30 marzo 2017, doc. web n. 6378475), ha previsto per alcuni Caf espressamente individuati, la possibilità di accedere, in via sperimentale, “in cooperazione applicativa con cornice di sicurezza”, alle dichiarazioni dei redditi precompilate e alle informazioni attinenti alla dichiarazione 730 precompilata disponibili presso l’Agenzia delle entrate;

RILEVATO che lo schema di provvedimento del Direttore sottoposto all’esame dell’Autorità, il quale, nel confermare quanto previsto dal precedente provvedimento già valutato favorevolmente dal Garante, si limita a integrare l’elenco degli oneri detraibili e deducibili, trasmessi dai soggetti terzi, che sono utilizzati dall’Agenzia delle entrate per l’elaborazione della dichiarazione precompilata a partire dall’anno d’imposta 2018, e a proseguire il predetto periodo sperimentale nel quale i Caf possono accedere alle dichiarazioni dei redditi precompilate e alle informazioni attinenti alla dichiarazione 730 precompilata, relativi a singoli contribuenti, in cooperazione applicativa con cornice di sicurezza, con le medesime modalità tecniche dello scorso anno;

CONSIDERATO, pertanto, che le misure e garanzie previste nello schema di provvedimento in esame sono conformi alle indicazioni fornite a suo tempo dall’Ufficio del Garante, e sono già state valutate favorevolmente nei precedenti pareri al riguardo sopra citati perché ritenute adeguate a proteggere i diritti e le libertà degli interessati;

CONSIDERATO, con particolare riferimento al predetto periodo sperimentale, che il Garante, con il citato parere del 5 aprile 2018, ha prescritto specifiche misure ai Caf che aderiscono alla sperimentazione, sulla base di un’apposita convenzione con l’Agenzia delle entrate, redatta nel rispetto di quanto previsto nel provvedimento del Garante del 18 settembre 2008 (doc. web n. 1549548). Tali misure, riportate nel testo dello schema in esame e della convenzione medesima, prevedono che:

1. i servizi di cooperazione applicativa resi disponibili dall’Agenzia delle entrate debbano essere esclusivamente integrati dai CAF con il proprio sistema informativo e non possono essere resi disponibili a terzi, né direttamente né indirettamente, per via informatica;

2. l’accesso ai servizi di cooperazione applicativa sia consentito esclusivamente dagli applicativi del Caf realizzati per le finalità di accesso alla dichiarazione precompilata;

3. i servizi di cooperazione applicativa non possano essere utilizzati da soggetti esterni al Caf anche nell’ipotesi in cui questi operino per conto dello stesso;

4. in nessun caso sia consentita la messa a disposizione, da parte dei Caf, dei  web service forniti su rete pubblica (Internet);

5. la procedura di autenticazione dell’utente debba essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza almeno equivalente a quella offerta dal protocollo TLS1.2 esclusivo, chiavi RSA 2048 bit e cifrari basati su algoritmo AES;

6. i Caf traccino le operazioni concernenti la richiesta di accesso ai dati tramite il canale di cooperazione applicativa e conservarle secondo i requisiti di legge;

7. nelle richieste di accesso, oltre ai dati di riscontro richiesti per tutti gli accessi da parte dei soggetti autorizzati, siano indicati il codice hash del file in formato pdf contenente le copie della delega e del documento del contribuente delegante, nonché la modalità di sottoscrizione della delega;

8. oltre alle ordinarie modalità di controllo dell’Agenzia delle entrate sulle deleghe e sui documenti di identità indicati nelle richieste di accesso alle dichiarazioni precompilate, i Caf che aderiscono alla sperimentazione garantiscano anche un accesso, in “cooperazione applicativa con cornice di sicurezza”, ai predetti documenti indicati nelle richieste di accesso con modalità asincrona entro 48 ore dalla richiesta dell’Agenzia. Le modalità tecniche di accesso al predetto servizio di fornitura puntuale, tramite web services, devono essere disciplinate da un’apposita convenzione tra l’Agenzia delle entrate e i CAF che aderiscono alla sperimentazione, nel rispetto comunque delle misure di sicurezza individuate dall’Agenzia;

9. i Caf utilizzino proprie procedure, di carattere organizzativo e tecnologico, in grado di evidenziare eventuali anomalie nelle attività di accesso ai dati da parte degli utilizzatori designati. A seguito di una segnalazione prodotta dalle suddette procedure, i Caf dovranno adottare le opportune contromisure volte a prevenire accessi abusivi ai dati. Qualora non sia possibile adottare tempestivamente tali contromisure, i Caf dovranno  procedere all’interruzione del servizio, dandone contestuale comunicazione all’Agenzia delle Entrate;

RITENUTO che le misure individuate nello schema in esame e, in particolare, quelle indicate predetti punti da 1 a 9 del presente parere, devono essere adottate, ai sensi dell’art. 32 del Regolamento, dall’Agenzia e dai Caf per garantire la sicurezza complessiva del trattamento, assicurando un adeguato livello di protezione dei dati personali;

VISTA la nota del 14 marzo 2019, con la quale l’Agenzia ha rappresentato al Garante la necessità di precisare nella convenzione la misura di cui al precedente punto 3, stabilendo che i servizi non possono essere utilizzati da soggetti esterni, “ad eccezione delle società di servizi e degli intermediari di cui il Caf si avvale per lo svolgimento dell’attività di assistenza fiscale, ai sensi dell’articolo 11, commi 1 e 1-bis, del decreto del Ministro delle Finanze 31 maggio 1999, n. 164, i quali in tal caso assumono il ruolo di responsabili del trattamento ai sensi dell’articolo 28 del Regolamento UE 679/2016 (GDPR), con le rispettive responsabilità”;

VISTA la nota dell’8 aprile 2019 con la quale l’Agenzia ha trasmesso l’elenco dei Caf aderenti alla sperimentazione, rappresentando che la convenzione è stata aggiornata in modo conforme alle previsioni del Regolamento ma, salvo la suindicata precisazione, è rimasta immutata, nei contenuti, rispetto a quella dell’anno precedente;

RITENUTO necessario, come già rilevato nel precedente parere dell’8 aprile 2018, in ogni caso, ingiungere all’Agenzia di trasmettere l’esito dei controlli a campione effettuati durante la sperimentazione relativa all’anno 2018, entro il 30 giugno 2019, al fine di valutare il rafforzamento delle misure sopra individuate in relazione alle modalità di accesso per i successivi anni d’imposta;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIO’ PREMESSO IL GARANTE

I. ai sensi dell’art. 36, § 4, del Regolamento, fornisce parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle entrate per l’accesso alla dichiarazione precompilata da parte del contribuente e degli altri soggetti autorizzati, a partire dal 2019;

II. ai sensi dell’art. 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza l’Agenzia delle entrate ad effettuare il trattamento dei dati personali ai sensi del predetto provvedimento;

III. ai sensi dell’art. 58,  § 1, lett. a), del Regolamento, ingiunge all’Agenzia delle entrate di trasmettere l’esito dei controlli a campione effettuati durante la sperimentazione relativa all’anno 2018, entro il 30 giugno 2019.

Roma, 11 aprile 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia