Anagrafe tributaria:prescrizioni su sicurezza e accessi - Proroga dei termini

Provvedimentodel 26 marzo 2009

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componentie del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTO il provvedimento del 18 settembre 2008 con il quale il Garante,all'esito di accertamenti condotti in loco, ha prescritto all'Agenzia delleentrate una serie di misure e accorgimenti necessari al fine di porre rimedioalle carenze riscontrate e a incrementare i livelli di sicurezza degli accessiall'anagrafe tributaria da parte dei soggetti esterni all'amministrazionefinanziaria, fornendo riscontro a questa Autorità circa la loro attuazione aldecorso dei termini ivi stabiliti;

VISTE le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO:

L'Agenzia delle entrate, con la nota del19 dicembre 2008, ha comunicato all'Autorità le iniziative intraprese e leattività svolte al fine di adempiere alle prescrizioni impartite con il provvedimento del18 settembre 2008 e individuate nei punti da a) a e)del relativo dispositivo.

In particolare, l'Agenzia ha dichiaratodi aver costituito un gruppo di lavoro al fine di valutare l'impatto dellemisure prescritte dal Garante anche sotto il profilo organizzativo, dal puntodi vista dello sviluppo tecnologico e in termini di impegno di risorseeconomiche; ciò anche tenendo conto dell'esigenza di dover costantementegarantire la continuità dei propri servizi anche agli enti che utilizzanol'anagrafe tributaria.

L'Agenzia ha inoltre illustrato lecaratteristiche del progetto volto a realizzare gli interventi richiesti dalGarante, il quale tiene conto dell'evoluzione dei sistemi informatici secondola modalità della cooperazione applicativa.

Più precisamente, l'Agenzia harappresentato di avere scelto, nell'ambito della propria autonomiaorganizzativa, di dismettere progressivamente l'applicativo Siatel a favore diPuntofisco, concentrando quindi principalmente su quest'ultimo gli interventidi rafforzamento delle misure di sicurezza; entro il 30 aprile 2009, verrannoimplementate in Puntofisco le residuali funzionalità attive allo stato solo suSiatel, ad eccezione di quelle di aggiornamento e allineamento anagrafico. Lacompleta migrazione di tutte le utenze dell'applicativo Siatel verso Puntofiscosarà completata entro il 30 marzo 2010. L'Agenzia ha rappresentato inoltre divoler realizzare, entro il 30 aprile 2009, nelle more dell'adeguamento alleprescrizioni del provvedimento del Garante, un c.d. "Mini-Siatel" perle attività di aggiornamento e allineamento anagrafico dei comuni da utilizzarenel corso della predetta migrazione degli enti da Siatel a Puntofisco. Entro il30 luglio 2009, tale applicativo verrà implementato sulla piattaformaarchitetturale già utilizzata da Puntofisco, ereditando tutte le misure disicurezza ivi implementate.

L'Agenzia ha dichiarato, altresì, che il"Mini-Siatel", nel periodo transitorio, verrà dotato dei seguentiaccorgimenti al fine di renderne l'utilizzo più controllato e sicuro:

a) il server web di "MiniSiatel" implementerà il protocolloHTTPS tramite certificatodigitale rilasciato da un'Autorità di certificazione ufficiale e riconosciuta;

b) accesso tramite codice identificativo,senza l'utilizzo del codice fiscale;

c) evidenza, nella prima schermata, deidettagli dell'ultimo accesso effettuato;

d) limitazione oraria del servizio;

e) consolle di amministrazione conevidenza dei privilegi posseduti dagli utenti;

f) tracciamento delle attività verso ilsistema Vermont.

Con riferimento al ruolo svolto dagliamministratori locali, nonostante il Garante nel provvedimento del 18 settembre 2008 abbia prescritto che "l'amministratorelocale dell'ente esterno che accede all'anagrafe tributaria deve rimanere ilpunto di riferimento per le richieste di abilitazione e autorizzazione con lapossibilità di gestire direttamente le utenze", l'Agenzia, ritenendo particolarmente critica taleattività, ha ritenuto di istituire un'apposita unità per la gestionedell'abilitazione degli enti esterni a cui affidare l'abilitazione di tutte lenuove utenze e il recupero della password in caso di errori ripetuti o scadenza.

Riguardo agli accessi all'anagrafetributaria mediante l'applicativo "3270 enti esterni", l'Agenzia haproposto di dismettere tale collegamento in favore di Puntofisco, ancheattraverso una modalità di accesso basata sull'identità federata riservata agliutenti del Ced interforze.

Alla luce della complessità dellarealizzazione del progetto e considerato anche il numero di soggetti esterniall'amministrazione finanziaria coinvolti, nella medesima nota è statorichiesto dall'Agenzia di poter usufruire di una proroga di gran parte deitermini prescritti dal Garante.

Nell'ambito dell'istruttoria effettuatain ordine alla predetta richiesta di proroga, sono state approfondite, inparticolare, le problematiche derivanti dall'attuazione delle prescrizioni delprovvedimento in ordine ai profili generali relativi agli accessi all'anagrafetributaria da parte dei soggetti esterni all'amministrazione finanziaria, allasicurezza dei sistemi di autenticazione, alle abilitazioni e autorizzazionidegli utenti, nonché ai sistemi utilizzati (rispettivamente lett. a), b), c) e d)del dispositivo del provvedimento del 18 settembre 2008).

Con la nota del 19 dicembre 2008, cosìcome precisato nelle successive note del 25 febbraio e del 18 marzo 2009, anchealla luce di alcune riflessioni effettuate nell'ambito di un ulterioreconfronto con l'Ufficio, l'Agenzia, con riferimento alle prescrizioni così comeindividuate nel dispositivo del provvedimento del 18 settembre 2008, ha:

1. dichiarato di aver realizzato leseguenti prescrizioni:

     lett. c), I), ad esclusionedell'individuazione delle soglie, e II) secondo punto, per quanto riguardal'elaborazione dei modelli;

     lett. e), I);

2. richiesto la proroga dei terminiprevisti con riferimento alle seguenti prescrizioni:

     lett. a), I), primo punto: al 30 giugno2009 (3 mesi di proroga);

     lett. a), I), secondo punto: al 30 marzo2010 (12 mesi di proroga);

     lett. b), I), primo punto: al 30 marzo2009 (3 mesi di proroga);

     lett. b), I), secondo e terzo punto: al28 febbraio 2009 (2 mesi di proroga);

     lett. b), II): al 30 aprile 2009 (1 mesedi proroga);

     lett. c), I), quinto punto: al 30 marzo2009 (3 mesi di proroga);

     lett. c), II), primo punto: al 30 aprile2009 (1 mese di proroga);

     lett. d), I), primo punto: al 30 marzo2009 (3 mesi di proroga);

     lett. d), I), secondo e terzo punto,relativamente alla scadenza della password: al 30 gennaio 2009 (1 mese diproroga);

     lett. d), I), terzo punto, relativamenteall'identificazione del singolo incaricato: al 30 settembre 2009 (9 mesi diproroga);

     lett. d), II), primo punto: al 30 giugno2009 (3 mesi di proroga);

     lett. d), II), secondo punto: al 30maggio 2009 (2 mesi di proroga);

3. confermato di poter adempiere neitermini alle restanti prescrizioni di cui ai punti:

     lett. a), II);

     lett. d), III);

     lett. e), II).

OSSERVA:

Con il provvedimento del 18 settembre 2008, il Garante harilevato alcune criticità relative agli accessi all'anagrafe tributaria daparte degli enti esterni all'amministrazione finanziaria, attinenti allasicurezza e a profili concernenti aspetti sostanziali del trattamento.

L'Autorità ha quindi prescrittoall'Agenzia delle entrate, previo un apposito confronto, di adottare una seriedi misure e accorgimenti necessari al fine di porre rimedio alle carenzeriscontrate e a incrementare i livelli di sicurezza degli accessi all'anagrafetributaria da parte dei soggetti esterni all'amministrazione finanziaria,fornendo riscontro a questa Autorità circa la loro attuazione al decorso deimedesimi termini.

Il Garante prende positivamente atto deinotevoli sforzi di carattere organizzativo ed economico posti in esseredall'Agenzia, e illustrati nella documentazione agli atti, volti a dareattuazione al predetto provvedimento.

Come sopra evidenziato, l'Agenzia hadichiarato di aver già adottato alcuni accorgimenti prescritti fornendoriscontro al Garante (v. il punto 1). Al riguardo, preso atto delledichiarazioni fornite dall'Agenzia al Garante (art. 168 del Codice), l'Autoritàsi riserva in altra sede l'accertamento in ordine all'idoneità delle misureintrodotte a seguito delle prescrizioni impartite con il provvedimento del 18settembre 2008.

Si rileva, tuttavia, che con le notesopra evidenziate l'Agenzia ha rappresentato la necessità di usufruire di unaproroga dei termini soprattutto con riferimento alla verifica e all'inibizionedegli accessi effettuati al di fuori dei presupposti stabiliti nelleconvenzioni così come riformulate alla luce delle prescrizioni del Garante. Ciò,anche in conseguenza alle autonome scelte compiute da parte dell'Agenzia inordine alla dismissione dell'applicativo Siatel a favore di Puntofisco e allenuove modalità accentrate di abilitazione degli utenti che comportano unmaggiore investimento di risorse.

In particolare, nelle note del 25febbraio e del 18 marzo 2009, l'Agenzia ha precisato che l'accurato riesame eil puntuale aggiornamento (o rinegoziazione) delle convenzioni stipulate con icirca 9000 enti esterni potrà essere completato solo nel marzo 2010, e non nelben più breve termine di sei mesi (indicato nel predetto provvedimento) o dinove mesi (ipotizzato dalla stessa Agenzia nella nota del 19 dicembre 2008).

Anche con riferimento alle misure disicurezza, l'Agenzia ha dichiarato che "gli accessi effettuati dalleutenze di tutti gli enti esterni saranno perciò conformi a quanto prescrittodal Garante solo al termine delle attività di migrazione da Siatel aPuntofisco" che, per ciascun ente, avverranno alla stipula della nuovaconvenzione, ovvero entro marzo 2010.

Di conseguenza, si rileva che talenotevole dilazione richiesta dall'Agenzia riguarda in particolare i controllisulla liceità e correttezza degli accessi e il superamento delle criticitàriscontrate in ordine all'utilizzo dell'applicativo Siatel (a parte quantoprevisto relativamente all'attività anagrafica dei comuni da svolgersiattraverso il Mini-Siatel).

Pertanto, sulla base degli elementi espostinelle note sopra citate e limitatamente ai profili ivi indicati, anche inconsiderazione delle motivate scelte organizzative dell'Agenzia, si ritiene dipoter accogliere la richiesta di proroga dei termini per l'attuazione delleprescrizioni impartite entro i nuovi termini individuati così come riportati alprecedente punto 2.

Parimenti, risulta in linea con ilnecessario incremento dei livelli di sicurezza negli accessi la nuova soluzioneproposta dall'Agenzia per le attività di aggiornamento e allineamentoanagrafico dei comuni da realizzarsi attraverso il c.d. "Mini-Siatel"(da attuarsi, nella prevista fase transitoria, entro il termine del 30 luglio2009).

In tale quadro, nelle moredell'attuazione da parte dell'Agenzia delle prescrizioni dell'Autorità entro inuovi termini richiesti, si ritiene necessario individuare nuove specifichegaranzie, in relazione all'utilizzo dell'applicativo Siatel, volte a prevenireusi impropri e illeciti delle informazioni contenute in anagrafe tributaria intale periodo transitorio.

Occorre, quindi, che venga comunqueverificata l'attualità di tutte le utenze in uso presso gli enti abilitati adaccedere all'anagrafe tributaria con l'ausilio dell'applicativo Siatel.

A tal fine l'Agenzia:

- deve assicurare che gli enti, attraversoi propri amministratori locali (soggetti deputati alla gestione delle utenze),accertino, sotto la propria responsabilità, l'attualità di ciascuna delleutenze attive, anche in relazione alle finalità per cui è stata attribuita,inibendo gli accessi (autorizzazioni o abilitazioni) effettuati al di fuori deipresupposti riconducibili all'art. 19 del Codice (norme di legge o regolamento,nonché eventuali comunicazioni al Garante ai sensi dell'art. 19 del Codice) equelli non conformi a quanto stabilito nelle convenzioni, e forniscanoriscontro, anche telematico, di tale verifica all'Agenzia entro il 30 giugno2009;

- nel caso in cui non riceva ilsuddetto riscontro, a partire dal 1° ed entro il 31 luglio 2009, devedisattivare tutte le utenze Siatel degli enti, diverse da quelle degliamministratori locali, avvisando gli enti medesimi che, prima di procedereall'eventuale riattivazione degli utenti attraverso i propri amministratorilocali, dovranno effettuare, sotto la propria responsabilità, la verifica dicui al punto precedente.

A tal proposito, quindi, l'Agenzia -entroil 30 aprile 2009- deve informare gli enti abilitati ad accedere all'anagrafetributaria con l'ausilio dell'applicativo Siatel, anche in via telematica,attraverso gli amministratori locali degli stessi, indicando i canali e lemodalità prescelte per la ricezione del predetto riscontro delle verificheeffettuate.

Per quanto riguarda gli enti abilitati adaccedere all'anagrafe tributaria mediante l'applicativo "3270 entiesterni", verificati i presupposti di legittimità, occorre invece chel'Agenzia assicuri entro il nuovo termine del 30 giugno 2009 la migrazioneverso l'applicativo Puntofisco in modalità di accesso tradizionale, che offreidonee garanzie. Si ritiene che la realizzazione di una modalità di accesso aPuntofisco in ottica di identità federata sia invece, allo stato, adeguatasoltanto per quanto riguarda gli utenti del Ced interforze, struttura giàoggetto di specifici accertamenti da parte del Garante.

Con riferimento ai web service (punto 7 della nota dell'Agenzia del 18 marzo 2009),risulta tuttora necessario ribadire che tali servizi -ancorché realizzatiattraverso un "framework di sicurezza in ottica di identitàfederata"- devono essere configurati limitando i risultati delleinterrogazioni a valori di tipo booleano (cfr. provvedimento del 18 settembre2008, punto d),  II)).

Si rappresenta inoltre, anche ai finidell'applicazione delle eventuali sanzioni (artt. 162, comma 2-ter e 170 del Codice), che l'adempimento delleprescrizioni deve essere puntualmente documentato al Garante entro i nuovitermini sopra indicati al punto 2, per quanto riguarda la richiesta di prorogae, rispettivamente, entro il 30 aprile  e 31 luglio 2009 per le nuovegaranzie per gli enti che utilizzano il sistema Siatel. Resta fermo ilnecessario adempimento e il relativo riscontro al Garante di quanto giàprescritto nel provvedimento del 18 settembre 2008 entro i termini nonprorogati.

TUTTO CIÒ PREMESSO ILGARANTE

ai sensi dell'art. 154, comma 1, lett. c) del Codice, preso atto della richiesta formulatadall'Agenzia delle entrate con la nota del 19 dicembre 2008, e precisata nellesuccessive note del 25 febbraio e 18 marzo 2009, dispone che:

1) le prescrizioni impartite con il provvedimento del 18 settembre 2008, relative le misure e gliaccorgimenti così come individuate nel relativo dispositivo, siano prorogatecome segue:

     lett. a), I), primo punto: al 30 giugno2009 (3 mesi di proroga);

     lett. a), I), secondo punto: al 30 marzo2010 (12 mesi di proroga);

     lett. b), I), primo punto: al 30 marzo2009 (3 mesi di proroga);

     lett. b), I), secondo e terzo punto: al28 febbraio 2009 (2 mesi di proroga);

     lett. b), II): al 30 aprile 2009 (1 mesedi proroga);

     lett. c), I), quinto punto: al 30 marzo2009 (3 mesi di proroga);

     lett. c), II), primo punto: al 30 aprile2009 (1 mese di proroga);

     lett. d), I), primo punto: al 30 marzo2009 (3 mesi di proroga);

     lett. d), I), secondo e terzo punto, relativamentealla scadenza della password: al 30 gennaio 2009 (1 mese di proroga);

     lett. d), I), terzo punto, relativamenteall'identificazione del singolo incaricato: al 30 settembre 2009 (9 mesi diproroga);

     lett. d), II), primo punto: al 30 giugno2009 (3 mesi di proroga);

     lett. d), II), secondo punto: al 30maggio 2009 (2 mesi di proroga);

2) l'Agenzia, nelle more della migrazionedi tutte le utenze dell'applicativo Siatel a Puntofisco e dell'aggiornamento odella rinegoziazione delle nuove convenzioni (prevista alla data del 30 marzo2010):

- deve assicurare che gli enti,attraverso i propri amministratori locali (soggetti deputati alla gestionedelle utenze), accertino, sotto la propria responsabilità, l'attualità diciascuna delle utenze attive, anche in relazione alle finalità per cui è stataattribuita, inibendo gli accessi (autorizzazioni o abilitazioni) effettuati aldi fuori dei presupposti riconducibili all'art. 19 del Codice (norme di legge oregolamento, nonché eventuali comunicazioni al Garante ai sensi dell'art. 19del Codice) e quelli non conformi a quanto stabilito nelle convenzioni, eforniscano riscontro, anche telematico, di tale verifica all'Agenzia entro il30 giugno 2009;

- nel caso in cui non riceva ilsuddetto riscontro entro il termine del 30 giugno 2009, a partire dal 1° edentro il 31 luglio 2009, deve disattivare tutte le utenze Siatel degli entidiverse da quelle in uso agli amministratori locali, avvisando gli entimedesimi che, prima di procedere all'eventuale riattivazione degli utentiattraverso i propri amministratori locali, dovranno effettuare, sotto lapropria responsabilità, la verifica di cui al punto precedente.

3) l'Agenzia, entro il 30 aprile 2009,deve informare gli enti destinatari della prescrizione di cui al puntoprecedente anche in via telematica anche attraverso gli amministratori localidegli stessi, indicando i canali e le modalità prescelte per la ricezione delpredetto riscontro delle verifiche effettuate;

4) l'Agenzia, entro il 30 aprile 2009,deve realizzare il c.d. "Mini-Siatel" per le attività diaggiornamento e allineamento anagrafico dei comuni con le caratteristichetecniche individuate in premessa; tale applicativo deve essere implementatosulla piattaforma architetturale già utilizzata da Puntofisco entro il 30luglio 2009;

5) l'Agenzia può predisporre una modalitàdi accesso a Puntofisco in ottica di identità federata esclusivamente perquanto riguarda gli utenti del Ced interforze;

6) l'adempimento delle prescrizioni deveessere, di volta in volta, puntualmente documentato dall'Agenzia a questaAutorità nei medesimi termini indicati con modalità idonee a consentirne uneffettivo riscontro.

Roma, 26 marzo 2009

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Patroni Griffi