| Garante per la protezione dei dati personali vedi anche
Riscossione:differimento del provvedimento del PROVVEDIMENTO DEL 12LUGLIO 2012 Registro dei provvedimenti n. 203 del 12luglio 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del dott. Antonello Soro, presidente,della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. Daniele DePaoli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codicein materia di protezione dei dati personali; VISTO il provvedimento del VISTO, in particolare, il punto 2, lett. a), del predettoprovvedimento, con il quale il Garante ha prescritto all'Agenzia delle entrateed Equitalia S.p.A. di rivedere l'articolazione delle diverse banche datiutilizzate a fini di riscossione, fissando per l'adempimento il termine didiciotto mesi dalla notifica del provvedimento, nonché i punti 5, lett. a), e8, lett. b), con i quali è stato prescritto ad Equitalia S.p.A. di - disciplinare, entro il termine di sei mesi, il reperimentodelle informazioni anagrafiche da parte delle società del gruppo e di bloccarei collegamenti effettuati in assenza dei necessari presupposti normativi; - predisporre, entro il termine di diciotto mesi, attività dicontrollo, anche attraverso la realizzazione di appositi applicativi,sull'attività svolta dalle società del gruppo e da Sogei S.p.A. in qualità diresponsabile del trattamento, con l'attivazione di specifici alert cheindividuino comportamenti anomali o a rischio, anche attraverso il monitoraggioe l'analisi periodica, a livello statistico, dei dati relativi alle transazionieseguite; VISTO il provvedimento del VISTO il provvedimento del VISTA la nota n. 2012/6877 del 26 giugno 2012 con la quale EquitaliaS.p.A. ha comunicato con riferimento alle prescrizioni di cui ai punti 2 lett.a) e 5 lett. a), del Provvedimento del 7 Ottobre 2009, l'avvenuto adeguamentoin conformità alle indicazioni richieste dal Garante specificando, inparticolare, che: 1. "relativamente alla prescrizione di cui al punto 2lett. a), con la quale l'Autority ha disposto che l'Agenzia delle Entrate e ilGruppo Equitalia, rivedessero l'articolazione delle diverse banche datiutilizzate a fini di riscossione, allo scopo di garantire un'attività uniformee coordinata da un punto di vista organizzativo ed informatico, conformemente aquanto illustrato con nostra nota del 4 Aprile 2011 prot. n. 2011/3898, è statoattuato il complesso processo di riorganizzazione societaria del GruppoEquitalia che si è concluso con il passaggio a tre società agenti dellariscossione, rispettivamente per il Nord, il Centro e il Sud e,contestualmente, è stata consolidata l'infrastruttura tecnologica attraverso ilcompletamento della procedura per la realizzazione di un sistema unico conconseguente razionalizzazione e unificazione delle basi dati"; 2. "in merito alla prescrizione di cui al punto 5 lett.a), con cui il Garante ha prescritto ad Equitalia S.p.A."di disciplinareil reperimento delle informazioni anagrafiche da parte delle società del gruppoe di bloccare i collegamenti effettuati in assenza dei necessari presuppostinormativi e delle idonee misure di sicurezza", l'emanazione del Nuovoregolamento di gestione dell'Indice Nazionale delle Anagrafi di cui al Decretodel Ministro dell'Interno del 19 gennaio 2012 n. 32, con cui sono stateampliate le informazioni contenute nell'Indice al fine di rendere disponibilialle PA – collegate al Centro Nazionale per i Servizi Demografici delMinistero dell'Interno ( infrastruttura ove è ubicata l'INA) - ulteriori datianagrafici necessari per l'attività istituzionale e il rilascio, in data 13febbraio 2012, dello specifico software per l'acquisizione di tali dati daAnagrafe tributaria, soddisfano l'esigenza degli Agenti di reperireinformazioni complete, aggiornate e pertinenti, indispensabili perl'espletamento dell'attività di riscossione." VISTA la medesima nota n. 2012/6877 del 26 giugno 2012 con la qualeEquitalia S.p.A. chiede altresì di prorogare di un anno, fino al 30 giugno2013, il termine entro il quale dovrà adeguarsi alle prescrizioni di cui alcitato punto 8 lett. b) del provvedimento del 7 ottobre 2009, precisando a talfine che: - i tempi di progettazione e di avvio della fase sperimentale deisistemi applicativi di supporto alle attività di controllo, sono statifortemente influenzati dalla rivisitazione dell'infrastruttura tecnologicaoperata dalla Sogei; - a seguito della recente definizione dell'attività diconsolidamento del sistema informatico, a marzo del corrente anno è stataavviata una specifica linea progettuale tesa alla valutazione ed allasuccessiva introduzione di soluzioni applicative di mercato destinate alleattività di controllo che, affiancate agli strumenti già disponibili presso lestrutture di audit del gruppo, consentiranno di perfezionare il monitoraggiosull'accesso ai dati dei sistemi introducendo tecniche basate sull'analisistatistica delle transazioni eseguite dagli utenti; - il percorso, che proseguirà parallelamente ai consolidatiprogrammi di audit riguardante il tema della protezione dei dati personali,prevede una sequenza di passi che prende spunto dalla scelta degli strumenti,prosegue con le attività di installazione e configurazione dei prodottiindividuati, prevede la definizione della sequenza delle aree di processo dacoprire, l'impostazione delle griglie di monitoraggio, il raffinamento dellesoglie di allarme, fino a consentire il raggiungimento dell'obiettivodell'esercizio effettivo del monitoraggio statistico richiesto; - tale percorso sarà attuato per gradi, a partire dai processi diriscossione ritenuti maggiormente rilevanti, fino ad ottenere la coperturatotale dei processi di riscossione; ciò consentirà di ottenere i primirisultati parziali già dalla fine del corrente anno; - eventuali risultati parziali in ordine alla predisposizione diprocedure di controllo che dovessero essere raggiunti precedentemente allanuova scadenza richiesta, saranno comunicati tempestivamente al Garante. CONSIDERATO il descritto complesso riassetto organizzativo del gruppoEquitalia, le modifiche normative intervenute a regolare la materia dellariscossione e le rilevanti attività di interesse pubblico effettuate, nonché lostato di avanzamento delle procedure che Equitalia S.p.A. ha rappresentato diaver posto in essere nella richiesta di proroga per l'adeguamento alle suddetteprescrizioni contenute nel provvedimento del Garante del 7 ottobre 2009, conspecifico riferimento al punto 8, lett. b), già prorogato con i provvedimentidel 16 giugno 2010 e del 12 maggio 2011; CONSIDERATA, altresì, la rilevanza delle finalità istituzionaliperseguite dalle società del gruppo Equitalia che, per quanto riguarda iltrattamento dei dati personali, sono equiparate ai soggetti pubblici (art. 3,comma 29, del d.l. 30 settembre 2005, n. 203, convertito, con modificazioni,dalla l. 2 dicembre 2005, n. 248); RITENUTO, pertanto, di aderire alla richiesta di Equitalia S.p.A. diprorogare fino al 30 giugno 2013 il termine del provvedimento del 7 ottobre2009 di cui al punto 8, lett. b), già prorogato con i provvedimenti del 16giugno 2010 e del 12 maggio 2011; VISTE le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Antonello Soro; TUTTO CIŅ PREMESSO ILGARANTE ai sensi dell'art. 154, comma 1, lett. c), del Codice, in relazionealla richiesta formulata da Equitalia S.p.A., dispone di differire fino al 30giugno 2013 il termine del provvedimento del 7 ottobre 2009 di cui al punto 8,lett. b), già prorogato con i provvedimenti del 16 giugno 2010 e del 12 maggio2011. Roma, 12 luglio 2012
|