[doc. web n. 10219819]

Parere sullo schema di decreto presentato del Ministero dell’economia e delle finanze, contenente le regole tecnico–operative relative alle udienze da remoto nei processi telematici instaurati innanzi alle Corti di giustizia tributaria di primo e di secondo grado - 25 settembre 2025

Registro dei provvedimenti
n. 565 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del professor Pasquale Stanzione, presidente, della professoressa Ginevra Cerrina Feroni, vicepresidente, del dottor Agostino Ghiglia e dell’avvocato Guido Scorza, componenti e del consigliere Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

VISTA la documentazione in atti;

VISTE le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il professor Pasquale Stanzione;

PREMESSO

1. Il Ministero dell’economia e delle finanze (breviter Ministero), ha richiesto il parere del Garante su uno schema di decreto ministeriale (breviter Schema) contenente le regole tecnico–operative relative all’udienza da remoto, ex art. 79, comma 2-ter, del decreto legislativo n. 546/1992 (a decorrere dal 1° gennaio 2026, articolo 129, comma 2, del decreto legislativo 14 novembre 2024, n. 175, recante Testo unico della giustizia tributaria).

Lo schema disciplina in particolare le regole tecnico-operative per lo svolgimento delle udienze a distanza innanzi alle Corti di giustizia tributaria di primo e di secondo grado, di cui all’articolo 34-bis del decreto legislativo 31 dicembre 1992, n. 546, recante “Disposizioni sul processo tributario in attuazione della delega al Governo contenuta nell'art. 30 della legge 30 dicembre 1991, n. 413” e, a decorrere dal 1° gennaio 2026, all’articolo 83 del decreto legislativo 14 novembre 2024, n.175, recante il “Testo unico della giustizia tributaria”.

Attualmente, le regole tecnico-operative per lo svolgimento delle udienze pubbliche o camerali attraverso collegamenti da remoto sono contenute nel decreto direttoriale dell’11 novembre 2020, adottato ai sensi del comma 4 dell’articolo 16 del D.L. n. 119/2018, norma medio tempore abrogata dall’articolo 2, comma 3, lettera b), del D.lgs. n. 220/2023, sul cui schema il Garante ha espresso parere favorevole, con osservazioni, con il provvedimento n. 187 del 15 ottobre 2020.

L’adozione di un nuovo decreto discende dalla necessità di adeguare tempestivamente le regole tecniche per lo svolgimento da remoto delle udienze e delle camere di consiglio, a causa dell’obsolescenza tecnologica del software in uso Skype for Business, per il quale la società Microsoft ha deciso di interrompere, a partire dal mese di gennaio 2025, le attività di aggiornamento informatico e della sicurezza - che quindi, da tale data, sarà estremamente vulnerabile agli attacchi informatici – e di assicurare il supporto in caso di malfunzionamenti, ma soltanto a pagamento e comunque non oltre il mese di ottobre 2025.

Pertanto, è stato ritenuto di utilizzare la piattaforma Microsoft Teams in sostituzione di quella obsoleta, prevista nel precedente decreto direttoriale.

CONSIDERATO

2. Con il provvedimento del 23 giugno 2025, n. 379, il Garante ha espresso parere non favorevole su un primo schema di decreto presentato dal Ministero, essendo state rilevate alcune inesattezze alla stregua della disciplina rilevante in materia di dati personali, di seguito riportate.

2.1. Lo schema di decreto prevedeva (art. 1, comma 2), che il trattamento dei dati personali fosse effettuato “ai sensi dell’articolo 2-duodecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196”, disposizione che disciplina le limitazioni ai diritti degli interessati ivi indicati; con il parere n. 379/2025, il Garante ha suggerito di modificare le parole sopra virgolettate con le seguenti: “nel rispetto di quanto previsto dall’articolo 2-duodecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196”.

2.2. Nel precedente schema di decreto non si evinceva, per quanto riguarda la piattaforma tecnologica per lo svolgimento dell’udienza a distanza, quali fossero, in concreto, le misure tecniche e organizzative adottate dal Ministero nell’ambito della piattaforma. Pertanto, il Garante ha ritenuto che fosse necessario integrare l’articolo 3 dello schema in esame, prevedendo l’utilizzo di procedure di strong authentication per l’accesso alla piattaforma tecnologica individuata per lo svolgimento dell’udienza a distanza da parte degli utenti (giudici e segretari di sezione) delle Corti di giustizia tributaria di primo e secondo grado. Il Garante ha ritenuto altresì che fosse opportuno integrare l’articolo 5 dello schema, prevedendo che le misure tecniche e organizzative adottate per garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento di dati personali fossero individuate dal Ministero sulla base di una valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. In particolare, dovevano essere individuate e adottate misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato, nonché altre misure atte a ridurre al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste.

2.3. In ordine alla predisposizione del verbale di udienza, con il medesimo provvedimento il Garante ha ritenuto necessario integrare l’articolo 4, comma 2, dello schema per disciplinare la distruzione (o la conservazione per un congruo arco di tempo) dei verbali di udienza formati su supporto analogico – redatti in luogo di quelli digitali nei casi di indisponibilità del S.I.Gi.T – dopo gli adempimenti del segretario di sezione volti a creare la copia informatica del documento cartaceo e ad attestarne la conformità all’originale, apponendo la firma elettronica qualificata o firma digitale.

2.4. Infine, con il parere n. 379/2025 è stato indicato che dovevano essere individuati e formalizzati i ruoli dei responsabili del trattamento, ai sensi e per gli effetti degli articoli 28 e segg. del Regolamento.

RITENUTO

3. In data 12 settembre 2025 il Ministero ha trasmesso un nuovo schema di decreto che risulta conforme alle integrazioni richieste con il provvedimento n. 379/2025. In particolare:

• con riferimento a quanto riportato al punto 2.1. del presente parere, è stato modificato l’articolo 1, comma 2, dello schema secondo quanto suggerito dal Garante;

• con riferimento al punto 2.2, è stato modificato l’articolo 3, comma 3, prevedendo che i magistrati, i giudici tributari e i segretari di sezione utilizzino per il collegamento telematico il link inviato esclusivamente agli indirizzi di posta elettronica istituzionale, “per il cui accesso è prevista una procedura di identificazione basata sull’uso di almeno due fattori di autenticazione”;

• con riferimento al punto 2.3., è stato modificato l’articolo 5, con l’introduzione del nuovo comma 2, secondo cui “Le misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi connessi ai trattamenti dei dati personali sono regolarmente riesaminate e aggiornate dal Ministero dell’economia e delle finanze tenendo conto dei risultati di apposite valutazioni d’impatto sulla protezione dei dati, ai sensi dell’articolo 35 del Regolamento (UE) 2016/679, con riferimento ai trattamenti che presentano elevati rischi per i diritti e le libertà degli interessati.”;

• con riferimento al punto 2.4., è stato introdotto un nuovo comma 3 al medesimo articolo 5 dello schema di decreto, che prevede che “Per l’utilizzo della piattaforma tecnologica Microsoft Teams il Ministero dell’economia e delle finanze si avvale della società Sogei, partner tecnologico, che ai fini del trattamento dei dati personali assume il ruolo di Responsabile ai sensi dell’articolo 28 e seguenti del Regolamento (UE) 2016/679 e della Direttiva del Ministro dell’economia e delle finanze n. 118067 del 3 ottobre 2018”.

4.  Si segnala, infine, sul piano formale, che nel preambolo del nuovo schema di decreto, per un probabile refuso, è indicato “ACQUISITO il parere n. 379 del 23 giugno 2025 reso dal Garante per la protezione dei dati personali”; il riferimento dovrà invece essere al presente parere.

TUTTO CIO’ PREMESSO

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto presentato in data 12 settembre 2025 dal Ministero dell’economia e delle finanze, contenente le regole tecnico–operative relative alle udienze da remoto nei processi telematici instaurati innanzi alle Corti di giustizia tributaria di primo e di secondo grado, ex articolo 79, comma 2-ter, del decreto legislativo n. 546/1992 e, a decorrere dal 1° gennaio 2026, ex articolo 129, comma 2, del decreto legislativo 14 novembre 2024, n. 175.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza