[doc. web n. 9074899]

Parere su uno schema di convenzione tra Agenzia delle entrate e Ministero dell'Interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari - 13 dicembre 2018

Registro dei provvedimenti
n. 496 del 13 dicembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito: “Direttiva”);

VISTO il decreto legislativo  18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 (di seguito: “Decreto”);

VISTO, in particolare, l’articolo 47, comma 1, Decreto , ai sensi del quale nei casi in cui le autorità di pubblica sicurezza o le forze di polizia possono acquisire, in conformità alle vigenti disposizioni di legge o di regolamento, dati, informazioni, atti e documenti da altri soggetti, l'acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8 del Decreto. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui all'articolo 1, comma 2.

VISTO il decreto del Presidente della Repubblica 15 gennaio 2018 n. 15, recante il Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota in data 8 agosto 2018 prot. 557/st/251.2.1./5377, il Dipartimento della Pubblica Sicurezza del Ministero dell’Interno ha trasmesso a questa Autorità, al fine di acquisirne il parere di cui all’art. 47 del Decreto, uno schema di convenzione tra l’Agenzia delle entrate ed il predetto Ministero, per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari (di seguito “Schema”). 

L’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, recante disposizioni relative all'anagrafe tributaria e al codice fiscale dei contribuenti, prevede che i soggetti ivi indicati sono tenuti a rilevare e a tenere in evidenza i dati identificativi, compreso il codice fiscale, di ogni soggetto che intrattenga con loro qualsiasi rapporto o effettui, per conto proprio ovvero per conto o a nome di terzi, qualsiasi operazione di natura finanziaria ad esclusione di quelle effettuate tramite bollettino di conto corrente postale per un importo unitario inferiore a 1.500 euro; l'esistenza dei rapporti e l'esistenza di qualsiasi operazione di cui al precedente periodo, compiuta al di fuori di un rapporto continuativo, nonché la natura degli stessi sono comunicate all'anagrafe tributaria, ed archiviate in apposita sezione, con l'indicazione dei dati anagrafici dei titolari e dei soggetti che intrattengono con gli operatori finanziari qualsiasi rapporto o effettuano operazioni al di fuori di un rapporto continuativo per conto proprio ovvero per conto o a nome di terzi, compreso il codice fiscale (c.d. componente anagrafica).

L’articolo 11, secondo comma, del decreto legge 6 dicembre 2011, n. 201, convertito in legge, con modificazioni, dall'art. 1, comma 1, legge 22 dicembre 2011, n. 214, recante disposizioni urgenti per la crescita, l'equità e il consolidamento dei conti pubblici, stabilisce che a decorrere dal 1° gennaio 2012, gli operatori finanziari sono obbligati a comunicare periodicamente all'anagrafe tributaria le movimentazioni che hanno interessato i rapporti di cui all'articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, ed ogni informazione relativa ai predetti rapporti necessaria ai fini dei controlli fiscali, nonché l'importo delle operazioni finanziarie indicate nella predetta disposizione. I dati comunicati sono archiviati nell'apposita sezione dell'anagrafe tributaria prevista dall'articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605, e successive modificazioni (c.d. componente contabile).

L’articolo 7, undicesimo comma, del predetto decreto del Presidente della Repubblica 1973, n. 605, prevede che i dati comunicati siano utilizzabili dai soggetti di cui all'articolo 4, secondo comma, lettere a), b), c) ed e), del regolamento di cui al decreto del Ministro del tesoro, del bilancio e della programmazione economica 4 agosto 2000, n. 269, ai fini dell'espletamento degli accertamenti finalizzati alla ricerca e all'acquisizione della prova e delle fonti di prova nel corso di un procedimento penale, sia ai fini delle indagini preliminari e dell'esercizio delle funzioni previste dall'articolo 371-bis del codice di procedura penale, sia nelle fasi processuali successive, ovvero degli accertamenti di carattere patrimoniale per le finalità di prevenzione previste da specifiche disposizioni di legge e per l'applicazione delle misure di prevenzione.

L’art. 4, secondo comma, lettera c), del decreto del Ministero del tesoro, del bilancio e della programmazione economica 4 agosto 2000, n. 269, recante il Regolamento istitutivo dell'anagrafe dei rapporti di conto e di deposito, previsto dall'articolo 20, comma 4, della L. 30 dicembre 1991, n. 413, indica tra i soggetti che possono avanzare richiesta di accesso all’Anagrafe, il Ministro dell'interno, il Capo della polizia-direttore generale della pubblica sicurezza, i Questori e il Direttore della Direzione investigativa antimafia, quando ricorrono le circostanze di cui al comma 1, ovvero quelle di cui all'articolo 118, comma 1, del codice di procedura penale.

L’art. 19, primo comma, del decreto legislativo 6 settembre 2011, n. 159, recante il Codice delle leggi antimafia e delle misure di prevenzione, nonché nuove disposizioni in materia di documentazione antimafia, a norma degli articoli 1 e 2 della legge 13 agosto 2010, n. 136 (c.d. codice antimafia), prevede che, tra gli altri, il Questore o il Direttore della Direzione investigativa antimafia possono procedere, anche a mezzo della guardia di finanza o della polizia giudiziaria, ad indagini sul tenore di vita, sulle disponibilità finanziarie e sul patrimonio dei soggetti indicati all'articolo 16 del decreto nei cui confronti possa essere proposta la misura di prevenzione della sorveglianza speciale della pubblica sicurezza con o senza divieto od obbligo di soggiorno, nonché, avvalendosi della guardia di finanza o della polizia giudiziaria, ad indagini sull'attività economica facente capo agli stessi soggetti allo scopo anche di individuare le fonti di reddito. Il quarto comma del medesimo articolo prevede che i predetti organi possono accedere, senza nuovi o maggiori oneri, al Sistema per l'interscambio di flussi dati (SID) dell'Agenzia delle entrate e richiedere quanto ritenuto utile ai fini delle indagini.

L’art. 55 c.p.p. prevede che la polizia giudiziaria deve, anche di propria iniziativa, prendere notizia dei reati, impedire che vengano portati a conseguenze ulteriori, ricercarne gli autori, compiere gli atti necessari per assicurare le fonti di prova e raccogliere quant'altro possa servire per l'applicazione della legge penale. Essa svolge ogni indagine e attività disposta o delegata dall'autorità giudiziaria. Le predette funzioni sono svolte dagli ufficiali e dagli agenti di polizia giudiziaria.

OSSERVA

Il Ministero dell’Interno, con la nota dell’8 agosto 2018, ha rappresentato la necessità, di accedere alle informazioni contenute nella “componente anagrafica” e nella “componente contabile” dell’ Archivio dei rapporti finanziari gestito dall’Agenzia delle entrate, per le specifiche attività di polizia descritte nelle norme richiamate in premessa. Con riferimento alla “componente contabile”, si rappresenta che, nei pareri del 17 aprile e 15 novembre 2012 espressi sugli schemi di provvedimento del Direttore dell’Agenzia delle entrate in materia di “Disposizioni di attuazione dell’articolo 11, commi 2 e 3, del decreto legge 6 dicembre  2011 n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011 n. 214. Comunicazione integrativa annuale all’archivio dei rapporti finanziari” (rispettivamente, doc. web n. 1886775 e n. 2099774), il Garante ha evidenziato che tale archivio e i relativi utilizzi presentano un rischio elevato per i diritti e le libertà degli interessati, anche laddove il trattamento avvenga nel più rigoroso rispetto delle misure di sicurezza. Ciò, soprattutto, in relazione all’interesse che ha il valore strategico di una simile banca dati.

Pertanto, nell’occasione dell’espressione del presente parere, che deve intervenire in ordine alle modalità di accesso ai dati, occorre valutare con particolare rigore le misure di sicurezza, di natura tecnica e organizzativa, ai fini dell’individuazione di procedure e garanzie idonee a consentire il rispetto dei diritti e delle libertà degli interessati.

Il trattamento in esame richiede, pertanto, l’effettuazione da parte del Ministero e dell’Agenzia una valutazione di impatto dei relativi rischi sulla protezione dei dati personali oggetto di comunicazione (in conformità, rispettivamente, all’art. 21 del d.lgs. n. 51 del 2018 e dell’art. 35 del Regolamento UE), con particolare riguardo alle misure di sicurezza adottate, ai presupposti che legittimano gli accessi da parte dei soggetti autorizzati e al numero degli stessi, nonché agli opportuni strumenti di verifica e controllo sugli accessi, preventivi e a posteriori, anche attraverso sistemi di alert automatici.

Il trattamento potrà essere, quindi, avviato solo all’esito delle predette valutazioni di impatto, ferma restando l’introduzione di eventuali ulteriori misure e garanzie, rispetto a quelle già individuate nell’ambito del presente parere, che dovessero essere ritenute dai titolari del trattamento necessarie per attenuare i rischi per i diritti e le libertà degli interessati.

Quadro normativo

Le finalità del trattamento, come sopra indicate, consistono nella prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica ed il relativo trattamento è riservato alle autorità competenti al perseguimento di tali finalità. Pertanto, esso rientra nel campo di applicazione della Direttiva (UE) 2016/680 e del Decreto di attuazione.

Il trattamento in oggetto è basato sulle disposizioni di legge indicate in premessa, onde risulta sussistente il requisito di legalità prescritto dall’art. 5 del Decreto in conformità ai più generali principi in materia (art. 8 Convenzione EDU, artt. 7 e 8 Carta dei diritti fondamentali dell’Unione Europea).

Sono, altresì, applicabili le prescrizioni di cui al decreto del Presidente della Repubblica 15 gennaio 2018 n. 15, attuativo dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196 nel testo previgente, in quanto l’art. 49 del Decreto, che ne ha disposto l’abrogazione decorso un anno dalla sua entrata in vigore, ha altresì previsto che il d.P.R. continuerà ad applicarsi fino all'adozione di diversa disciplina.

Lo schema di Convenzione

Lo schema è composto da 16 articoli ed integrato da quattro allegati, di seguito indicati:

allegato 1: modalità operative di accesso all’applicativo web “Consultazione Archivio dei rapporti”;

allegato 2: richiesta di attivazione del servizio;

allegato 3: Archivio dei Rapporti Finanziari (dati comunicati, operatori finanziari, tipi di rapporto);

allegato 4: utenze da assegnare al Dipartimento di Pubblica Sicurezza e agli Uffici  Periferici.

Lo schema individua, nell’art. 1 e nell’art. 3, lettera a), i dati oggetto di accesso da parte degli organi di Polizia, consistenti nelle informazioni  contenute nell’Archivio dei rapporti finanziari gestito dall’Agenzia delle entrate, nel quale confluiscono le informazioni anagrafiche e contabili indicate dall’articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605 e dall’articolo 11, secondo comma, del decreto legge 6 dicembre 2011, n. 201, come specificato in premessa.

Ulteriormente, si osserva che l’articolo, 11 terzo comma, del decreto legge 6 dicembre 2011, n. 201, prevede che con provvedimento del Direttore dell'Agenzia delle entrate, sentiti le associazioni di categoria degli operatori finanziari e il Garante per la protezione dei dati personali, sono stabilite le modalità della comunicazione di cui al comma 2, estendendo l'obbligo di comunicazione anche ad ulteriori informazioni relative ai rapporti strettamente necessarie ai fini dei controlli fiscali. Il provvedimento deve altresì prevedere adeguate misure di sicurezza, di natura tecnica e organizzativa, per la trasmissione dei dati e per la relativa conservazione, che non può superare i termini massimi di decadenza previsti in materia di accertamento delle imposte sui redditi.

Le finalità del trattamento sono indicate nell’art. 2 dello Schema, con riferimento alle specifiche prescrizioni contenute nel decreto del Presidente della Repubblica 1973, n. 605, dal decreto legge 2011, n. 201, e dal decreto legislativo 2011, n. 159, riportate in premessa.

Fermo restando che i soggetti autorizzati ad accedere ai dati in oggetto sono specificamente indicati dalle disposizioni legislative e regolamentari citate in premessa, l’art. 3 dello Schema, relativo alle Definizioni utilizzate nello Schema stesso, precisa al punto b) gli uffici di polizia che possono accedere ai dati, ossia la Direzione centrale della polizia di prevenzione, la Direzione centrale anticrimine della Polizia di Stato, le Divisioni anticrimine, le Divisioni investigazioni generali operazioni speciali (DIGOS) e le Squadre mobili delle Questure. Gli utenti abilitati all’accesso sono espressamente incaricati dai Direttori centrali della Direzione centrale della polizia di prevenzione e della Direzione centrale anticrimine della Polizia di Stato, per gli uffici centrali del Ministero, nonché dai Questori (art. 4). L’art. 6 indica in seicentocinquanta il numero massimo di utenti che possono essere abilitati all’accesso ai dati. Il medesimo articolo stabilisce che “l’aumento del numero degli utenti indicato al comma 1 può essere di volta in volta concordate con l’Agenzia, secondo le modalità di cui all’articolo 14.” Tale articolo, probabilmente, contiene un refuso, in quanto si ritiene che esso intendeva rinviare all’art. 15 dello Schema (“Modifiche”) e non al 14 (“Allegati”). L’allegato 4 indica utenze da assegnare al Dipartimento di Pubblica Sicurezza e agli Uffici Periferici.

Le procedure per l’avvio del servizio di accesso all’Archivio e per l’accesso allo stesso sono disciplinate dagli artt. 4 e 7 dello schema. L’art. 9 indica gli adempimenti a carico dell’Agenzia delle entrate successivamente alla richiesta di attivazione del servizio inoltrata dagli uffici di polizia.

Gli artt. 9, 10 e 11, riguardano i criteri di riservatezza nel trattamento dei dati, il tracciamento degli accessi e le attività di controllo del Ministero sugli accessi.

Osservazioni sul contenuto della Convenzione

Pag. 3, secondo capoverso.

Lo Schema prevede che “l’agenzia, in quanto titolare dei dati presenti nell’anagrafe tributaria e nell’archivio dei rapporti finanziari, è tenuta, per legge, ad adottare le misure minime adeguate di sicurezza previste dall’art. 33 del d.lgs. n. 196/2003”.

Poiché’ l’art. 33 del d.lgs. n. 196/2003 è stato abrogato dal Decreto, occorre modificare il testo nel senso appresso indicato: “l’Agenzia, in quanto titolare dei dati presenti nell’anagrafe tributaria e nell’archivio dei rapporti finanziari, è tenuta ad applicare adeguate misure di sicurezza dei dati, in conformità a quanto previsto dall’art. 32 del regolamento (UE) 2016/679 e dall’art. 25 del Decreto legislativo 18 maggio 2018, n. 51”.

Art. 2 – Finalità dell’accesso.

L’articolo 1 è composto di un solo comma, erroneamente indicato con il numero “2”.

Art. 3 - Definizioni

Al punto e), le parole “informative, di sicurezza o di indagini di polizia giudiziaria” vanno sostituite con le parole: “riconducibili alle finalità di cui all’articolo 2;”. Ciò in quanto l’accesso ai dati dell’Archivio dei rapporti finanziari è consentito per le specifiche finalità indicate nell’articolo 2 dello Schema, che riproduce quelle indicate dalle specifiche fonti normative indicate in premessa.

Art. 4 – Modalità di accesso.

Al secondo comma dell’articolo, nel penultimo periodo, le parole “informative, di sicurezza o di indagini di polizia giudiziaria.” vanno sostituite con le parole: “riconducibili alle finalità di cui all’articolo 2.”. Ciò in quanto l’accesso ai dati dell’Archivio dei rapporti finanziari è consentito per le specifiche finalità indicate nell’articolo 2 dello Schema, che riproduce quelle indicate dalle specifiche fonti normative indicate in premessa.

Il quarto comma dell’articolo 4 deve essere sostituito dal seguente: “ad ogni accesso l’utente deve inserire nel campo dedicato il numero identificativo della pratica relativamente alla quale è effettuata la consultazione. l’assenza del numero identificativo non consente l’avvio della consultazione.”. Ciò per assicurare la rigorosa verifica, anche a posteriori, della legittimità degli accessi effettuati all’Archivio dei rapporti finanziari e rendere più agevoli i relativi controlli, garantendo così maggiormente il rispetto dei diritti e delle libertà degli interessati.

Art. 6 – Utenti.

Al comma 1, sostituire le parole “incaricati del trattamento dei dati” con le parole: “addetti trattamento dei dati” ai sensi dell’articolo 19 del d. lgs. 18 maggio 2018 , n. 51,”.

Ciò in considerazione delle prescrizioni contenute nella Direttiva (UE) 2016/680 e nel d. lgs. 2018 n. 51, in ordine ai soggetti che effettuano trattamenti di dati sotto l’autorità del titolare o del responsabile del trattamento.

Nel comma 3, in ordine alle procedure di aumento del numero massimo degli utenti che possono essere abilitati al servizio, il rinvio all’art. 14 appare sbagliato. si presume che il rinvio debba essere effettuato all’art. 15 dello Schema.

In ogni caso, l’individuazione del numero di utenti autorizzati, in esito alla valutazione di impatto, deve essere opportunamente motivata e  monitorata nel tempo, anche al fine di rispettare il principio di privacy by default, considerati i rischi che un elevato numero di utenti autorizzati determina per i diritti e le libertà degli interessati.

Tale valutazione, dovrebbe, inoltre, portare il Ministero a definire linee guida generali per la consultazione di tali dati, individuando anche, nel rispetto dei principi di minimizzazione e privacy by design e by default, i presupposti in base ai quali dovrebbe essere consentito l’accesso all’Archivio.

Articolo 7 – procedura di avvio del servizio

Al primo comma, le parole “della password” devono essere sostituite dalle parole: “delle credenziali di accesso”.

Articolo 10 – Trattamento dei dati

Al comma 2, lettera b), dopo la parola “adeguate” aggiungere le parole: “organizzative e tecniche”.

Al comma 2, lett. b), quinta riga, sostituire le parole “incaricati del trattamento” con le parole: “addetti al trattamento”. Ciò in considerazione delle prescrizioni contenute nella Direttiva (UE) 2016/680 e nel d. lgs. 2018 n. 51, in ordine ai soggetti che effettuano trattamenti di dati sotto l’autorità del titolare o del responsabile del trattamento.

Nel comma 2, lettera c), le parole “consentire la riproduzione delle” vanno sostituite con le parole: “conservare le”; alla fine del punto c) sostituire la parola “conservare” con la parola: “memorizzare”; 

Il comma 2, lettera e), dell’articolo prevede che le informazioni acquisite mediante gli accessi all'archivio dei rapporti finanziari possono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattate. 

Al riguardo, il d.P.R. 15 gennaio 2018, n. 15 che disciplina, in termini generali, il termine massimo di conservazione dei dati personali trattati per finalità di polizia, prevede, all’art. 10, periodi di conservazione assai estesi (1), che nella specie appare opportuno delimitare, nel rispetto del principio di proporzionalità di cui all’art. 8 Convenzione EDU ed all’art. 8 della CDFUE, tenendo conto, in particolare,  che i dati in parola sono comunque detenuti presso l’Archivio dell’Amministrazione finanziaria, dal quale possono essere successivamente riottenuti. In tal senso appare opportuno inserire nel comma 2, lettera e), dell’articolo, dopo la parola “trattate”, le parole: “e comunque, nel caso in cui il procedimento per il quale la richiesta dei dati è effettuata si chiuda senza l’adozione di misure, non oltre un anno dalla conclusione del procedimento stesso.”. 

Dopo la lettera e), inserire la seguente:

“f) conservare le informazioni acquisite mediante gli accessi all’Archivio dei rapporti finanziari nelle postazioni di lavoro dei soggetti designati, in apposite porzioni del file system accessibili esclusivamente al soggetto stesso, mediante le proprie credenziali.”.

Aggiungere, prima del comma 3, il seguente:

“Misure e le prescrizioni analoghe a quelle indicate nel comma 2 devono essere adottate anche nel caso in cui le informazioni siano memorizzate su supporto cartaceo.”.

Art. 11 – Tracciamento degli accessi.

Alla fine dell’articolo, dopo la parola “utente”, inserire le seguenti parole: “comprensive del numero identificativo di cui all’articolo 4, comma 4.”.

Art. 12 – Attività di controllo del Ministero.

Il primo comma prevede che ove dai controlli effettuati dal Ministero sugli accessi emergano criticità, questo comunica l’esito della verifica all’Agenzia. Occorre ricordare che nel caso di una violazione di dati personali, il titolare del trattamento deve effettuare la notifica della violazione al Garante, ai sensi dell’art. 26 del d. lgs. 2018 n. 51 e comunicare la violazione all'interessato, ai sensi di cui all’art. 27 del d. lgs. 2018 n. 51 del medesimo decreto e salvo quanto previsto nel secondo comma del medesimo articolo 27. 

Il secondo comma dell’articolo prevede che nell'ambito della complessiva attività di controllo spettante al Ministero, l'Agenzia, con cadenza annuale, fornisce a quest'ultimo le informazioni di dettaglio degli accessi effettuati dagli utenti. 

La modalità di controllo prevista non risulta, tuttavia, sufficiente per consentire un controllo sugli accessi idoneo a tutelare i diritti e le libertà degli interessati in caso di accessi non autorizzati. Pertanto, occorre individuare, e introdurre nel testo della convenzione, più rigorose ed efficaci modalità di verifica sugli accessi, anche attraverso sistemi di alert automatici. 

In ogni caso, nelle more dell’individuazione di tali nuove modalità di verifica, al fine di rendere maggiormente tempestivi i controlli del Ministero, appare opportuno prevedere che l’Agenzia fornisca le informazioni di dettaglio con cadenza almeno trimestrale.

Occorre poi individuare puntualmente i tempi di conservazione delle informazioni di dettaglio così trasmesse e anche dei tracciamenti effettuati dall’Agenzia. 

Allegato 1

L’indirizzo URL indicato all’inizio di pagina 2, “http://consultazionear.enti.agenziaentrate.it/consultazioneAR” è non adeguato, e non conforme ai necessari standard di sicurezza, in quanto utilizza il protocollo http e non il protocollo https.

Al fine di garantire inoltre il rispetto dei principi di minimizzazione e privacy by default nell’ambito  degli accessi all’archivio, occorre specificare che tutte le interrogazioni di un utente di livello 1 vengono pre-validate dal superiore/utente di livello 2, ossia che l’autorizzazione delle richieste di accesso non sia intesa come autorizzazione generale.

Occorre inoltre specificare che sono vietati l’utilizzo di file robot e le interrogazioni massive, in quanto sproporzionate rispetto alle puntuali finalità per le quali è ammesso il trattamento in parola.

Infine, si indicano alcuni aspetti dello Schema affidati ad una più approfondita riflessione del Ministero e dell’Agenzia delle Entrate, anche nell’ambito delle valutazioni di impatto, che, in ragione della delicatezza del trattamento dei dati in parola, già emersa in occasione dei suddetti pareri resi dal Garante il  17 aprile e il 15 novembre 2012, devono essere comunicate all’Autorità al loro completamento.

Appare necessario che venga valutata l’opportunità di limitare le postazioni fisiche dalle quali possono essere effettuati gli accessi all’archivio, introducendo misure tecniche e organizzative al riguardo (es. riconoscimento dell’Ip di provenienza o certificazione delle postazioni), a seguito di una rigorosa valutazione delle effettive necessità connesse allo svolgimento delle finalità per le quali è ammesso l’accesso, considerato che i dati acceduti richiedono, di regola, analisi specifiche di background.

Si auspica peraltro che il Ministero valuti l’adeguatezza del perimetro di visibilità degli utenti di livello 2, con riferimento alla possibilità di visualizzare tutti gli esiti delle interrogazioni effettuate dei sottoposti.

TUTTO CIÒ PREMESSO IL GARANTE

esprime, ai sensi dell’articolo  47, comma 1, del decreto legislativo 18 maggio 2018, n. 51,  parere favorevole sullo schema di convenzione tra l’Agenzia delle entrate ed il Ministero dell'interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari, a condizione che il testo della convenzione venga integrato secondo quanto sopra indicato.

Roma, 13 dicembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

_____________________________________________________________

(1) D.P.R. 15/01/2018, n. 15 

Art. 10. Termini di conservazione dei dati 

1. I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalità di polizia di cui all'articolo 3.

2. I dati personali soggetti a trattamento automatizzato, trascorsa la metà del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a ciò abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attività informative, di sicurezza o di indagine di polizia giudiziaria.

3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono essere conservati oltre il termine massimo fissato come segue:

a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e cautelare, nonché a misure restrittive della libertà personale conseguenti ad una sentenza di condanna - 20 anni dalla cessazione della loro efficacia; 

b) dati relativi a misure di prevenzione di carattere personale e patrimoniale - 25 anni dalla cessazione della loro efficacia; 

c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una procedura di annullamento, invalidazione o revoca - 3 anni dalla data di inoppugnabilità del provvedimento di annullamento, invalidazione o revoca; 

d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilità del provvedimento;

e) dati derivanti da attività informativa e ispettiva svolta per le finalità di cui all'articolo 3 - 15 anni dall'ultimo trattamento; 

f) dati relativi ad attività di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento;

g) dati relativi ad attività di polizia giudiziaria conclusa con sentenza di assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato della sentenza;

h) dati relativi ad attività di polizia giudiziaria conclusa con sentenza di condanna - 25 anni dal passaggio in giudicato della sentenza; 

i) dati relativi ad attività di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale - 15 anni dall'ultimo trattamento;

l) dati relativi ad attività di prevenzione generale e soccorso pubblico - 5 anni dalla raccolta;

m) dati relativi a controlli di polizia - 20 anni dalla raccolta;

n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni dall'elaborazione dell'analisi;

o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30 anni dall'esecuzione;

p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla scadenza o dalla revoca del titolo;

q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della detenzione;

r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni dalla scarcerazione a seguito di decreto di archiviazione o non luogo a procedere o di sentenza di assoluzione;

s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni dalla scadenza del termine di efficacia della misura;

t) dati relativi alla gestione delle attività operative - 10 anni dall'ultimo trattamento;

u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta; dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica, audio e video di documentazione dell'attività operativa - 18 mesi dalla raccolta. Si applicano i diversi termini di conservazione di cui alla lettera b), quando i dati personali sono confluiti in un procedimento per l'applicazione di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i), quando i dati personali sono confluiti in un procedimento penale.

4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attività preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonché per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale.

5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalità di polizia di cui all'articolo 3, può decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non può comunque superare i due terzi di quelli fissati al comma 3.

6. I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3.

7. Sono fatti salvi i diversi termini e modalità di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalità di cui all'articolo 3.

8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.