g-docweb-display Portlet

Parere su uno schema di convenzione tra Agenzia delle entrate e Ministero dell'Interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari - 29 aprile 2021 [9670652]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9670652]

Parere su uno schema di convenzione tra Agenzia delle entrate e Ministero dell'Interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari - 29 aprile 2021

Registro dei provvedimenti
n. 163 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

VISTA la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito: “Direttiva”);

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 (di seguito: “Decreto”);

VISTO, in particolare, l’articolo 47, comma 1, del Decreto, ai sensi del quale nei casi in cui le autorità di pubblica sicurezza o le forze di polizia possono acquisire, in conformità alle vigenti disposizioni di legge o di regolamento, dati, informazioni, atti e documenti da altri soggetti, l'acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8 del Decreto. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui all'articolo 1, comma 2.

VISTO il decreto del Presidente della Repubblica 15 gennaio 2018 n. 15, recante il Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, di individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Con nota in data 8 agosto 2018, il Dipartimento della Pubblica Sicurezza del Ministero dell’Interno ha trasmesso a questa Autorità, al fine di acquisirne il parere di cui all’art. 47 del Decreto, uno schema di convenzione tra l’Agenzia delle entrate ed il predetto Ministero, per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari, di cui al combinato disposto dell'articolo 7, sesto comma, del decreto del Presidente della Repubblica 29 settembre 1973, n. 605  e dell’articolo 11, secondo comma, del decreto legge 6 dicembre 2011, n. 201, convertito in legge, con modificazioni, dall'art. 1, comma 1, legge 22 dicembre 2011, n. 214.

Con provvedimento del 13 dicembre 2018, n. 496, i cui contenuti devono intendersiintegralmente richiamati, il Garante, valutata la base normativa a fondamento del collegamento richiesto e la conformità del relativo trattamento alla normativa rilevante in materia di dati personali, ha richiesto agli istanti l’effettuazione della valutazione di impatto dei relativi rischi sulla protezione dei dati personali (di cui all’art. 21 del Decreto), con particolare riguardo alle misure di sicurezza adottate, ai presupposti che legittimano gli accessi da parte dei soggetti autorizzati e al numero degli stessi, nonché agli opportuni strumenti di verifica e controllo sugli accessi, preventivi e a posteriori, anche attraverso sistemi di alert automatici, ed ha altresì richiesto alcune modifiche della convenzione, condizionando al loro recepimento l’espressione di un parere favorevole.

Con nota trasmessa a questa Autorità in data 11 settembre 2020, il Ministero dell’Interno ha trasmesso un nuovo testo della bozza di Convenzione, elaborato alla luce delle osservazioni formulate dal Garante con il citato provvedimento 13 dicembre 2018, n. 496, nonché il documento di valutazione di impatto ed i relativi allegati tecnici.

OSSERVA

Il nuovo testo della bozza di convenzione ha recepito in gran parte le indicazioni che erano state formulate con il provvedimento 13 dicembre 2018, n. 496. Tuttavia, risultano ancora alcuni aspetti non rispondenti a quanto indicato da questa Autorità.

In particolare, nel parere 2018, n. 496 era stato indicato che occorreva “individuare e introdurre, nel testo della convenzione, più rigorose ed efficaci modalità di verifica sugli accessi, anche attraverso sistemi di alert automatici.”.

Il nuovo testo della bozza di convenzione non ha introdotto i predetti sistemi di alert di rilevamento di accessi anomali, come l’utilizzo delle medesime credenziali in contemporanea, né questi risultano essere stati oggetto della valutazione di impatto. Del resto, l’implementazione richiesta non appare di difficile attuazione, considerando che l’Agenzia delle Entrate già dispone di numerosi sistemi di rilevazione degli accessi all’Archivio finalizzati all’individuazione di comportamenti anomali. Si ritiene, pertanto, che l’art. 12 della convenzione vada integrato, prevedendo che l’Agenzia comunica al Ministero eventuali alert generati da sistemi automatici predisposti dall’Agenzia stessa che rilevano accessi anomali.

Sempre in tema di sicurezza, non è stato previsto l’accesso all’archivio rapporti finanziari mediate identità federata del Ced interforze (che garantisce elevati livelli di sicurezza, specialmente in ordine alla gestione di utenti e profili di autorizzazione), né tale aspetto risulta essere stato oggetto della valutazione di impatto.

A tale proposito, si rileva che tale tipo di accesso è attualmente previsto dalla Convenzione tra il Ministero dell’Interno e l’Agenzia delle Entrate per l’accesso alla Banca dati anagrafe tributaria, dalla Convenzione tra il Ministero dell’Interno e INPS per l’accesso alla Banca dati INPS e dalla Convenzione tra il Ministero dell’Interno Dipartimento della Pubblica Sicurezza ed il Ministero delle Finanze per l’accesso al Sistema informatizzato di prevenzione amministrativa delle frodi sulle carte di pagamento (S.i.p.a.f.).

Tale modalità di accesso consente al Ministero dell’interno di effettuare un controllo sugli accessi al sistema, che si affianca al controllo sull’accesso ai dati presenti nelle banche dati, effettuato dai titolari di queste.

La impossibilità, da parte del Ministero, di effettuare il monitoraggio degli accessi al sistema comporta, oltre che un arretramento dei livelli di sicurezza precedentemente raggiunti, una potenziale incompatibilità con gli obblighi di registrazione di cui all’art. 21 del d.lgs.2018 n 51.

Del resto, l’accesso mediante CED Interforze consentirebbe di evitare il ricorso a specifiche e articolate procedure di gestione delle utenze e dei relativi profili di autorizzazione, nonché la progettazione e la messa in esercizio di apposite misure per la rilevazione di accessi anomali e per le attività di controllo interno, oltre ad elevare il livello di sicurezza dell’accesso, considerato anche il rischio connesso alla tipologia di dati disponibili nell’Archivio dei rapporti finanziari.

In ogni caso, può ritenersi ammissibile una “fase transitoria”, necessaria per la realizzazione degli opportuni interventi atti a permettere l’accesso all’applicativo mediante il CED Interforze - inclusa la definizione di nuovi profili di autorizzazione e l’attribuzione degli stessi agli operatori delle forze di polizia, in funzione della qualifica rivestita e dell’incarico svolto - durante la quale l’accesso all’applicativo “CAR” da parte degli operatori possa essere effettuato con le modalità indicate nello schema di convenzione in esame. La durata di tale fase transitoria deve essere espressamente indicata e contenuta in un tempo ragionevole, che si ritiene essere non superiore a diciotto mesi, al termine dei quali il Ministero dovrà comunicare a questa Autorità l’avvenuta dismissione delle modalità di accesso previste nel periodo transitorio ed il passaggio alla modalità di accesso tramite il CED Interforze.

Con riferimento alla procedura di autenticazione informatica, appare opportuno prevedere sistemi di strong authentication o, in alternativa, rafforzare le misure di sicurezza previste per gli utenti di 2° livello che, oltre alle prerogative degli utenti di 1° livello, possono autorizzare le richieste di accesso ai dati e visualizzare i risultati delle interrogazioni relative al centro di responsabilità cui preposti.

In ordine alla valutazione del grado di rischio del trattamento, di cui alla valutazione di impatto, pur condividendo la determinazione del rischio intrinseco per gli interessati effettuata dal Ministero (rischio medio per accesso non autorizzato e/o trattamento illecito dei dati; rischio basso per perdita distruzione accidentate o illegale dei dati e indisponibilità temporanea o prolungata di dati; rischio trascurabile per modifica non autorizzata o accidentale dei dati), si esprimono, tuttavia, riserve in ordine alla ritenuta “non elevata appetibilità dei dati oggetto di trattamento”, relativi, tra l’altro, a conti correnti, deposito titoli, carte di credito, finanziamenti, strumenti di risparmio e gestione del patrimonio, strumenti di investimento, ecc.

TUTTO CIÒ PREMESSO IL GARANTE

esprime, ai sensi dell’articolo  47, comma 1, del decreto legislativo 18 maggio 2018, n. 51,  parere favorevole sullo schema di convenzione tra l’Agenzia delle entrate ed il Ministero dell'interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari, a condizione del recepimento delle seguenti modifiche:

1) integrare l’art. 12 della convenzione, prevedendo che l’Agenzia comunica al Ministero eventuali alert generati da sistemi automatici predisposti dall’Agenzia stessa che rilevano accessi anomali;

2) prevedere che, limitatamente ad una fase transitoria - che si ritiene possa essere contenuta ragionevolmente in diciotto mesi - l’accesso all’Archivio dei rapporti finanziari avvenga con le modalità indicate nello schema di convenzione in esame e che, al termine del periodo transitorio, l’accesso dovrà avvenire tramite il CED interforze. Il Ministero dovrà comunicare a questa Autorità l’avvenuta dismissione delle modalità di accesso previste nel periodo transitorio ed il passaggio alla modalità di accesso tramite il CED Interforze.

3)  prevedere la progressiva adozione di una procedura di autenticazione informatica a due o più fattori (Strong Authentication) o, in alternativa, rafforzare le misure di sicurezza previste per gli utenti di 2° che, oltre alle prerogative degli utenti di 1° livello, possono autorizzare le richieste di accesso ai dati degli utenti di primo livello e visualizzare i risultati delle interrogazioni relative al centro di responsabilità cui sono preposti.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei