g-docweb-display Portlet

Parere e autorizzazione sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante Modalità di applicazione delle disposizioni in materia di tax credit vacanze - 12 giugno 2020 [9367375]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9367375]

Parere e autorizzazione sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante Modalità di applicazione delle disposizioni in materia di tax credit vacanze - 12 giugno 2020

Registro dei provvedimenti
n. 102 del 12 giugno 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito “Regolamento”;

Visto il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, “Codice”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L’Agenzia delle entrate, con nota del 9 giugno 2020, così come integrata con nota dell’11 giugno 2020, ha sottoposto al Garante lo schema di provvedimento del Direttore concernente le “Modalità di applicazione delle disposizioni in materia di tax credit vacanze di cui all’articolo 176 del decreto-legge 19 maggio 2020, n. 34”, al fine di acquisire il parere previsto dall’art. 176, comma 6, del decreto legge 19 maggio 2020, n. 34.

In considerazione del fatto che il trattamento posto in essere dall’Agenzia presenta un rischio elevato per i diritti e le libertà delle persone fisiche, alla predetta richiesta di parere è stata allegata anche la valutazione d’impatto effettuata dall’Agenzia ai sensi dell’art. 35 del Regolamento.

1. Il quadro normativo

L’art. 176 del d.l. 34/2020, recante “Tax credit vacanze”, stabilisce che “per il periodo d'imposta 2020 è riconosciuto un credito in favore dei nuclei familiari con ISEE in corso di validità, ordinario o corrente ai sensi dell'articolo 9 del decreto del Presidente del Consiglio dei ministri 5 dicembre 2013 n. 159, non superiore a 40.000 euro, utilizzabile, dal 1° luglio al 31 dicembre 2020, per il pagamento di servizi offerti in ambito nazionale dalle imprese turistico ricettive, nonché dagli agriturismo e dai bed & breakfast in possesso dei titoli prescritti dalla normativa nazionale e regionale per l'esercizio dell'attività turistico ricettiva” (comma 1).

Tale credito (di seguito “agevolazione” o “bonus vacanze”), “utilizzabile da un solo componente per nucleo familiare” (comma 2), è riconosciuto a condizione che, tra le altre cose, le spese siano sostenute “in un'unica soluzione” e il totale del corrispettivo sia documentato da fattura elettronica o documento commerciale ai sensi dell'articolo 2 del decreto legislativo 5 agosto 2015, n. 127, il quale indichi “il codice fiscale del soggetto che intende fruire del credito” (comma 3).

L’agevolazione è fruibile nella misura dell’80 per cento “d'intesa con il fornitore presso il quale i servizi sono fruiti, sotto forma di sconto sul corrispettivo dovuto”, e nella restante misura del 20 per cento “in forma di detrazione di imposta in sede di dichiarazione dei redditi da parte dell'avente diritto” (comma 4).

Infine, il comma 6 dispone che, “con provvedimento del Direttore dell'Agenzia delle entrate, da adottare sentito l'Istituto nazionale della previdenza sociale e previo parere dell'Autorità garante per la protezione dei dati personali, sono definite le modalità applicative dei commi da 1 a 5, da eseguire anche avvalendosi di PagoPA S.p.A.”.

2. Lo schema di provvedimento

2.1. La richiesta del Tax credit vacanze

In attuazione del predetto art. 176 del d.l. 34/2020, lo schema di provvedimento in esame stabilisce che la richiesta dell’agevolazione possa essere effettuata, a decorrere dal 1° luglio 2020, da uno qualunque dei componenti del nucleo familiare esclusivamente mediante l’applicazione per dispositivi mobili denominata IO (di seguito “app IO”), resa disponibile da PagoPA,  accessibile tramite SPID o Carta di identità elettronica (CIE) (punto 2.1); tale richiesta non può essere delegata a soggetti terzi, estranei al nucleo familiare (punto 6.4).

La società PagoPA, attraverso un servizio di cooperazione applicativa messo a disposizione dall’INPS, verifica la sussistenza di una Dichiarazione sostitutiva unica (DSU) in corso di validità riferita ad un ISEE non superiore a 40.000 euro (punto 2.2). A tale interrogazione l’INPS restituisce i seguenti dati: assenza/presenza di un ISEE valido; se presente, l’informazione se tale ISEE sia sopra/sotto soglia; se sotto soglia, i dati dei componenti del nucleo familiare (nome, cognome e codice fiscale).

In caso di assenza di un ISEE valido, il richiedente viene informato della necessità di presentare preliminarmente una DSU e, successivamente, di riformulare la richiesta di accesso all’agevolazione (punto 2.3).

In caso di esito positivo, invece, vengono generati un codice univoco e un QR-code da utilizzare per la fruizione dello sconto. Tali codici, insieme all’importo massimo dell’agevolazione spettante e ai codici fiscali dei componenti del nucleo familiare, vengono successivamente inviati da PagoPA, sempre mediante un servizio di cooperazione applicativa, all’Agenzia delle entrate, ai fini delle successive verifiche in merito alla fruibilità dello sconto e della detrazione previsti (punto 2.4). Una volta acquisiti i dati, l’Agenzia conferma al richiedente, per il tramite dell’app IO, il riconoscimento dell’agevolazione, comunicando il codice univoco ed il QR-code nonché l’importo massimo dell’agevolazione spettante al suo nucleo familiare, con separata indicazione dello sconto e della detrazione (punto 2.5).

Sempre in caso di esito positivo della verifica sull’ISEE, ma in presenza di omissioni o difformità della DSU (in base a quanto stabilito dall’art. 11, comma 5, del decreto del Presidente del Consiglio dei Ministri 5 dicembre 2013, n. 159, e dall’art. 4 del decreto del Ministero del lavoro e delle politiche sociali del 9 agosto 2019), il richiedente, prima della conferma della richiesta del bonus, è informato della circostanza che l’Agenzia successivamente chiederà idonea documentazione atta a dimostrare la completezza e veridicità dei dati indicati nella DSU (punto 2.6).

2.2. La fruizione dell’agevolazione

Lo sconto e la detrazione sono utilizzabili dal componente del nucleo familiare, anche diverso dal richiedente, che risulta intestatario della fattura o del documento commerciale emesso dal fornitore (punto 3.3). Al momento del pagamento del corrispettivo presso la struttura ricettiva, il componente del nucleo familiare comunica al fornitore del servizio il codice univoco o esibisce il QR-code. Quest’ultimo lo inserisce, unitamente al codice fiscale dell’intestatario della fattura elettronica ovvero del documento commerciale e all’importo totale del corrispettivo dovuto, in un’apposita procedura web disponibile nell’area riservata del sito internet dell’Agenzia delle entrate, accessibile con diverse modalità di autenticazione (mediante l’identità SPID, le credenziali Entratel/Fisconline rilasciate dall’Agenzia stessa, la Carta Nazionale dei Servizi o le credenziali rilasciate da altri soggetti individuati con provvedimento del Direttore dell’Agenzia delle entrate) (punti 3.4 e 3.5). L’accesso a tale procedura web è consentito esclusivamente al fornitore del servizio (o a un suo gestore incaricato, nel caso di persona giuridica), senza possibilità di delegare alcun intermediario (punto 6.4).

Verificati positivamente lo stato di validità dell’agevolazione e l’importo massimo dello sconto applicabile, il fornitore conferma, a sistema, l’applicazione dello sconto (punti 3.6 e 3.7).

L’Agenzia, infine, trasmette, mediante un servizio in cooperazione applicativa, le informazioni relative all’utilizzo dello sconto a PagoPA, la quale informa, tramite l’app IO, il richiedente, con apposito messaggio, dell’avvenuta fruizione dell’agevolazione e della data di utilizzo. Sul sito istituzionale dell’Agenzia, le medesime informazioni sono rese disponibili in consultazione all’interno di un’apposita sezione del cassetto fiscale del soggetto che ha utilizzato lo sconto (punto 3.8).

2.3. Le caratteristiche del trattamento

Con specifico riferimento ai ruoli assunti in relazione al trattamento dei dati personali effettuato, lo schema di provvedimento individua l’Agenzia delle entrate come titolare del trattamento che si avvale del proprio partner tecnologico, Sogei S.p.a., in qualità di responsabile del trattamento. Per quanto concerne PagoPA, nello schema viene precisato che la stessa, nel rimanere titolare del trattamento per l’identificazione dell’utente mediante SPID o CIE, assume invece il ruolo di responsabile del trattamento con riferimento alle ulteriori attività di trattamento svolte attraverso l’app IO e per la verifica, per conto dell’Agenzia, dei requisiti ISEE con l’INPS, stabilendo che la stessa potrà avvalersi di sub-responsabili del trattamento solo su espressa autorizzazione dell’Agenzia delle entrate” (punto 6.2).Nello schema in esame viene inoltre individuato “il set informativo minimo per la corretta erogazione del bonus, per l’applicazione dello sconto, e per le verifiche preventive della spettanza del credito d’imposta e della detrazione” in relazione alle diverse categorie di interessati coinvolti, che comprende, in particolare:

per quanto concerne il richiedente e i componenti del nucleo familiare, i dati anagrafici (nome, cognome, codice fiscale), i dati di contatto del solo richiedente, la presenza/assenza di un ISEE valido sotto soglia, il codice univoco del bonus e il relativo QR-code, l’importo massimo del credito spettante e le informazioni relative alla fruizione dello sconto, alla data di utilizzo e al relativo importo;

per quanto concerne il fornitore, i dati anagrafici, i dati relativi allo sconto applicato ed al credito d’imposta maturato e i dati relativi alla eventuale cessione del credito (punto 6.2).

La definizione dei flussi informativi tra Agenzia delle entrate e INPS, nonché tra Agenzia delle entrate e PagoPA, viene rinviata al contenuto degli specifici accordi stipulati tra i predetti soggetti (punto 5.1).

Per quanto riguarda i tempi di conservazione, lo schema in esame prevede che l’Agenzia delle entrate conservi “i dati oggetto del trattamento per il tempo necessario alla gestione e all’esecuzione dell’accordo di collaborazione con PagoPA S.p.A e, comunque, fino allo spirare dei termini prescrizionali di dieci anni per eventuali pretese o responsabilità dallo stesso nascenti ovvero fino al passaggio in giudicato della pronuncia giurisdizionale”. I dati relativi ai bonus erogati saranno “conservati dall’Agenzia per lo svolgimento delle proprie attività istituzionali secondo i termini specificatamente previsti fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento, ovvero fino alla definizione di eventuali giudizi” (punto 6.3).

Viene inoltre stabilito che l’informativa sul trattamento dei dati personali e sull’esercizio dei diritti da parte degli interessati sia pubblicata sia sull’app IO che sul sito web dell’Agenzia delle entrate (punto 6.4).

2.4. Gli accordi di servizio

Unitamente allo schema di provvedimento, oltre alla valutazione d’impatto, l’Agenzia ha sottoposto all’attenzione del Garante anche gli schemi degli accordi da stipularsi tra Agenzia ed INPS e tra Agenzia e PagoPA S.p.A. e un documento denominato “Analisi privacy preliminare” relativo al trattamento di dati effettuato da PagoPA, per conto dell’Agenzia.

In particolare, l’accordo di servizio tra Agenzia e INPS riguarda lo svolgimento delle rispettive attività svolte in qualità di titolari del trattamento, relative alla messa a disposizione, da parte dell’INPS in favore dell’Agenzia e per il tramite di PagoPA, di un servizio di verifica dei requisiti ISEE. Tale accordo disciplina, tra l’altro, le modalità, i termini e la tipologia dei dati trasmessi.

L’accordo di servizio tra Agenzia e PagoPA disciplina, anche ai sensi dell’art. 28 del Regolamento, il rapporto tra le stesse finalizzato dell’erogazione del bonus, qualificando PagoPA come responsabile per le attività di trattamento sopra descritte e individuando le modalità, i termini e la tipologia dei dati trasmessi reciprocamente.

OSSERVA

La versione dello schema di provvedimento in esame tiene conto di alcune delle indicazioni fornite dall’Ufficio nel corso delle interlocuzioni con i rappresentati dell’Agenzia delle entrate, dell’INPS e di PagoPA, al fine di individuare le opportune garanzie per rendere conforme, al Regolamento e al Codice, il trattamento dei dati ivi disciplinato.
In particolare, lo schema di provvedimento in esame tiene conto delle seguenti indicazioni:

- la definizione più chiara delle finalità perseguite dall’Agenzia, specificando, in particolare, che i dati relativi alla detrazione del restante 20 per cento del bonus verranno trattati anche al fine dell’elaborazione della dichiarazione precompilata, di cui al decreto legislativo 21 novembre 2014, n. 175 (punto 6.2);

- la messa a disposizione in consultazione, nel cassetto fiscale del soggetto che ha usufruito dello sconto, dell’importo dello sconto, della data di utilizzo del bonus e dell’ammontare dell’importo detraibile (punto 3.8);

- la precisazione dei ruoli assunti dall’Agenzia delle entrate e da PagoPA con riferimento ai trattamenti effettuati per l’erogazione del bonus vacanze (punto 6.2);

- l’esatto inquadramento delle attività di trattamento svolte dall’Agenzia in qualità di erogatore di prestazioni agevolate legate all’ISEE, nell’ottica di assicurare una migliore trasparenza nei confronti degli interessati;

- l’individuazione delle corrette modalità di esercizio dei diritti previsti dal Regolamento, compreso il diritto di opposizione, in relazione alle singole fasi del trattamento;

- un’accurata analisi dei flussi tra i soggetti coinvolti nel trattamento, individuando i sub-responsabili del trattamento ed evidenziando i trasferimenti di dati verso Paesi terzi.

Permangono, tuttavia, alcuni profili di criticità, di seguito evidenziati, rispetto ai quali è necessario che venga assicurata la conformità del trattamento dei dati in esame alle garanzie previste dal Regolamento e dal Codice.

3. I rapporti con PagoPA

Nell’atto che individua PagoPA quale responsabile del trattamento è stabilito che quest’ultima provveda a cancellare i dati “salvo quanto diversamente previsto dal presente accordo o da altri accordi contrattuali con PagoPA e/o salvo PagoPA o altri enti che utilizzano la Piattaforma IO, abbiano una base giuridica valida ed autonoma, in qualità di titolare o responsabile del trattamento, per continuare a trattare tali dati” (punto 16). Si rileva, sul punto, che ai fini della prosecuzione del trattamento, il titolare dovrà valutare, sulla base del principio di responsabilizzazione, la sussistenza dei relativi presupposti di cui all’art. 28, par.3, lett.g) del Regolamento.

Un ulteriore aspetto critico dell’atto di individuazione a responsabile di PagoPA (punto 9, lett. p)) riguarda le attività “ispettive e di audit” che il titolare può svolgere nei confronti del responsabile che risultano limitate nei tempi e nelle modalità (una volta l’anno e con 10 giorni di preavviso, senza individuare alcuna eccezione in caso di particolari problematiche). Al riguardo, si rappresenta che, secondo quanto previsto dall’art. 28, par. 3, lett. h), del Regolamento, il responsabile del trattamento deve, nell’ambito del trattamento dei dati posto in essere per conto del titolare, tra l’altro, consentire e contribuire – senza alcuna limitazione – alle attività di revisione, comprese le ispezioni realizzate da quest’ultimo.

Si invita pertanto l’Agenzia a riformulare l’atto in relazione ai predetti aspetti.

4. Tempi di conservazione dei dati

Lo schema di provvedimento prevede (punto 6.3) che i dati siano conservati dall’Agenzia sino allo spirare dei termini prescrizionali di dieci anni per eventuali pretese o responsabilità nascenti dall’accordo di collaborazione con PagoPA, ovvero fino al passaggio in giudicato della pronuncia giurisdizionale, mentre per quanto riguarda lo svolgimento delle attività istituzionali dell’Agenzia è prevista la loro conservazione fino al 31 dicembre dell’ottavo anno successivo alla presentazione della dichiarazione di riferimento ed eventuali successivi giudizi.

Al riguardo, al fine di conformare il trattamento al principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e), del Regolamento, ai sensi del quale il titolare ha l’obbligo di conservare i dati per un tempo non superiore al conseguimento della finalità per cui gli stessi sono trattati, si invita l’Agenzia a valutare l’effettiva necessità di conservazione di tutte le tipologie di dati per i suindicati periodi, operando, in caso contrario, le necessarie differenziazioni.

5. Specifici profili connessi all’utilizzo dell’app IO

Come già indicato, l’Agenzia ha deciso di avvalersi, ai fini dell’erogazione del bonus, dell’app IO quale “strumento di pronto utilizzo” anche in ragione dei ristretti tempi previsti per poter usufruire del bonus stesso.

Al riguardo, si evidenzia che l’app IO viene messa a disposizione da PagoPA S.p.A., società costituita ai sensi dell’art. 8 del decreto legge 14 dicembre 2018, n. 135, e per effetto del decreto del Presidente del Consiglio dei Ministri del 19 giugno 2019, anche in considerazione di quanto disposto dall’art. 64-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82 (di seguito, “CAD”), che ha previsto che sia messo a disposizione dei cittadini un cosiddetto punto di accesso telematico -attivato presso la Presidenza del Consiglio dei Ministri ai servizi in rete della pubblica amministrazione.

In relazione al funzionamento dell’app, PagoPA ha avviato una prima fase di sperimentazione e ha inviato al Garante, in data 10 giugno 2020, la valutazione di impatto predisposta ai sensi degli art. 35 e 36, par. 5, del Regolamento e dell’art. 2-quinquesdecies del Codice riferita ai trattamenti effettuati tramite l’app IO.

In particolare, sulla base della documentazione presentata, emerge che l’app IO, scaricabile gratuitamente dai cittadini dagli app store (Apple app store o Google Play Store), è destinata a rappresentare un canale complementare agli altri canali (digitali e tradizionali) già utilizzati dagli enti pubblici per comunicare con i cittadini e fornire i propri servizi. Infatti, le pubbliche amministrazioni, in qualità di enti erogatori dei servizi, dopo la prima fase di sperimentazione   che al momento coinvolgerebbe soltanto alcuni enti - potranno utilizzare l’app IO per inviare messaggi e notifiche, ivi inclusi avvisi di pagamento, agli utenti. Questi ultimi, anche grazie alla prevista integrazione del Sistema IO con la piattaforma di cui all’art. 5, comma 2, del CAD (c.d. “Piattaforma PagoPA”), potranno eventualmente provvedere a effettuare pagamenti mediante la stessa app.

Le seguenti osservazioni sono formulate unicamente in relazione all’utilizzo dell’app IO, (e dell’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA), ai fini della sola erogazione del bonus, riservandosi ogni ulteriore valutazione all’esito della complessiva istruttoria, avviata separatamente su richiesta di Pago Pa, in merito al funzionamento del predetto punto di accesso di cui all’art. 64-bis del CAD.

5.1.  Modalità di autenticazione informatica del cittadino

Con specifico riferimento alla procedura di autenticazione informatica del cittadino basata sull’utilizzo della CIE, si prende atto che, come dichiarato nella valutazione di impatto e nella documentazione trasmessa dall’Agenzia, i connessi trattamenti di dati personali devono essere effettuati da PagoPA, in qualità di titolare del trattamento, assicurando che la predetta modalità di autenticazione avvenga in conformità ai paradigmi e protocolli previsti da Agid con riferimento all’utilizzo di SPID.

5.2. Utilizzo delle notifiche push

Nell’ambito dell’app IO è previsto che si faccia ricorso a notifiche push per l’invio di messaggi agli utenti. Tali notifiche comportano il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google, designata sub-responsabile del trattamento da PagoPA). Nel riservarsi ogni ulteriore valutazione in ordine all’utilizzo a regime delle notifiche push dell’app IO, quale punto di accesso di cui all’art. 64-bis del CAD, si rappresenta la necessità di rendere edotto l’utente della possibilità di disattivare tali notifiche sul proprio dispositivo e dei trattamenti in caso di attivazione, assicurando che il contenuto delle notifiche si limiti ad avvisare l’utente della necessità di consultare l’app senza fornire indicazioni di dettaglio relative al mittente e al contenuto del messaggio oggetto della notifica.

5.3. Attivazione automatica di altri servizi

L’abilitazione dell’app IO comporta, al momento, l’attivazione automatica di tutti i servizi esistenti all’interno della stessa, consentendo al cittadino unicamente di disabilitarli successivamente (c.d. modalità opt-out). Al riguardo, l’Agenzia ha dichiarato che “al fine di non vincolare i soggetti che utilizzeranno l’App per richiedere il bonus “tax credit vacanze” alla fruizione degli ulteriori servizi attualmente esistenti all’interno della stessa, e per i quali verranno automaticamente abilitati, PagoPA S.p.A. si è impegnata a non effettuare trattamenti dei dati forniti dagli utenti per finalità diverse dalla gestione dell’agevolazione di cui all’art. 176 del decreto-legge n. 34 del 2020. Pertanto non si prevede l’invio di messaggi di altri Enti su IO fino al provvedimento positivo del Garante su App IO”.

Nel prendere atto di quanto dichiarato dall’Agenzia, si rappresenta l’esigenza di garantire che la predetta app, utilizzata necessariamente dai cittadini per accedere al bonus, non preveda automaticamente l’adesione a tutti i servizi attualmente disponibili e alla relativa messaggistica, almeno sino al momento in cui non sarà conclusa l’istruttoria del Garante ed il relativo provvedimento ai sensi dell’art. 2-quinquiesdecies del Codice, adottato all’esito dell’individuazione delle garanzie adeguate a tutela degli interessati, a partire dal rispetto del principio di trasparenza nei confronti degli utenti (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento).

A tale scopo, si richiede pertanto a PagoPA di adottare tutte le misure tecniche e organizzative necessarie a garantire agli utenti di scegliere gli enti da cui ricevere la predetta messaggistica (c.d. modalità opt-in), anche nella fase sperimentale

5.4. Trasferimento di dati personali verso Paesi terzi

Nell’ambito dell’accordo di servizio tra l’Agenzia e PagoPA è emerso che l’utilizzo dell’app IO per l’erogazione del bonus da parte dell’Agenzia comporta il trasferimento di dati personali verso Paesi terzi. La società, infatti, per la gestione della Piattaforma IO, si avvale di alcuni fornitori (tra cui Microsoft e Google) che effettuano trattamenti al di fuori dell’Unione europea. Al riguardo, si rappresenta che, al fine di assicurare il rispetto del principio di trasparenza nei confronti degli interessati, tale eventualità deve essere rappresentata a questi ultimi (artt. 13 e 14 del Regolamento), indicando i Paesi terzi  interessati e “l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili”.

Il Garante si riserva di valutare la legittimità del trasferimento di tali dati, anche alla luce delle indicazioni che saranno fornite dalla Corte di giustizia dell’Unione europea, in ordine alla validità delle clausole contrattuali tipo utilizzabili nel contesto di trasferimenti di dati verso gli Stati Uniti, nell’ambito della decisione di cui alla causa C-311/18.

RITENUTO

Alla luce di quanto sopra, si ritiene che lo schema di provvedimento in esame individui misure tecniche e organizzative adeguate al rischio elevato prodotto dal trattamento, da integrare con le prescrizioni sopra individuate, al fine di garantire il pieno rispetto dei diritti e delle libertà fondamentali degli interessati. Nei predetti termini, si esprime, pertanto, parere favorevole sullo schema in esame e si autorizza il trattamento effettuato dall’Agenzia delle entrate ivi disciplinato, ai sensi dell’art. 2-quinquiesdecies del Codice.

Al riguardo, si rappresenta, in ogni caso, che il presente parere e la conseguente autorizzazione, sono resi con esclusivo riferimento all’utilizzo della piattaforma IO (app IO e insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA) da parte dell’Agenzia, per la finalità di erogazione del bonus.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole, nei termini di cui in motivazione, sullo schema di provvedimento del Direttore dell’Agenzia delle entrate concernente le “Modalità di applicazione delle disposizioni in materia di tax credit vacanze di cui all’articolo 176 del decreto-legge 19 maggio 2020, n. 34”;

b) ai sensi dell’art. 58, par. 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza l’Agenzia delle entrate ad effettuare il trattamento, finalizzato all’erogazione del credito di cui all’art. 176 del decreto legge 19 maggio 2020, n. 34, nel rispetto delle prescrizioni - e tenendo conto delle osservazioni - di cui ai paragrafi 3, 4 e 5.

Roma, 12 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia