13 minuti

PROCESSO TRIBUTARIO TELEMATICO: OK DEL GARANTE PRIVACY AGLI AGGIORNAMENTI TECNICI.

Necessario però rafforzare le misure a tutela della riservatezza dei dati

Il Garante per la protezione dei dati personali ha espresso parere favorevole allo schema di decreto direttoriale, predisposto dal Ministero dell’economia e delle finanze, che aggiorna l’utilizzo di strumenti informatici e telematici nel processo tributario.

Il testo modifica alcuni aspetti del funzionamento del Sistema informativo della giustizia tributaria (S.I.Gi.T.), come le modalità di sottoscrizione dei documenti informatici, la verifica dei documenti stessi e l’utilizzo della firma digitale.

Nell’esprimere parere positivo, il Garante privacy ha comunque chiesto di integrare lo schema di decreto al fine di assicurare maggiori tutele alla riservatezza dei dati delle persone interessate, adeguandolo alla normativa europea (Gdpr) e italiana in materia di privacy. Dovranno, ad esempio, essere definite le responsabilità dei soggetti coinvolti nel trattamento dei dati ed esplicitati gli obblighi informativi in caso di violazione dei dati (data breach).

Il decreto dovrà inoltre prevedere il periodico aggiornamento delle misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti.

 

[doc. web n. 9723857]

Parere su schema di decreto di modifica del decreto 4 agosto 2015, contenente le regole tecniche del Processo tributario Telematico (PTT) – 11 novembre 2021

Registro dei provvedimenti
n. 395 dell’11 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero dell’economia e delle finanze;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il Ministero dell’economia e delle finanze ha richiesto il parere del Garante su uno schema di decreto direttoriale di modifica delle specifiche tecniche (di cui al decreto direttoriale 4 agosto 2015 da ultimo modificato con il decreto direttoriale del 28 novembre 2017, previste dall’articolo 3, comma 3 del decreto del Ministro dell’Economia e delle Finanze 23 dicembre 2013, n. 163, concernente il “Regolamento recante la disciplina dell’uso di strumenti informatici e telematici nel processo tributario in attuazione delle disposizioni contenute nell’articolo 39, comma 8, del decreto legge 6 luglio 2011, n. 98, convertito dalla legge 15 luglio 2011, n. 111”.

Sullo schema del predetto decreto del 2015, che disciplina il funzionamento del Sistema informativo della giustizia tributaria (S.I.Gi.T.), il Garante ha avuto modo di formulare il proprio parere con il provvedimento n. 314 del 28 maggio 2015 (reperibile sul sito dell’Autorità, doc. web n. 4070757).
Le modifiche oggetto del presente schema di decreto si propongono di intervenire sull’affiancamento della firma PADES alla firma CADES; l’eliminazione dell’avviso di non conformità per i file in formato EML che attestano le notificazioni a mezzo PEC; sulla disponibilità a favore degli utenti, in autonomia e prima dell’invio dei file, dei servizi di controllo automatico sulla dimensione dei file, al fine di minimizzare le situazioni di scarto per presenza di virus o di firma non valida e, infine, di intervenire in materia di segnalazione e sulla possibilità di trasmettere a sistema allegati non sottoscritti digitalmente.

In particolare, lo schema interviene in materia modificando:

a) l’articolo 1 per introdurre le definizioni delle modalità di sottoscrizione dei documenti informatici in formato PAdES e CAdES, nonché dei file in formato EML contenenti messaggi di posta elettronica;

b) gli articoli 7 e 8 al fine di introdurre un meccanismo di controllo automatico della dimensione dei documenti informatici all’atto del loro deposito da parte del ricorrente e del resistente, nonché di modificare taluni dei controlli già previsti, relativi alla verifica della firma digitale;

c) l’articolo 10 per consentire il deposito di documenti informatici sottoscritti in formato PAdES, oltre al già previsto formato CAdES, e l’accettazione di documenti informatici allegati, anche se non sottoscritti con firma elettronica qualificata o con firma digitale.

RILEVATO

2. Lo schema di decreto apporta modifiche ad alcune prescrizioni tecniche del citato decreto del 4 agosto 2015 che non hanno particolare impatto sulla protezione dei dati. Da questo punto di vista pertanto il Garante non ha osservazioni da formulare sulle novelle apportate dallo schema al decreto vigente.

Nondimeno, poiché il decreto reca disposizioni anteriori alla piena efficacia del Regolamento e all’entrata in vigore del Codice novellato, alcune previsioni meritano di essere perfezionate e integrate al fine di rendere il testo pienamente conforme al mutato quadro normativo sovranazionale e nazionale (avendo cura di citare nel preambolo sia il Regolamento che il Codice).

RITENUTO

3.1 Ruolo assunto dal Ministero e dalle Commissioni tributarie

Il sistema informatico riferito alla giustizia digitale, prevede il coinvolgimento di diversi soggetti, tra i quali il Ministero, le Commissioni tributarie provinciali e regionali e le Commissioni tributarie di I e II grado di Trento e Bolzano.

Tale coinvolgimento di soggetti diversi con competenze in vario modo connesse non è privo di rilievo per i profili di protezione dati.

Si rileva al riguardo che né l’articolo 39, comma 8, del decreto legge 6 luglio 2011, n. 98, convertito in legge, con modificazioni, dall’art. 1, comma 1, della legge 15 luglio 2011, n. 111, né il decreto del Ministro dell’economia e delle finanze del 23 dicembre 2013, n. 163, né il decreto direttoriale del 4 agosto 2015 individuano con chiarezza i ruoli affidati ai diversi soggetti coinvolti e non definiscono una corretta ripartizione delle responsabilità assegnate agli stessi nel trattamento dei dati posti in essere nel sistema della giustizia digitale tributaria (titolare del trattamento, responsabile, ecc.).

A tal fine, anche per garantire il rispetto del principio di trasparenza nei confronti dell’interessato (articoli 5, par. 1, lett. a), 13, 14, 24, 26 e 28 del Regolamento), si ritiene necessario che il testo sia integrato con indicazioni puntuali della delimitazione delle rispettive sfere di responsabilità del Ministero e delle Commissioni tributarie coinvolte nei trattamenti dei dati personali ivi disciplinati, precisando altresì la natura del trattamento e, in particolare, se sia o meno riconducibile all’esercizio della funzione giurisdizionale, con specifico riguardo a:

la registrazione dei soggetti abilitati ad accedere al Sistema informativo della giustizia tributaria (cfr. art. 4 decreto 2015);

il deposito di atti e documenti informatici da parte del ricorrente e del resistente e il rilascio delle relative ricevute di accettazione (cfr. artt. 7 e 8 decreto 2015);

il deposito di atti e documenti non informatici presso la segreteria della Commissione tributaria (cfr. art. 11 decreto 2015);

la gestione del fascicolo informatico, ivi inclusa la sua formazione, consultazione e conservazione (cfr. art. 12 decreto 2015);

il pagamento del contributo unificato tributario e degli altri diritti e spese di giustizia (cfr. art. 13 decreto 2015);

trattazione giudiziaria dei procedimenti.

3.2. Sicurezza del trattamento

Si ritiene necessario integrare il provvedimento con la previsione che le misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti siano regolarmente riesaminate e aggiornate sulla base di una valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’art. 35 del Regolamento.

Le predette misure devono essere volte a garantire l’integrità e la riservatezza dei dati personali trattati – riducendo al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste –, ad attuare in modo efficace i principi di protezione dei dati, a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento, a tutelare i diritti degli interessati, nonché a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento).

Per l’individuazione in concreto di tali misure potrà anche farsi riferimento, in quanto applicabili, alle indicazioni rese dal Garante nel parere n. 134 del 15 aprile 2021 (v. par. 9) sullo schema di provvedimento del direttore generale per i sistemi informativi automatizzati del Ministero della giustizia recante le specifiche tecniche del processo telematico civile e penale (reperibile sul sito dell’Autorità, doc. web 9590273).

3.3. Gestione delle violazioni dei dati personali

Si rileva che il decreto direttoriale del 4 agosto 2015 non fornisce alcuna indicazione, ai soggetti a vario titolo coinvolti nei trattamenti ivi disciplinati (Ministero e Commissioni tributarie), in ordine alla gestione di eventuali violazioni dei dati personali (cfr. art. 4, punto 12), del Regolamento) che dovessero verificarsi a seguito di una violazione di sicurezza.

Al riguardo, tenuto conto della stretta relazione tra i diversi trattamenti di dati personali disciplinati nel decreto direttoriale del 2015, si ritiene necessario introdurre nello schema un obbligo, in capo ai predetti soggetti, di informazione reciproca qualora vengano a conoscenza di una violazione dei dati personali che possa produrre effetti anche sui trattamenti di dati personali effettuati dai diversi soggetti coinvolti in qualità di titolari (ad esempio in caso di accesso non autorizzato al Sistema informativo della giustizia tributaria). Ciò, al fine di consentire a tutti i soggetti coinvolti nel trattamento di stabilire tempestivamente se si è verificata una violazione dei dati personali, di valutare i rischi per i diritti e le libertà delle persone fisiche derivanti dalla stessa, di adottare misure per porvi rimedio e per attenuarne i possibili effetti negativi, nonché di verificare la sussistenza dei presupposti per la notifica al Garante (art. 33 del Regolamento) e, se del caso, per la comunicazione agli interessati coinvolti (art. 34 del Regolamento).

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto direttoriale di modifica delle specifiche tecniche di cui al decreto direttoriale del Ministero dell’economia e delle finanze del 4 agosto 2015, con le seguenti raccomandazioni:

a) lo schema (e per l’effetto il decreto del 2015) sia integrato con l’indicazione specifica della titolarità dei trattamenti effettuati e, in particolare, dei trattamenti dei dati connessi alla trattazione giudiziaria dei procedimenti, specificando le tipologie di trattamenti che esulano dall’esercizio della funzione propriamente giurisdizionale (punto 3.1.);

b) lo schema (e per l’effetto il decreto del 2015) sia integrato con la previsione che le misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti siano regolarmente riesaminate e aggiornate sulla base di una valutazione d’impatto sulla protezione dei dati (punto 3.2.);

c) lo schema (e per l’effetto il decreto del 2015) sia integrato con la previsione, in capo ai soggetti coinvolti, di un obbligo di informazione reciproca qualora vengano a conoscenza di una violazione dei dati personali che possa produrre effetti anche sui trattamenti di dati personali effettuati dai diversi soggetti in qualità di titolari del trattamento (punto 3.3.).

Roma, 11 novembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei