Le regole

Processo tributario telematico, come proteggere i dati: ecco tutte le richieste del Garante privacy

Il Ministero dell’economia e delle finanze ha chiesto al Garante privacy un parere sulle possibili modifiche delle specifiche tecniche del processo tributario telematico, per conformità alla normativa sulla data protection: il Garante si è espresso con richieste di modifiche e raccomandazioni

17 Feb 2022
Ione Ferranti

Studio legale Ferranti

Photo by Tingey Injury Law Firm on Unsplash

L’uso di strumenti informatici e telematici nel processo solleva questioni di sicurezza dei dati e dei sistemi e, quindi, di protezione dei dati personali, anche in considerazione delle particolarità dei dati giudiziari. Il Garante della privacy viene interpellato per esprimere il proprio parere ogni volta che si rende necessario apportare modifiche alla normativa in materia: ciò è accaduto anche riguardo al processo tributario telematico.

Infatti, il Ministero dell’economia e delle finanze ha domandato al Garante della privacy un parere su uno schema di decreto direttoriale di modifica delle specifiche tecniche relative al processo tributario telematico. Il Garante ha dato il via libera alle modifiche formulando però alcune raccomandazioni.

Privacy e processo tributario telematico, cosa cambia dopo l’ok del Garante

Processo tributario telematico, le modifiche chieste dal Garante privacy

Il Ministero dell’economia e delle finanze ha richiesto il parere del Garante su uno schema di decreto direttoriale di modifica delle specifiche tecniche (di cui al decreto direttoriale 4.8.2015 da ultimo modificato con il decreto direttoriale del 28.11.2017), previste dall’art. 3, comma 3 del decreto del Ministro dell’Economia e delle Finanze 23.12.2013, n. 163, concernente il Regolamento recante la disciplina dell’uso di strumenti informatici e telematici nel processo tributario in attuazione delle disposizioni contenute nell’art. 39, comma 8, d.l. 6.7.2011, n. 98, conv. l. 15.7.2011, n. 111.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Va ricordato, sinteticamente, che per potere eseguire il deposito del ricorso/appello e degli altri atti processuali in modalità telematica è necessario registrarsi all’applicazione processo tributario telematico (“p.t.t.”) del Sistema informativo della Giustizia Tributaria (S.I.Gi.T.). Per la registrazione al p.t.t. è indispensabile avere: la connessione a Internet, la firma digitale e la casella di p.e.c. A seguito della registrazione, è possibile accedere al p.t.t. per la trasmissione dei documenti/atti (tramite un sistema di upload) i quali vanno a costituire il fascicolo processuale informatico, consultabile online dal giudice e dalle parti del processo (contribuenti, professionisti, enti impositori).

Sullo schema del predetto decreto 4.8.2015, che disciplina il funzionamento del Sistema informativo della giustizia tributaria (S.I.Gi.T.), il Garante ha già formulato il proprio parere con il provvedimento n. 314 del 28.5.2015.

Gli interventi necessari

Le nuove modifiche oggetto di parere si propongono di intervenire su:

  • l’affiancamento della firma PADES alla firma CADES;
  • l’eliminazione dell’avviso di non conformità per i file in formato EML che attestano le notificazioni a mezzo PEC;
  • sulla disponibilità a favore degli utenti, in autonomia e prima dell’invio dei file, dei servizi di controllo automatico sulla dimensione dei file, al fine di minimizzare le situazioni di scarto per presenza di virus o di firma non valida e, infine, di intervenire in materia di segnalazione e sulla possibilità di trasmettere a sistema allegati non sottoscritti digitalmente.

Più specificamente, si interviene in materia modificando:

  1. l’art. 1 per introdurre le definizioni delle modalità di sottoscrizione dei documenti informatici in formato PAdES e CAdES, nonché dei file in formato EML contenenti messaggi di posta elettronica;
  2. gli artt. 7 e 8 al fine di introdurre un meccanismo di controllo automatico della dimensione dei documenti informatici all’atto del loro deposito da parte del ricorrente e del resistente, nonché di modificare taluni dei controlli già previsti, relativi alla verifica della firma digitale;
  3. l’art. 10 per consentire il deposito di documenti informatici sottoscritti in formato PAdES, oltre al già previsto formato CAdES, e l’accettazione di documenti informatici allegati, anche se non sottoscritti con firma elettronica qualificata o con firma digitale.

Le modifiche apportate alle regole tecniche mirano essenzialmente a correggere alcune storture presenti nella disciplina del p.t.t. Finora, nel p.t.t. la firma digitale doveva essere apposta con modalità CADES BES e il file doveva avere la seguente denominazione: <nome file libero>.pdf.p7m. Sinora, la prova della notifica doveva essere fornita salvando la ricevuta di accettazione e di consegna in formato pdf, firmandola digitalmente e depositandola in allegato al ricorso. Tale modalità di prova si rendeva necessaria perché il p.t.t. non prevedeva il deposito di file con estensione .EML o.MSG.

Pertanto, lo schema di decreto apporta modifiche ad alcune prescrizioni tecniche del decreto del 4.8.2015 che non hanno particolare impatto sulla protezione dei dati e, di conseguenza, il Garante non ha formulato particolari osservazioni sulle recenti novelle apportate dallo schema al decreto vigente. Tuttavia, poiché il decreto reca disposizioni anteriori alla piena efficacia del Codice italiano della privacy (d.lgs n. 196/2003 come modificato dal d.lgs n. 101/2018) e del Reg. UE n. 2016/679, il Garante fa alcune precisazioni al fine di rendere il testo delle norme pienamente conforme al mutato quadro normativo sovranazionale e nazionale.

Il ruolo di Ministero e Commissioni tributarie

Il sistema informatico riferito alla giustizia digitale prevede il coinvolgimento di diversi soggetti, tra i quali il Ministero, le Commissioni tributarie provinciali e regionali e le Commissioni tributarie di I e II grado di Trento e Bolzano. Tale coinvolgimento di soggetti diversi con competenze in vario modo connesse non è privo di rilievo per i profili di protezione dati.

Il Garante rileva al riguardo che né l’art. 39, comma 8, del d.l. 6.7.2011, n. 98, conv. in legge, con modif., dall’art. 1, comma 1, l. 15.7.2011, n. 111, né il decreto del Ministro dell’economia e delle finanze del 23.12.2013, n. 163, né il decreto direttoriale del 4.8.2015 individuano con chiarezza i ruoli affidati ai diversi soggetti coinvolti e non definiscono una corretta ripartizione delle responsabilità assegnate agli stessi nel trattamento dei dati posti in essere nel sistema della giustizia digitale tributaria (titolare del trattamento, responsabile, ecc.).

A tal fine, anche per garantire il rispetto del principio di trasparenza nei confronti dell’interessato (artt. 5, par. 1, lett. a), 13, 14, 24, 26 e 28 Reg. UE n. 2016/679), il Garante ritiene necessario che il testo sia integrato con indicazioni puntuali della delimitazione delle rispettive sfere di responsabilità del Ministero e delle Commissioni tributarie coinvolte nei trattamenti dei dati personali ivi disciplinati, precisando altresì la natura del trattamento e, in particolare, se sia o meno riconducibile all’esercizio della funzione giurisdizionale, con specifico riguardo a:

  • la registrazione dei soggetti abilitati ad accedere al Sistema informativo della giustizia tributaria (cfr. art. 4 decreto 4.8.2015);
  • il deposito di atti e documenti informatici da parte del ricorrente e del resistente e il rilascio delle relative ricevute di accettazione (cfr. artt. 7 e 8 decreto 4.8.2015);
  • il deposito di atti e documenti non informatici presso la segreteria della Commissione tributaria (cfr. art. 11 decreto 4.8.2015);
  • la gestione del fascicolo informatico, ivi inclusa la sua formazione, consultazione e conservazione (cfr. art. 12 decreto 4.8.2015);
  • il pagamento del contributo unificato tributario e degli altri diritti e spese di giustizia (cfr. art. 13 decreto 4.8.2015);
  • trattazione giudiziaria dei procedimenti.

Sicurezza del trattamento e revisione periodica

Il Garante della privacy ritiene necessario integrare il provvedimento con la previsione che le misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti siano regolarmente riesaminate e aggiornate sulla base di una valutazione d’impatto sulla protezione dei dati da effettuarsi ai sensi dell’art. 35 Reg. UE n. 2016/679.

Le predette misure devono essere volte a garantire l’integrità e la riservatezza dei dati personali trattati – riducendo al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste – ad attuare in modo efficace i principi di protezione dei dati, a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Reg. UE n. 2016/679, a tutelare i diritti degli interessati, nonché a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. artt. 5, par. 1, lett. f), 24, 25 e 32 Reg. UE n. 2016/679).

Per l’individuazione in concreto di tali misure potrà anche farsi riferimento, in quanto applicabili, alle indicazioni rese dal Garante nel parere n. 134 del 15.4.2021 (v. par. 9) sullo schema di provvedimento del direttore generale per i sistemi informativi automatizzati del Ministero della giustizia recante le specifiche tecniche del processo telematico civile e penale.

Come gestire i data breach

Il decreto direttoriale del 4.8.2015 non fornisce alcuna indicazione, ai soggetti a vario titolo coinvolti nei trattamenti ivi disciplinati (Ministero e Commissioni tributarie), in ordine alla gestione di eventuali violazioni dei dati personali (cfr. art. 4 punto 12) Reg. UE n. 2016/679) che dovessero verificarsi a seguito di una violazione di sicurezza.

Al riguardo, tenuto conto della stretta relazione tra i diversi trattamenti di dati personali disciplinati nel decreto direttoriale 4.8.2015, il Garante ritiene necessario introdurre nello schema un obbligo, in capo ai predetti soggetti, di informazione reciproca qualora vengano a conoscenza di una violazione dei dati personali che possa produrre effetti anche sui trattamenti di dati personali effettuati dai diversi soggetti coinvolti in qualità di titolari (ad esempio in caso di accesso non autorizzato al Sistema informativo della giustizia tributaria). Ciò, al fine di consentire a tutti i soggetti coinvolti nel trattamento di stabilire tempestivamente se si è verificata una violazione dei dati personali, di valutare i rischi per i diritti e le libertà delle persone fisiche derivanti dalla stessa, di adottare misure per porvi rimedio e per attenuarne i possibili effetti negativi, nonché di verificare la sussistenza dei presupposti per la notifica al Garante (art. 33 Reg. UE n. 2016/679) e, se del caso, per la comunicazione agli interessati coinvolti (art. 34 Reg. UE n. 2016/679).

Le raccomandazioni del Garante della privacy

Ai sensi dell’art. 57 par. 1 lett. c) Reg. UE n. 2016/679, il Garante esprime parere favorevole sullo schema di decreto direttoriale di modifica delle specifiche tecniche di cui al decreto direttoriale del Ministero dell’economia e delle finanze del 4.8.2015, con le seguenti raccomandazioni:

  1. lo schema (e per l’effetto il decreto 4.8.2015) va integrato con l’indicazione specifica della titolarità dei trattamenti effettuati e, in particolare, dei trattamenti dei dati connessi alla trattazione giudiziaria dei procedimenti, specificando le tipologie di trattamenti che esulano dall’esercizio della funzione propriamente giurisdizionale (punto 3.1.);
  2. lo schema (e per l’effetto il decreto 4.8.2015) va integrato con la previsione che le misure tecniche e organizzative adottate al fine di garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti siano regolarmente riesaminate e aggiornate sulla base di una valutazione d’impatto sulla protezione dei dati (punto 3.2.);
  3. lo schema (e per l’effetto il decreto 4.8.2015) va integrato con la previsione, in capo ai soggetti coinvolti, di un obbligo di informazione reciproca qualora vengano a conoscenza di una violazione dei dati personali che possa produrre effetti anche sui trattamenti di dati personali effettuati dai diversi soggetti in qualità di titolari del trattamento (punto 3.3.).

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 2