Processo tributario da remoto, ok del Garante privacy: ecco le regole tecniche | Agenda Digitale

La decisione

Processo tributario da remoto, ok del Garante privacy: ecco le regole tecniche

Il Garante della privacy ha dato il via libera a due schemi di decreto del MEF relativi alle regole tecniche in materia di svolgimento delle udienze da remoto e di provvedimenti giurisdizionali: si eleva così il grado di digitalizzazione del processo tributario

02 Nov 2020
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Coordinatore Commissione Informatica Ordine Avvocati Verona

processo amministrativo telematico

Due tasselli che completano il quadro della giustizia tributaria digitale, portando il processo tributario ad un livello di digitalizzazione che non è stato ancora raggiunto negli altri settori della giustizia italiana. Il Garante della privacy infatti ha dato il proprio via libera a due schemi di decreto del Ministero dell’Economia e delle Finanze in tema di Giustizia Tributaria digitale. Il primo riguarda le regole tecnico-operative per lo svolgimento delle udienze da remoto, mentre il secondo riguarda le regole tecnico-operative per la redazione e il deposito di provvedimenti giurisdizionali digitali, tassello quest’ultimo (sinora) mancante nel processo tributario e che ha messo in difficoltà le Commissioni anche nel periodo dell’emergenza Covid. Vediamo di cosa si tratta.

L’iter normativo

La normativa in tema di processo tributario telematico era stata infatti la prima, in ordine di tempo, ad introdurre una disciplina relativa alle udienze da remoto con l’articolo 16, comma 4, del decreto-legge 23 ottobre 2018, n. 119, che prevede la possibilità di un collegamento da remoto audiovisivo tra l’aula di udienza e il “luogo del collegamento da remoto” del contribuente, del difensore, dell’ufficio impositore e dei soggetti della riscossione, nonché dei giudici tributari e del personale amministrativo delle Commissioni tributarie. L’effettiva introduzione delle udienze da remoto era però subordinata all’emanazione di “uno o più provvedimenti del Direttore Generale delle Finanze” contenenti le regole tecnico operative per consentire la partecipazione all’udienza a distanze.

Un ritardo di due anni nell’emanazione di queste regole tecniche (di cui si è percepito il peso specie durante il lockdown) ha però frenato l’evoluzione tecnologica prevista dal D.L. Oltre a ciò, il processo tributario telematico, che si presentava per certi aspetti come più “moderno” degli altri processi telematici, con il suo sistema di deposito tramite upload senza richiedere l’utilizzo di PEC o redattori, mancava ancora di una chiara disciplina circa la “digitalizzazione” dei provvedimenti dei magistrati. A entrambi i cennati limiti del processo tributario pongono rimedio gli schemi di decreto del MEF recentemente esaminati dal Garante privacy.

Il parere in tema di udienze da remoto

Con il primo parere il Garante si è espresso positivamente sullo schema di decreto direttoriale contenente le regole tecnico-operative per lo svolgimento delle udienze da remoto proposto dal MEF. La normativa in tema di processo tributario telematico, come anticipato, già dal 2018 prevedeva la possibilità di svolgere udienze da remoto, preoccupandosi di richiedere che le stesse venissero gestite con strumenti tali da assicurare la contestuale, effettiva e reciproca visibilità delle persone presenti in entrambi i luoghi e di udire quanto viene detto e che il luogo dove avviene il collegamento da remoto è equiparato all’aula di udienza.

La partecipazione all’udienza da remoto potrà essere richiesta dalle parti nel ricorso o nel primo atto difensivo ovvero con apposita istanza da depositare in segreteria e notificata alle parti costituite. La decisione di svolgere l’udienza con le modalità da remoto viene poi presa dal Presidente della Commissione e comunicata alle parti a mezzo PEC e le parti dovranno prestarvi adesione. L’atto di adesione, riferisce il MEF al Garante, è previsto come momento nel quale il difensore consente anche al trattamento dei dati connessi allo svolgimento dell’udienza da remoto (oltre a comunicare il proprio indirizzo di posta elettronica ordinaria ed un numero telefonico).

Prima dell’udienza l’ufficio di segreteria della Commissione tributaria invia all’indirizzo di posta elettronica ordinaria, previamente comunicato dalla parte, il link di collegamento da remoto per la partecipazione all’udienza a distanza. La piattaforma “prescelta” per le udienze da remoto nello schema di decreto è Skype for Business (precisamente Microsoft Skype for Business 2015 (Enterprise Edition)). I dispositivi utilizzati per creare la connessione “utilizzano infrastrutture e spazi di memoria collocati all’interno del sistema informativo della fiscalità (SIF) del Ministero dell’Economia e delle Finanze”. Le infrastrutture in particolare sono gestite da SOGEI per conto del MEF, evitando così il ricorso a soluzioni di tipo cloud che potrebbero comportare trasferimenti di dati personali verso Paesi terzi, decisione che trova il favore del Garante, specie dopo la decisione Schrems II (CGUE causa C-311/18). Quanto al trattamento dati che viene effettuato nel corso dell’udienza da remoto il MEF ha innanzitutto precisato che sia la messaggistica che il traffico audio/video sono criptati. Quindi, riferisce il MEF: “Gli unici dati personali diversi da quelli già trattati nel PTT e richiesti per lo svolgimento dell’udienza da remoto sono [..]: gli indirizzi di posta elettronica ordinaria (PEO) e i recapiti telefonici dei difensori. È evidente, quindi, che i dati personali trattati non hanno natura di dati “giudiziari” ovvero penali, ma riguardano il professionista nella sua qualità di difensore, e sono resi disponibili in quanto funzionali all’esercizio della propria attività professionale. Trattasi infatti di informazioni strumentali allo svolgimento delle udienze da remoto ed esclusivamente utilizzabili per rendere fruibile l’accesso e la partecipazione dell’udienza in modalità telematica”. In particolare, i dati serviranno per il collegamento a Skype e per raggiungere il difensore in caso di difficoltà tecniche.

Il Garante, pur evidenziando che evidentemente il Ministero tratta dati ulteriori rispetto a quelli trattati nel processo “in presenza” (problematica che viene amplificata nel caso di parte che si difende in proprio e chiede di essere ammessa a partecipare all’udienza da remoto) e che oltre agli indirizzi di posta ed ai numeri di telefono vengono trattati anche i metadati delle comunicazioni audio/video, precisa che la scelta di crittografare i dati della videoconferenza garantisce l’integrità e riservatezza dei dati. Il Garante segnala poi che dall’esame dello schema di decreto non si evince quali siano le misure tecniche e organizzative adottate dal MEF al fine di garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dati connesso con lo svolgimento dell’udienza da remoto e prescrive che tali misure tecniche e organizzative trovino individuazione e disciplina in un apposito disciplinare tecnico sulla base di un’adeguata valutazione d’impatto sulla protezione dei dati. Il Garante raccomanda infine al Ministero di curare la formazione del personale, essendo essenziale per attuare le misure di sicurezza che verranno individuate, il fatto che gli operatori acquisiscano consapevolezza circa gli strumenti utilizzati e le loro modalità di funzionamento.

Partecipazione all’udienza e firma

Venendo alla partecipazione all’udienza, questa sarà gestita tramite link (non c’è quindi autenticazione del partecipante). Ciò significa che chiunque abbia il link potrà accedere all’aula virtuale. Il Garante evidenzia la debolezza di questa soluzione e invita il MEF a modificare il decreto, prevedendo:

  • che venga generato un link diverso per ciascuna udienza a distanza e che sarà precisato ai difensori che il link sarà strettamente personale e non cedibile a terzi;
  • che venga valutata l’adozione di misure tecniche e organizzative volte ad accertare l’identità dei soggetti all’atto del collegamento per la partecipazione all’udienza a distanza.
  • che venga sottoposta ai partecipanti l’informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento (in una fase precedente l’atto di adesione, atto con cui, nelle intenzioni del MEF, il difensore dovrebbe prestare il proprio assenso al trattamento dati relativo alla celebrazione dell’udienza da remoto).
WHITEPAPER
Data warehouse nel cloud: 6 considerazioni per un passaggio efficace
Big Data
Cloud

Il Decreto esaminato dal Garante prevede anche le modalità di redazione del verbale di udienza in caso di celebrazione dell’udienza da remoto. Il verbale verrà chiaramente redatto come documento informatico e sottoscritto con firma elettronica dal Presidente o dal giudice monocratico e dal segretario dell’udienza.

Sulla natura della firma il Garante censura la scelta del MEF di includere tra le modalità di sottoscrizione quella tramite SPID (in quanto la stessa comporta una condivisione dei dati contenuti nel documento da sottoscrivere anche da parte dell’identity provider) e prescrive che le firme (digitali o qualificate) dovranno essere apposte unicamente secondo le modalità previste dal D.P.C.M. 13 novembre 2014, contenente “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici” ovvero dalle “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” quando diverranno applicabili. Nonostante queste problematiche marginali (ma ferma la necessità della loro risoluzione), il Garante esprime quindi il suo via libera al provvedimento, aprendo così una nuova fase per il processo tributario telematico, che a breve potrà offrire alle parti la possibilità di partecipare alle udienze senza doversi spostare fisicamente presso la Commissione Tributaria.

Il parere in tema di provvedimenti digitali

Ulteriore parere favorevole è quello riservato dal Garante allo schema di decreto direttoriale recante le regole tecnico-operative per la redazione e il deposito di provvedimenti giurisdizionali digitali nel processo tributario. Il decreto riguarda quindi i provvedimenti del Giudice, i verbali telematici e la loro trasmissione da parte degli ausiliari del Giudice, così come la trasmissione dei fascicoli informatici fra Commissioni e fra Commissioni e altre giurisdizioni in caso di necessità (ad esempio in Corte di Cassazione, per fare ciò saranno però necessarie convenzioni ad hoc).

È evidente infatti che l’udienza da remoto, anche nella fase di emergenza, era difficile da realizzare senza la possibilità di realizzare un verbale digitale, circostanza che ha reso più difficile per le Commissioni realizzare soluzioni per mantenere l’operatività durante la fase di lockdown. Gli atti del magistrato saranno (come gli atti delle parti) in formato PDF/A e nativi digitali e verranno firmati in PADES (mentre ai difensori è consentito scegliere fra le tipologie di firma CADES e PADES). I giudici possono lavorare dai propri dispositivi personali in locale, assistiti dalla “scrivania del giudice”, ovvero un software (a cui il Magistrato accede attraverso user ID e password, quest’ultima da variare ogni sei mesi) che presenta strumenti di ausilio alla predisposizione, sottoscrizione e invio dei documenti e consente la redazione del provvedimento in formato digitale e la sua trasmissione.

Tra i vari strumenti della scrivania del giudice è anche inclusa una funzionalità per “anonimizzare” i provvedimenti, che il Garante suggerisce, nel proprio parere, di raccordare all’art. 52 D.Lgs. 196/03, che disciplina il medesimo tema, prescrivendo i casi in cui è necessario procedere a tale anonimizzazione. Venendo ai profili di sicurezza, il Garante evidenzia come le funzionalità introdotte si collocano nell’ambito del sistema S.I.Gi.T. che, essendo parte del Sistema Informativo della fiscalità (S.I.F.), ne eredita le regole di sicurezza informatica e di protezione dei dati personali. I servizi sfruttano quindi canali sicuri, utilizzando il protocollo TLS (Transport Layer Security) v1.2, forzando la navigazione protocollo HTTPS. Per “caricare” un file su S.I.Gi.T., questo viene sottoposto a una verifica di autenticità e integrità, ad una scansione antivirus ed al rispetto dei requisiti di forma prescritti (firma digitale e formato PDF/A-1a, PDF/A-1b). Le misure introdotte sono ritenute congrue dal Garante ed in grado anzi di innalzare il livello di sicurezza ed affidabilità del processo tributario telematico, che una volta entrato in vigore il decreto gioverà della digitalizzazione dell’intero fascicolo processuale, introducendo disposizioni in linea con il Codice dell’Amministrazione Digitale ed il DPCM 13 novembre 2014 (Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici, nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni).

Conclusioni

Il processo tributario si apre con una notifica via PEC (la notifica cartacea è infatti ammissibile solo in via residuale), prosegue su di un fascicolo informatico basato su un moderno sistema di upload e che ora coinvolge attivamente sia le parti che il giudice e i suoi ausiliari, prevede la possibilità di svolgere (in via ordinaria e con una normativa che quindi sicuramente sopravviverà alla presente fase di emergenza sanitaria) le udienze da remoto e si chiuderà con un provvedimento digitale a completamento di un fascicolo integralmente digitale che verrà poi trasmesso, se necessario, al Giudice che dovrà occuparsi dell’impugnazione o riassunzione.

Resta il rammarico per i tempi di approvazione di queste misure (due anni dall’approvazione del D.L. 119/18), che faticano a tenere il passo con l’evoluzione tecnologica, basti pensare che mentre il Ministero normava con cura i requisiti di forma dei PDF, limitando la possibilità di conservazione su S.I.Gi.T. ai soli formati PDF/A-1a e PDF/A-1b, Adobe già sviluppava ed implementava i formati PDF/A-2a/b e PDF/A-3a/b, creando così nuovi motivi di confusione per i professionisti che devono creare i file che verranno poi depositati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4