g-docweb-display Portlet

Modalità di partecipazione dei comuni all'accertamento fiscale - 25 luglio 2007 [1428047]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1428047]

Modalità di partecipazione dei comuni all´accertamento fiscale  - 25 luglio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di parere dell´Agenzia delle entrate del 22 giugno 2007, relativa allo schema di provvedimento del Direttore dell´Agenzia concernente le "modalità di partecipazione dei comuni all´accertamento fiscale ai sensi dell´art. 1, comma 2,  del decreto legge 30 settembre 2005, n. 203, convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248";

Visto l´art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO:

L´Agenzia delle entrate ha chiesto il parere del Garante in ordine ad uno schema di provvedimento che riguarda le modalità di partecipazione dei comuni all´accertamento fiscale ai sensi dell´art. 1, comma 2, del decreto legge 30 settembre 2005, n. 203, convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248, in attuazione anche dell´art. 44 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600.

Per ciò che concerne i profili di competenza del Garante, lo schema prevede quanto segue:

 

A. Trasmissione di "segnalazioni qualificate" da parte dei comuni all´Agenzia delle entrate. Ai fini della partecipazione all´accertamento fiscale, è prevista la trasmissione dai comuni all´Agenzia dei dati anagrafici e del codice fiscale o partita Iva dei soggetti in relazione ai quali verranno rilevati e segnalati fatti, atti e negozi che evidenziano, senza ulteriori elaborazioni logiche, comportamenti evasivi ed elusivi (c.d. "segnalazioni qualificate"), con l´esclusione di dati sensibili o giudiziari.

Le "segnalazioni qualificate" così individuate dallo schema in esame riguarderanno i seguenti ambiti d´intervento rilevanti per le attività istituzionali dei comuni e per quelle di controllo fiscale dell´Agenzia:

a. commercio e professioni (ad es., riguardo ai soggetti che, pur svolgendo un´attività di impresa, siano privi di partita Iva);
b. urbanistica e territorio (ad es., soggetti che abbiano partecipato, anche in qualità di professionisti o imprenditori, ad operazioni di abusivismo edilizio con riferimento a fabbricati e insediamenti non autorizzati di tipo residenziale o industriale);
c. proprietà edilizie e patrimonio immobiliare (persone fisiche nei cui confronti risulti la proprietà o diritti reali di godimento di unità immobiliari diverse da abitazioni principali, non indicate nelle dichiarazioni dei redditi, ovvero notifiche di avvisi di accertamento per omessa dichiarazione relativa alla tariffa sui rifiuti in qualità di occupante dell´immobile diverso dal titolare del diritto reale, in assenza di contratti di locazione registrati, ovvero di redditi di fabbricati dichiarati dal titolare del diritto reale ai fini dell´imposizione diretta);
d. residenze fittizie all´estero (soggetti che, pur risultando formalmente residenti all´estero, abbiano, di fatto, nel comune il domicilio ovvero la residenza ai sensi dell´art. 43, commi 1 e 2, del codice civile);
e. disponibilità di beni indicativi di capacità contributiva (persone fisiche che risultino avere la disponibilità, anche di fatto, di beni e servizi di cui alla tabella allegata al d.m. 10 settembre 1992, come sostituita dal d.m. 19 novembre 1992, ovvero altri beni e servizi di rilevante valore economico, in assenza di redditi dichiarati con riferimento a tutti i componenti del nucleo familiare del soggetto).

Le informazioni da trasmettere saranno, altresì, costituite da archivi strutturati, con preminente riferimento ai cespiti immobiliari già oggetto di accertamento definitivo ai fini dei tributi locali.

 

B. Disponibilità di informazioni per i comuni. L´Agenzia delle entrate renderà disponibili ai comuni che ne faranno richiesta dati relativi a:

a. bonifici bancari e postali per ristrutturazioni edilizie;
b. contratti di somministrazione di energia elettrica, gas e acqua disponibili in anagrafe tributaria;
c. contratti di locazione di immobili;
d. informazioni relative alle denunce di successione.

 

C. Attuazione della partecipazione all´accertamento fiscale da parte dei comuni. La partecipazione del comune all´accertamento fiscale potrà essere attuata direttamente dall´ente locale, ovvero dalle società ed enti partecipati o comunque incaricati per le attività di supporto ai controlli fiscali sui tributi comunali.

 

D. Modalità di trasmissione dei dati. Lo scambio di dati tra i comuni e l´Agenzia delle entrate avverrà tramite il sistema telematico Siatel in modalità web, sistema già utilizzato per lo scambio di informazioni tra comuni e anagrafe tributaria. Le relative specifiche tecniche e di sicurezza sono descritte nell´allegato 1 allo schema in esame, nell´ambito del quale sarà resa disponibile un´apposita funzionalità di trasmissione secondo le specifiche tecniche definite con successivo provvedimento dell´Agenzia delle entrate.

Il flusso delle informazioni trasmesse dai comuni avverrà tramite supporto cartaceo in presenza di segnalazioni di contenuto particolarmente complesso non riconducibile alle specifiche tecniche definite, ovvero nelle more dell´attuazione della previsione di cui al precedente punto.

Per quanto riguarda la conservazione delle informazioni relative alle "segnalazioni qualificate", viene precisato nella richiesta di parere che i dati verranno inseriti all´interno di una specifica area dedicata, al fine di assicurare la selettività degli accessi.

 

E. Materie di accertamento di competenza dell´Agenzia del territorio. L´Agenzia del territorio intende facilitare ai comuni, nell´ambito delle relative attività istituzionali di accertamento, l´accesso alla consultazione della banca dati delle conservatorie dei registri immobiliari e, nel rispetto della vigente normativa, predisporre le procedure di estrazione dei dati, da rendere disponibili ai comuni che ne faranno richiesta, utili per lo svolgimento dei controlli fiscali.

Le modalità per la fruizione di tali informazioni e di quelle che i comuni dovranno interscambiare con l´Agenzia del territorio, a seguito delle attività di accertamento, verranno definite con successiva determinazione del Direttore della stessa Agenzia.

Le osservazioni che seguono sono rese sulla base del presupposto che, come risulta anche dalla lettera di trasmissione dello schema per il prescritto parere di questa Autorità:

  • potranno essere oggetto di trasmissione da parte dei comuni, anche ai sensi di quanto già previsto dall´art. 44 del d.P.R. n. 600/1973, esclusivamente informazioni non sensibili e giudiziarie -ancorché costituite da archivi strutturati- qualificate, pertinenti e non eccedenti, riferibili esclusivamente a situazioni di criticità già opportunamente riscontrate a livello comunale;
  • i comuni, in ossequio ai princìpi di pertinenza e non eccedenza (art. 11 del Codice), potranno ottenere i soli dati relativi a soggetti fiscalmente domiciliati nel territorio comunale o, comunque, altrimenti giustificatamente ritenuti collegati al proprio ambito territoriale di competenza. Sul punto si prende atto, in particolare, che l´Agenzia nella nota di trasmissione dello schema ha dichiarato già di voler specificare in un´apposita circolare che i comuni avranno accesso "ai soli dati relativi ai cittadini residenti di ciascun comune";
  • l´Agenzia, come la stessa ha rappresentato nella richiesta di parere, dovrà chiarire che il trattamento dei dati da parte di società o enti partecipati o comunque incaricati alle attività di supporto ai controlli fiscali sui tributi comunali sarà condizionato alla preventiva designazione dei predetti soggetti a responsabili del trattamento (art. 29 del Codice).

OSSERVA:

In relazione ai profili concernenti la sicurezza delle trasmissioni telematiche di cui alla predetta lettera D, la delicatezza dei dati trattati e l´esigenza di mantenere una costante idoneità delle misure di sicurezza, ulteriori rispetto a quelle minime, rispetto alle potenziali minacce e all´evoluzione tecnologica, impongono all´Agenzia delle entrate di adottare misure ed accorgimenti ulteriori, effettivamente idonei ad accrescere i livelli di sicurezza applicabili al sistema Siatel, con specifico riferimento ai sistemi di autenticazione e di autorizzazione, parallelamente al cospicuo incremento previsto dei flussi di dati.

Allo stato degli atti, anche sulla base di quanto già prescritto dal Garante nel provvedimento del  26 luglio 2006 , si formulano le seguenti osservazioni sui profili informatico-tecnologici relativi al sistema di interscambio Siatel nell´ambito della partecipazione dei comuni all´accertamento fiscale, tenuto appunto conto dell´ampliamento delle funzionalità e di informazioni che saranno messe a disposizione dei comuni.

Il sistema di autenticazione degli incaricati di trattamento, pur risultando in termini generali in linea con le misure minime di sicurezza di cui all´art. 34 del Codice, deve essere integrato con misure idonee a irrobustire la procedura di autenticazione e a delimitare nel tempo, e nella localizzazione sulla rete, la possibilità di accesso ai dati.

Tali misure, se già operanti, vanno esplicitate, diversamente dovranno essere adottate entro un ragionevole lasso di tempo, e comunque non oltre il 30 novembre 2007, al fine di assicurare più elevati livelli di sicurezza.

In particolare, occorre vincolare l´accesso dei soggetti legittimamente autorizzati, direttamente o per interposizione di responsabili, per quanto tecnicamente realizzabile, alla rete d´accesso di pertinenza dell´ente e a eventuali intervalli orari/temporali predeterminati e coerenti con le finalità perseguite.

Schematicamente, devono quindi essere predisposti nel sistema Siatel strumenti e procedure per:

  1. irrobustire la procedura di autenticazione tramite l´adozione di componenti non riservate delle credenziali non facilmente riconducibili a soggetti legittimamente incaricati; l´utilizzo del codice fiscale, pur tecnicamente corretto, può prestarsi alla realizzazione di attacchi condotti dall´interno degli enti coinvolti (c.d. social engineering );
  2. controllare che gli accessi all´anagrafe tributaria abbiano origine esclusivamente dalle numerazioni di rete ip di pertinenza di ciascun ente autorizzato, implementando dei meccanismi di controllo delle liste di accesso (Acl ) con gli strumenti usualmente utilizzati per gestire la sicurezza perimetrale della propria rete;
  3. garantire che gli accessi da parte dei legittimi incaricati avvengano esclusivamente nell´ambito di intervalli temporali o di data predeterminati, definiti sulla base delle esigenze d´ufficio;
  4. garantire che gli accessi avvengano soltanto tramite l´uso di postazioni di lavoro appartenenti alla rete ip dell´ente autorizzato o/e dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell´erogatore del servizio;
  5. prevedere per determinate classi di incaricati e per alcuni tipi di trattamenti, l´adozione di profili di autorizzazione che comportino l´utilizzo di sistemi di strong authentication (ossia sistemi in grado di assicurare una protezione "robusta" dei dati), anche basata su caratteristiche biometriche.

Ciò, ferma restando l´esigenza di esaminare organicamente, in altra sede e in un più  ampio contesto, l´ulteriore incremento di livelli di sicurezza da garantire rispetto a trattamenti di dati quali quelli in esame, tenuto anche conto del menzionato intensificarsi dei flussi e degli utilizzi di dati personali, anche mediante il coinvolgimento di soggetti diversi dall´amministrazione finanziaria.

Infine, con riferimento alla lettera E, ci si riserva di esprimere il parere sul previsto decreto dell´Agenzia del territorio che interverrà a definire le modalità per la fruizione e l´interscambio delle informazioni da parte dei comuni.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell´articolo 154, commi 4 e 5, del Codice, esprime parere favorevole sullo schema di provvedimento del Direttore dell´Agenzia delle entrate concernente le "modalità di partecipazione dei comuni all´accertamento fiscale ai sensi dell´art. 1, comma 2,  del decreto legge 30 settembre 2005, n. 203, convertito, con modificazioni, dalla legge 2 dicembre 2005, n. 248", a condizione che siano predisposti nel sistema telematico Siatel strumenti e procedure per:

  1. irrobustire la procedura di autenticazione tramite l´adozione di componenti non riservate delle credenziali non facilmente riconducibili a soggetti legittimamente incaricati;
  2. controllare che gli accessi all´anagrafe tributaria abbiano origine esclusivamente dalle numerazioni di rete ip di pertinenza di ciascun ente autorizzato, implementando meccanismi di controllo delle liste di accesso (Acl ) con gli strumenti usualmente utilizzati per gestire la sicurezza perimetrale della propria rete;
  3. garantire che gli accessi da parte dei legittimi incaricati avvengano esclusivamente nell´ambito di intervalli temporali o di data predeterminati, definiti sulla base delle esigenze d´ufficio;
  4. garantire che gli accessi avvengano soltanto tramite l´uso di postazioni di lavoro appartenenti alla rete ip dell´ente autorizzato o/e dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell´erogatore del servizio;
  5. prevedere, per determinate classi di incaricati e per alcuni tipi di  trattamenti, l´adozione di profili di autorizzazione che comportino l´utilizzo di sistemi di strong authentication.

Roma, 25 luglio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1428047
Data
25/07/07

Argomenti


Tipologie

Parere del Garante


Vedi anche (10)