[doc. web n. 9517421]

Parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate inerente l’accesso tramite la carta di identità elettronica (CIE) ai Servizi telematici dell’Agenzia delle entrate - 10 dicembre 2020

Registro dei provvedimenti
n. 258 del 10 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice;

VISTO il decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni (Codice dell’Amministrazione Digitale), di seguito CAD, e, in particolare, l’art. 64, comma 2-nonies, in base al quale “l'accesso di cui al comma 2-quater [ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica, ndr] può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi”;

VISTO il decreto legge 31 gennaio 2005, n. 7, e in particolare, l’art. 7-vicies ter, convertito, con modificazioni, dalla legge 31 marzo 2005, n. 43, che definisce le caratteristiche e le modalità per il rilascio della carta d’identità elettronica (di seguito anche CIE);

VISTA la richiesta di parere dell’Agenzia delle entrate del 6 ottobre 2020, integrata il 19 novembre 2020, sullo schema di provvedimento del Direttore recante “Accesso tramite la carta di identità elettronica (CIE) ai Servizi telematici”, corredata dalla valutazione di impatto sulla protezione dei dati e da un documento in materia di misure di sicurezza relativi ai trattamenti effettuati ai fini di “Autenticazione utenti e acquisizione dati attraverso i canali telematici”;

RILEVATO che lo schema prevede che i servizi telematici dell’Agenzia, fruibili nell’area riservata, siano disponibili anche agli utenti persone fisiche la cui identità digitale è verifica tramite la propria carta di identità elettronica, secondo quanto stabilito dal predetto art. 64, comma 2-nonies, del CAD;

RILEVATO che lo schema prevede che l’accesso all’area riservata da parte dei soggetti diversi dalle persone fisiche avviene per il tramite degli incaricati e che qualora l’utente risulti designato a operare sui servizi telematici dell’Agenzia, in nome e per conto di un soggetto giuridico, una volta autenticato tramite CIE, può scegliere di operare per quest’ultimo;

RILEVATO che l’utilizzo dei servizi per i quali è necessario possedere specifici requisiti, sarà consentito con l’autenticazione tramite CIE solo agli utenti (direttamente o tramite i loro incaricati) già registrati e che abbiano preventivamente ottenuto la specifica abilitazione (Entratel/Sister) secondo le procedure attualmente in essere;

RILEVATO che tale nuova modalità di accesso, che si affianca a quelle preesistenti, e presenta requisiti di sicurezza equivalenti a SPID di livello 3, permette di verificare l’identità dell’utente con un’affidabilità molto elevata;

RILEVATO che, in ogni caso, è prevista, nella valutazione d’impatto, la necessità di procedere a un aggiornamento periodico delle misure di sicurezza, nonché a un riesame delle valutazioni effettuate qualora insorgano eventuali variazioni degli scenari di rischio;

CONSIDERATO, inoltre, che sono oggetto di approfondimento congiunto con il Ministero dell’interno, in qualità di identity provider, il complesso delle misure tecniche e organizzative adottate al fine di assicurare un livello di sicurezza adeguato al rischio (art. 32 del Regolamento), in relazione ai diversi scenari di autenticazione mediante CIE, anche rispetto agli Enti che erogano servizi in rete fruibili tramite CIE (cc.dd. service provider);

RITENUTO che per i profili di competenza, sullo schema di provvedimento in esame non vi sono rilievi da formulare;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 36, par. 4, e 57, par. 1, lett. c), del Regolamento esprime parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante “Accesso tramite la carta di identità elettronica (CIE) ai Servizi telematici”.

Roma, il 10 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei