[doc. web n. 9921455]

Parere in merito all’integrazione della convenzione tra Agenzia delle entrate e Ministero dell'Interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari - 18 luglio 2023

Registro dei provvedimenti
n. 309 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Pasquale Stanzione, presidente, della prof.ssa Ginevra Cerrina Feroni, vicepresidente, del dott. Agostino Ghiglia, dell’avv. Guido Scorza, componenti e del dott. Fabio Mattei, segretario generale;

VISTA la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito: “Direttiva”);

VISTO il decreto legislativo 18 maggio 2018, n. 51, recante l’attuazione della direttiva (UE) 2016/680 (di seguito: “Decreto”);

VISTO, in particolare, l’articolo 47, comma 1, del Decreto, ai sensi del quale nei casi in cui le autorità di pubblica sicurezza o le forze di polizia possono acquisire, in conformità alle vigenti disposizioni di legge o di regolamento, dati, informazioni, atti e documenti da altri soggetti, l'acquisizione può essere effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli articoli da 3 a 8 del Decreto. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati necessari al perseguimento delle finalità di cui all'articolo 1, comma 2.

VISTO il decreto del Presidente della Repubblica 15 gennaio 2018 n. 15, recante il Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, di individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia;

Vista la richiesta del Ministero dell’interno con nota prot. 37691 del 5 maggio 2023;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Con provvedimento n. 163 del 29 aprile 2021, il Garante ha reso il proprio parere su uno schema di convenzione tra l’Agenzia delle entrate e il Ministero dell'interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari.

Il parere favorevole risultava condizionato al recepimento delle seguenti modifiche, di carattere prettamente tecnico-informatico:

a) integrare l’art. 12 della convenzione, prevedendo che l’Agenzia comunichi al Ministero eventuali alert generati da sistemi automatici predisposti dall’Agenzia stessa che rilevano accessi anomali;

b) prevedere che, limitatamente ad una fase transitoria – di durata contenuta ragionevolmente in diciotto mesi - l’accesso all’Archivio dei rapporti finanziari avvenga con le modalità indicate nello schema di convenzione e che, al termine del periodo transitorio, l’accesso debba avvenire tramite il CED interforze. Il Ministero doveva comunicare a questa Autorità l’avvenuta dismissione delle modalità di accesso previste nel periodo transitorio ed il passaggio alla modalità di accesso tramite il CED Interforze;

c) prevedere la progressiva adozione di una procedura di autenticazione informatica a due o più fattori (Strong Authentication) o, in alternativa, rafforzare le misure di sicurezza previste per gli utenti di 2° livello che, oltre alle prerogative degli utenti di 1° livello, possono autorizzare le richieste di accesso ai dati degli utenti di primo livello e visualizzare i risultati delle interrogazioni relative al centro di responsabilità cui sono preposti.

2. Con nota del 5 maggio 2023, il Ministero dell’Interno ha trasmesso un “atto integrativo” alla convenzione, al fine dichiarato di recepire quanto prescritto dal Garante, attraverso una soluzione tecnologica alternativa a quella indicata nel parere dall’Autorità.

In particolare, il Ministero, premettendo che l'Archivio dei rapporti finanziari costituisce una base dati consultabile dalle componenti investigative del Dipartimento della pubblica sicurezza e dalle Questure, articolazioni centrali e periferiche della Polizia di Stato - e non da tutte le Forze di polizia, nel qual caso sarebbe stato necessario il coinvolgimento del Servizio per i sistemi informativi interforze, responsabile del CED interforze - ha proposto di gestire gli accessi al predetto archivio tramite una procedura di single sign-on, gestita attraverso l’Active Directory Nazionale della Polizia di Stato – ADN-PS, di recente realizzazione.

Il single sign-on utilizza meccanismi di autenticazione multi-fattore (strong authentication) grazie all'utilizzo congiunto di credenziali di accesso e di codice OTP per tutte le richieste di autenticazione degli utenti abilitati all’archivio dei rapporti finanziari (sia di 1° sia di 2° livello).

OSSERVA

3. L’Active directory consente di definire le politiche di sicurezza da applicare ad un intero dominio e di gestire il controllo degli accessi in modo capillare, con riguardo all’autenticazione e alle autorizzazioni di tutti gli utenti del dominio. L’utilizzo di tale soluzione permette quindi al Ministero dell’Interno–Dipartimento della pubblica sicurezza di effettuare le attività di controllo e il monitoraggio sugli accessi all’archivio dei rapporti finanziari, che si affiancano ai controlli sull’accesso ai dati nella banca dati effettuati dall’Agenzia delle Entrate, prescritte dall’Autorità nel citato parere, rafforzando altresì i controlli previsti all’articolo 12 della convenzione.

Parimenti, si ritiene correttamente adempiuta la prescrizione relativa all’innalzamento del livello di sicurezza delle credenziali di accesso per gli utenti di 2° livello, stante il ricorso a multi-factor authentication per tutti gli utenti abilitati all’accesso all’archivio dei rapporti finanziari.

Si ritiene, pertanto, che la soluzione proposta consentirà al Ministero dell’Interno di tenere agevolmente sotto controllo il numero di utenti abilitati all’accesso all’archivio, verificando eventuali necessità di ulteriori utenti da abilitare, come previsto all’articolo 6 della convenzione.

4. Resta ferma la prescrizione, contenuta nel parere del Garante del 29 aprile 2021, di integrare il citato articolo 12 della convenzione prevedendo che l’Agenzia comunichi al Ministero eventuali alert generati da sistemi automatici predisposti dall’Agenzia stessa per la rilevazione di accessi anomali.

TUTTO CIÒ PREMESSO IL GARANTE

visto l’articolo 47, comma 1, del decreto legislativo 18 maggio 2018, n. 51, esprime parere favorevole, nei termini di cui in motivazione, in merito all’integrazione della convenzione tra Agenzia delle entrate e Ministero dell'Interno per disciplinare l’accesso alla sezione dell’Anagrafe tributaria denominata Archivio dei rapporti finanziari, proposta dal Ministero con nota del 5 maggio 2023.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei