banconote2.jpgL’Anagrafe tributaria è un delicato e complesso sistema informativo al
quale ha accesso – attraverso diversi strumenti telematici (applicativi
Siatel, Puntofisco, Entratel, servizi web etc.) – un numero enorme di
utenti, tra i quali comuni, regioni, province, università, asl,
tribunali, camere di commercio, enti previdenziali, gestori telefonici,
forze di polizia, con migliaia e migliaia di punti di accesso.

Il solo
sistema di collegamento web Siatel viene utilizzato da 9.400 enti
convenzionati e 60.000 utenze, mentre Puntofisco da circa 180 enti e
18.000 utenze.

Per porre rimedio alle carenze riscontrate – che mettono a rischio i dati di tutti i contribuenti italiani – il Garante per la protezione dei dati personali ha imposto all’Agenzia delle entrate una articolata serie di misure, sia tecnologiche che organizzative, per innalzare i livelli di sicurezza degli accessi all’Anagrafe tributaria da parte degli enti esterni e rendere il trattamento dei dati effettuato conforme alle norme sulla protezione dei dati.

Queste nel dettaglio le principali misure che dovranno essere adottate dall’Agenzia delle entrate secondo una precisa tempistica (da tre mesi ad un anno, a seconda della complessità degli adempimenti).

Accessi

Ricognizione periodica degli enti che accedono all’Anagrafe tributaria e verifica delle effettiva necessità di mantenere attivi gli accessi concessi, anche riguardo al numero delle utenze. Blocco degli accessi non conformi alle norme di legge o a quanto previsto dalle convenzioni stipulate con gli enti.

Censimento aggiornato di tutti i flussi di trasferimento dei dati da e verso l’Anagrafe tributaria e di tutti gli accessi di tipo interattivo. L’Agenzia dovrà specificare per ciascun flusso o accesso l’identità dei soggetti legittimati a farlo, la base normativa, la finalità istituzionale, la natura e la qualità dei dati trasferiti o a cui si è avuto accesso, la frequenza ed il volume dei trasferimenti o degli accessi, il numero di soggetti che utilizzano la procedura.

Compartimentazione (cronologica, geografica, per tipologia) dei dati visualizzabili: ciascun utente legittimato potrà accedere ai soli dati necessari a svolgere i compiti di cui è incaricato con l’indicazione obbligatoria del numero della pratica per la quale si consulta il data base.

Adozione di sistemi di allarme per eventuali comportamenti anomali o a rischio, e controlli periodici sugli accessi degli enti esterni e sull’attività svolta da Sogei Spa.

Sistemi di autenticazione

Censimento delle postazioni dei terminali dai quali si ha accesso ai dati, in modo da realizzare procedure di autenticazione più sicure a seconda degli incaricati o dei profili di autorizzazione assegnati.

Adozione di sistemi di "autenticazione rafforzata" (password a scadenza immediata, tessere smart card dotate di Pin) per ridurre la possibilità di usi impropri, cessione o sottrazione delle credenziali di accesso.

Implementazione di un sistema di certificazione digitale per gestire l’identità elettronica dei sistemi informatici e degli utenti della banca dati.

Accessi contemporanei con le medesime credenziali solo in casi eccezionali.

Abilitazioni e autorizzazioni agli utenti

Tracciamento degli utenti che accedono via web, livello minimo di accesso ai dati con limitazioni quantitative e qualitative delle interrogazioni, anche al fine di evitare duplicazioni improprie di banche dati da parte di soggetti esterni. La gestione via web dei flussi di dati deve avvenire su canali di connessione sicuri.

Definizione di soglie relative al numero di utenti che possono essere abilitati da ciascun ente ad accedere all’Anagrafe tributaria.

Tempestiva disabilitazione all’accesso del personale adibito ad altre mansioni o non più in servizio e adeguamento costante dei profili di autorizzazione.

Nelle convenzioni che disciplinano l’accesso all’Anagrafe tributaria, l’Agenzia deve prevedere elevati requisiti di idoneità per gli "amministratori locali" (soggetti preposti all’abilitazione delle utenze all’interno dei vari enti convenzionati) e l’istituzione della figura del "supervisore unico".

Devono essere previste limitazioni orarie per gli accessi di determinate categorie di utenti.


Il Garante ha già programmato per i prossimi mesi un’ulteriore attività di controllo sul sistema informativo della fiscalità, con particolare riguardo alla struttura degli archivi, alla tipologia delle informazioni raccolte, alle modalità con le quali i dati confluiscono nel data base e alle modalità con le quali vengono trattati all’interno.

Con questa iniziativa, così articolata e ampia, il Garante intende anche anticipare l’enorme lavoro di messa in sicurezza della gestione delle banche dati tributarie e fiscali che la realizzazione del federalismo fiscale renderà sempre più complessa e strategica.

Fonte: Garante per la protezione dei dati personali.

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.