Nel 2008 il Garante della Privacy concluse la prima fase dell’attività ispettiva sul funzionamento dell’Anagrafe Tributaria, ravvisando alcune criticità e prescrivendo all’Agenzia delle Entrate una serie di interventi al fine di garantire un’adeguata protezione dei dati personali.
Attraverso il Provvedimento del 18 settembre 2008, infatti, il Garante prescrisse all’Agenzia delle Entrate di adottare adeguate cautele nella formalizzazione dei rapporti con gli Enti, nella gestione distribuita delle credenziali e nel monitoraggio degli accessi effettuati dagli incaricati degli Enti.
Negli anni successivi l’Agenzia delle Entrate ha rivisitato completamente l’intero processo e la piattaforma tecnologica del SIATEL, rivedendo anche le convenzioni con gli Enti utilizzatori. In tali convenzioni, gli Enti si impegnano a organizzare il processo di rilascio delle credenziali e di controllo degli accessi. L’Agenzia delle Entrate, dal canto suo, si riserva di verificare il corretto rispetto degli impegni assunti con la convenzione, attraverso controlli a campione che vengono comunicati preventivamente agli Enti.
Si riportano di seguito i documenti richiesti agli Enti in una comunicazione di preavviso della futura ispezione:
a) Atti e documentazione che diano prova dell’esistenza di una organizzazione per il trattamento dei dati personali conforme alle disposizioni del Codice in materia di protezione dei dati personali e della Convenzione, tra i quali:
– designazione degli utenti abilitati all’Anagrafe Tributaria quali incaricati del trattamento dei dati personali con il relativo profilo di abilitazione e le istruzioni per il trattamento dei dati;
– nomina di eventuali responsabili esterni del trattamento e relative istruzioni;
– informazione agli utenti del tracciamento, effettuate dall’Agenzia delle Entrate, delle operazioni svolte in Anagrafe Tributaria;
– informazione agli utenti sulle responsabilità derivanti dall’uso illegittimo dei dati dell’Anagrafe Tributaria.
b) Documentazione da cui emerga:
– l’esistenza di una procedura interna che regolamenti la gestione del flusso di comunicazione tra il Supervisore, l’Ufficio Amministrazione del personale e gli utenti amministratori locali.
– l’attività di formazione svolta dagli utenti amministratori locali nei confronti degli utenti per l’utilizzo dell’applicativo SIATEL 2 Puntofisco.
c) Documentazione che fornisca evidenza dell’attività di audit che viene effettuata dall’Ente stesse in virtù dell’art. 2 della Convenzione (rientrano nell’ambito di tale attività la verifica programmata, ed effettuata regolarmente, sulle abilitazioni esistenti, sulla congruità tra le pratiche assegnate e i dati consultati ed il monitoraggio sugli accessi effettuati, ad esempio attraverso un applicativo che segnali eventuali anomalie).
Della documentazione richiesta verrà acquisita una copia da allegare al verbale al termine della verifica in sede.
Ecco cosa occorre garantire per il rispetto degli accordi presi con la convezione:
1) le nomine di incaricati e responsabili in outsourcing del trattamento dei dati (con l’informazione dei controlli attuati dall’Agenzia delle Entrate);
2) adeguati moduli di rilascio delle credenziali e di gestione dei profili di accesso;
3) audit di verifica delle modalità di accesso all’Anagrafe Tributaria (a questo proposito, ci si può in parte basare anche sulle comunicazioni automatiche inviate dal sistema Monade);
4) certificazione dello svolgimento di sessioni formative agli incaricati (se tenute).
Come indicato all’art. 2 pto 5 della convenzione, il soggetto che ha il compito di garantire la corretta gestione della documentazione e dei processi di controllo è il Supervisore, il cui nominativo è riportato nell’allegato 1 della convezione stessa.
__________________________________
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT nella PA e nelle Aziende iscriviti alla nostra newsletter.
Per informazioni sui servizi offerti da SI.net per accompagnarti nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Segui SI.net anche su Twitter e su Facebook