Decreto che modifica il Processo Tributario Telematico, raccomandazioni del Garante privacy

Le raccomandazioni del Garante sullo schema di decreto che modifica la disciplina del Processo tributario telematico

1. Il Decreto 4 agosto 2015 e le modifiche contenute nello schema di decreto

L’Autorità Garante per la protezione dei dati personali è recentemente intervenuta per rendere parere in relazione allo schema di decreto recante modifiche alle disposizioni contenute nel decreto 4 agosto 2015 relativo alle regole tecniche del Processo tributario telematico.
>> Leggi il parere  11 novembre 2021

Il suddetto Decreto del Ministero dell’Economia e delle Finanze del 4 agosto 2015 (una delle principali normative in ambito di giustizia digitale), contenente le specifiche tecniche relative all’uso di strumenti informatici e telematici nel processo tributario, disciplina in particolare le seguenti operazioni da compiersi all’interno del processo tributario telematico:

  1. Registrazione e accesso al S.I.Gi.T.;
  2. Notificazioni e comunicazioni;
  3. Costituzione in giudizio;
  4. Formazione e consultazione del fascicolo informatico;
  5. Deposito di atti e documenti informatici successivi alla costituzione in giudizio;
  6. Pagamento del contributo unificato tributario.

Dopo sei anni dall’introduzione della normativa, vista la necessità di interventi correttivi e di aggiornamento in materia, il parare del Garante è stato centrale al fine di consentire un migliore adeguamento ed aggiornamento delle regole tecniche del processo tributario telematico alla normativa vigente in materia di privacy.

Infatti, lo schema di decreto, sottoposto all’attenzione del Garante, contiene correttivi previsti proprio per meglio garantire il rispetto della normativa sulla protezione dei dati personali. In particolare, le modifiche che lo schema di decreto intende apportare riguardano principalmente:

  • l’affiancamento della firma PADES alla firma CADES”;
  • “l’eliminazione dell’’avviso di non conformità per i file in formato EML che attestano le notificazioni a mezzo PEC”;
  • “la disponibilità a favore degli utenti (…) dei servizi di controllo automatico sulla dimensione dei file, al fine di minimizzare le situazioni di scarto per presenza di virus o di firma non valida”;
  • “intervenire in materia di segnalazione e sulla possibilità di trasmettere a sistema allegati non sottoscritti digitalmente”.

Per approfondimenti consigliamo il volume “Processo tributario e processo tributario telematico” edito da Maggioli Editore.

Si tratta di un manuale di accentuata utilità operativa, che evidenzia le singole fasi del Processo Tributario Telematico ed i relativi atti, riportati anche online, in versione di formulario personalizzabile, con la documentazione normativa e tariffaria.
>> Clicca QUI per maggiori informazioni


2. La valutazione del Garante

In merito alle modifiche che sono contenute nello schema di decreto che è stato sottoposto all’attenzione del Garante, l’autorità ha ritenuto di non dover evidenziare particolari problematiche in quanto le novelle apportate al Decreto del 4 agosto 2015 non creano particolare impatto sulla protezione dei dati.

Tuttavia, come riportato nel parere oggetto di nostra attenzione, il Garante ha osservato che alcune previsioni necessitano di alcune integrazioni allo scopo di permettere una migliore conformità del testo al quadro normativo vigente a livello nazionale e sovranazionale.

  • In considerazione di ciò, infatti, l’Autorità ha posto attenzione alla previsione, contenuta nel decreto in oggetto, del coinvolgimento di diversi soggetti (tra i quali il Ministero, le Commissioni tributarie provinciali e regionali, le Commissioni tributarie di I e II grado di Trento e Bolzano). In riferimento a tali soggetti, il Garante ha osservato che nessuna delle normative citate ha mai provveduto ad individuarne chiaramente il ruolo, né è stata effettuata la ripartizione delle responsabilità, assegnate ad ognuno di questi soggetti, nel procedimento di trattamento dei dati che viene posto in essere nel sistema di giustizia digitale tributaria.

Secondo il Garante, è necessario, invece, individuare precisamente i ruoli dei soggetti sopra richiamati e coinvolti nelle varie operazioni del processo tributario telematico descritte in precedenza, in quanto sarà necessario comprendere chiaramente, ad esempio, quale di essi viene indicato come titolare e quale, invece, come responsabile del trattamento, ossia rispettivamente colui che viene indicato per stabilire finalità e modalità del trattamento dei dati personali e colui, invece che agisce per conto del titolare.

Inoltre, il Garante ha osservato che la delimitazione del ruolo e delle responsabilità è necessaria al fine di garantire un adeguato rispetto del principio di trasparenza, (ex art. 5, par. 1, lett. a) GDPR), in virtù del quale non solo le informazioni e le comunicazioni relative al trattamento dei dati personali devono essere facilmente accessibili e comprensibili, ma è anche richiesto che l’identità del titolare del trattamento e le finalità siano chiare allo scopo di garantire un trattamento corretto e trasparente.

  • Ancora, il Garante ha osservato che all’interno del provvedimento è necessaria l’integrazione di misure finalizzate a garantire la conformità delle previsioni contenute nell’art. 35 del GDPR. Detto articolo, rubricato “Valutazione d’impatto sulla protezione dei dati”, richiede uno specifico adempimento che grava sul titolare. In particolare, prima di iniziare una procedura di trattamento dei dati ritenuto rischioso per i diritti e per le libertà delle persone fisiche, deve essere compiuta tale procedura di valutazione degli eventuali rischi che potrebbero realizzarsi a danno degli interessati. Ciò si può verificare quando sia implicato, ad esempio, l’uso di nuove tecnologie durante il procedimento di raccolta e trattamento dei dati.

All’esito della valutazione posta in essere è possibile prendere in considerazione le misure opportune da adottare per dimostrare che sono state rispettate le disposizioni contenute nel GDPR e, dunque, per garantire l’integrità e la riservatezza dei dati personali trattai “al fine di ridurre al minimo i rischi di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità previste”.

A tal fine, il Garante menziona, come riferimento ai fini dell’individuazione di tali misure da applicare, il proprio precedente parere che conteneva indicazioni in merito (ossia il parere n. 134 del 15 aprile 2015).

Infine, l’Autorità ha ritenuto che sia necessario, innanzitutto, integrare lo schema attraverso l’inserimento di un obbligo di informazione reciproca, nel caso di violazione dei dati personali, in capo ai soggetti coinvolti a vario titolo nel trattamento dei dati disciplinato all’interno del Decreto. Inoltre, sempre in caso di violazione dei dati, è necessario prevedere misure idonee a porre rimedio e attuare i possibili rimedi individuati al fine di attenuare gli effetti negativi.

In conclusione e raccomandando al Ministero il recepimento delle raccomandazioni di cui sopra, il Garante si è espresso favorevolmente rispetto allo schema di Decreto sottoposto alla sua attenzione.

Potrebbero interessarti i seguenti articoli:

Volume consigliato:

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento