Alla luce delle nuove disposizioni emanate dal Garante della Privacy, l'Agenzia delle Entrate ha disposto l'obbligo, entro il 31 agosto 2009, di comunicare i nominativi dei "gestori incaricati", cioè coloro che di fatto amministrano l'accesso ai servizi telematici. Tali soggetti dovranno poi comunicare al sistema informatico gli "operatori incaricati"; quali obblighi comporta tale segnalazione per quei soggetti che come precisato dalla circolare n. 30/E del 25 giugno 2009 dell'Agenzia delle Entrate hanno il compito di utilizzare i servizi telematici in nome e per conto dell'ente che li ha autorizzati?

L'Anagrafe tributaria è un delicato sistema informativo al quale ha accesso - attraverso diversi strumenti telematici (applicativi Siatel, Puntofisco, Entratel, Fisconline, servizi web, ecc.) - un numero enorme di utenti, tra i quali comuni, regioni, province, università, asl, tribunali, camere di commercio, enti previdenziali, gestori telefonici, forze di polizia, con migliaia di punti di accesso.
Questa banca dati secondo il Garante presenta molti punti critici, in particolare:

• mancata conoscenza del numero complessivo degli utenti che accedono al sistema informativo e della loro effettiva identità;
• scarsa capacità di monitoraggio su eventuali accessi anomali o utilizzi impropri di password e credenziali;
• inadeguate misure tecnologiche a protezione dei dati contenuti nel data base. 

Ciò posto, l'Autorità, con un articolato provvedimento del 18 settembre 2008 (al quale si rinvia), ha dettato alcune prescrizioni in materia di sicurezza e di accessi:

• password a scadenza immediata;
• divieto di utilizzo di credenziali "generiche" di cui sono attualmente titolari i soggetti diversi dalle persone fisiche;
• attribuzione di utenze telematiche idonee a identificare direttamente ogni singolo incaricato che accede e opera in nome e per conto della società o dell'ente;
• ricognizione periodica degli enti che accedono all'Anagrafe e verifica delle effettiva necessità di mantenere attivi gli accessi concessi, 

sono solo alcuni degli obblighi dettati dal Garante, ai quali l'AdE si è adeguata con il provvedimento del 10 giugno 2009 che prevede un puntuale piano di «password policy» per i privati e gli enti pubblici abilitati all'accesso ai servizi telematici dell'Anagrafe e l'attribuzione di utenze che consentano di identificare direttamente ogni singolo incaricato.

La circolare n. 30/E dell'Agenzia delle Entrate contiene l'agenda di tutta l'operazione (iniziata a febbraio) e fornisce istruzioni operative ai suoi uffici in materia di abilitazioni ai servizi in rete. Uno degli aspetti fondamentali evidenziati dal Garante per la privacy è, come si diceva, il divieto di utilizzo di credenziali generiche ; pertanto la circolare n. 30/E dispone che i rappresentanti legali o negoziali dei soggetti diversi dalle persone fisiche (PNF), cioè enti, società, studi professionali, CAF, P.A., ecc., hanno tempo fino al 31 agosto 2009 per comunicare all'Agenzia i nomi dei «gestori incaricati» (da un minimo di 1 a un massimo di 4 per ciascuna «utenza telematica»), ossia delle persone fisiche designate per amministrare le liste degli «operatori incaricati» a utilizzare in nome e per conto della PNF i servizi telematici - cioè i soggetti che compiono effettivamente operazioni all'interno del sito dei servizi telematici - dato che a partire dal 1° settembre tutte le «credenziali generiche» saranno disattivate dall'Agenzia.

Le abilitazioni in possesso delle PNF che non avranno comunicato i nominativi dei gestori, saranno revocate d'ufficio dal 1° novembre 2009. La comunicazione deve essere effettuata dal rappresentante della PNF risultante in Anagrafe e può avvenire telematicamente o su modello cartaceo.

I rappresentanti delle PNF devono possedere autonoma abilitazione al canale Entratel o a Fisconline, a seconda dei requisiti posseduti ai fini della trasmissione telematica delle dichiarazioni fiscali. Al riguardo si rammenta che, come precisato nel provvedimento dell'Agenzia delle Entrate del 10 giugno 2009, concernente le nuove modalità di accesso e abilitazione ai servizi telematici, i soggetti abilitati al servizio Entratel non possono essere, in nessun caso, contemporaneamente titolari dell'abilitazione al servizio Fisconline e viceversa.

Anche le persone fisiche, titolari di abilitazione al canale Entratel, possono avvalersi del nuovo sistema se, in ragione del particolare assetto organizzativo adottato dall'utente nell'esercizio della propria attività professionale (es. professionisti che si avvalgono di collaboratori), si rende opportuna o necessaria l'individuazione del soggetto che provvede fisicamente alla transazione telematica. Dette persone fisiche possono procedere alla comunicazione dei «gestori incaricati» rivolgendosi all'ufficio competente dell'Agenzia delle entrate; ma anche per essi sarà presto resa disponibile una funzione online che permetterà di effettuare la comunicazione.

Facendo l'esempio pratico di un professionista iscritto all'albo professionale di riferimento e abilitato, per obbligo normativo, al servizio Entratel, se questi è il legale rappresentante di uno studio professionale costituito sotto forma di Srl viene identificato come il «gestore» e deve designare tutti i propri dipendenti come «operatori».

I dipendenti dello studio si dovranno iscrivere a Entratel e per accedere all'Anagrafe dovranno attendere l'arrivo per posta del PIN. Ad ogni accesso per la presentazione telematica delle dichiarazioni ogni singolo operatore dovrà utilizzare il proprio codice PIN (anzichè il codice della Srl) e dovrà comunicare che sta operando per conto dello studio.

 

E’ stata spostata al 15 dicembre 2009 l’efficacia del provvedimento generale del Garante della privacy sulla figura dell’amministratore di sistema. Recependo alcune indicazioni provenienti da associazioni di categoria, il Garante ha inoltre parzialmente modificato il provvedimento stesso.

APPROFONDIMENTI

Le modifiche apportate dal nuovo provvedimento non appaiono così rilevanti e non vanno certamente nella direzione, di una sua più ampia semplificazione, da noi richiesta. Alcuna modificazione, ad esempio, è stata introdotta sulla registrazione degli accessi degli amministratori di sistema, sulle modalità di controllo periodico delle attività dell’amministratore ed anche sull’esatta portata dei casi di esclusione per trattamenti con finalità amministrativo-contabili. Aspetti particolarmente dibattuti sui quali era stata richiesta al Garante una forte rivisitazione del provvedimento.

Le modifiche introdotte dal nuovo provvedimento si limitano, quindi, a prevedere:

• un obbligo generalizzato per tutte le imprese di riportare in un documento interno, da tenere aggiornato e disponibile a richiesta nel caso di accertamenti, gli estremi identificativi delle persone fisiche nominate amministratori di sistema;
• la possibilità di estendere determinati oneri previsti nel provvedimento ai responsabili della privacy. In particolare, viene stabilito che, nel caso di affidamento in outsourcing dei servizi di amministratore di sistema, il titolare od il responsabile esterno debbano conservare, per ogni evenienza, gli estremi identificativi delle persone fisiche preposte (della propria struttura) quali amministratori di sistema. Inoltre, viene estesa ai responsabili l’onere di verifica, con cadenza almeno annuale, delle attività compiute dagli amministratori di sistema. Gli ulteriori compiti potranno essere attribuiti ai responsabili nella lettera di loro designazione o tramite opportune clausole contrattuali, come potrebbe accadere, in quest’ultimo caso, nei rapporti con le società a cui sono stati affidati i servizi in outsourcing.

L'attacco finale alla democrazia è iniziato! Berlusconi e i suoi sferrano il colpo definitivo alla libertà della rete internet per metterla sotto controllo. Ieri nel voto finale al Senato che ha approvato il cosiddetto pacchetto sicurezza (disegno di legge 733), tra gli altri provvedimenti scellerati come l'obbligo di denuncia per i medici dei pazienti che sono immigrati clandestini e la schedatura dei senza tetto, con un emendamento del senatore Gianpiero D'Alia (UDC), è stato introdotto l'articolo 50-bis, "Repressione di attività di apologia o istigazione a delinquere compiuta a mezzo internet". Il testo la prossima settimana approderà alla Camera. E nel testo approdato alla Camera l'articolo è diventato il nr. 60.

Anche se il senatore Gianpiero D'Alia (UDC) non fa parte della maggioranza al Governo, questo la dice lunga sulla trasversalità del disegno liberticida della "Casta" che non vuole scollarsi dal potere. In pratica se un qualunque cittadino che magari scrive un blog dovesse invitare a disobbedire a una legge che ritiene ingiusta, i provider dovranno bloccarlo. Questo provvedimento può obbligare i provider a oscurare un sito ovunque si trovi, anche se all'estero. Il Ministro dell'interno, in seguito a comunicazione dell'autorità giudiziaria, può disporre con proprio decreto l'interruzione della attività del blogger, ordinando ai fornitori di connettività alla rete internet di utilizzare gli appositi strumenti di filtraggio necessari a tal fine. L'attività di filtraggio imposta dovrebbe avvenire entro il termine di 24 ore.

La violazione di tale obbligo comporta una sanzione amministrativa pecuniaria da euro 50.000 a euro 250.000 per i provider e il carcere per i blogger da 1 a 5 anni per l'istigazione a delinquere e per l'apologia di reato, da 6 mesi a 5 anni per l'istigazione alla disobbedienza delle leggi di ordine pubblico o all'odio fra le classi sociali. Immaginate come potrebbero essere ripuliti i motori di ricerca da tutti i link scomodi per la Casta con questa legge? Si stanno dotando delle armi per bloccare in Italia Facebook, Youtube, il blog di Beppe Grillo e tutta l'informazione libera che viaggia in rete e che nel nostro Paese è ormai l'unica fonte informativa non censurata.

Vi ricordo che il nostro è l'unico Paese al mondo, dove una media company, Mediaset, ha chiesto 500 milioni di risarcimento a YouTube. Vi rendete conto?

Quindi il Governo interviene per l'ennesima volta, in una materia che vede un'impresa del presidente del Consiglio in conflitto giudiziario e d'interessi. Dopo la proposta di legge Cassinelli e l'istituzione di una commissione contro la pirateria digitale e multimediale che tra poco meno di 60 giorni dovrà presentare al Parlamento un testo di legge su questa materia, questo emendamento al "pacchetto sicurezza" di fatto rende esplicito il progetto del Governo di "normalizzare" il fenomeno che intorno ad internet sta facendo crescere un sistema di relazioni e informazioni sempre più capillari che non si riesce a dominare. Obama ha vinto le elezioni grazie ad internet?

Chi non può farlo pensa bene di censurarlo e di far diventare l'Italia come la Cina e la Birmania. Oggi gli unici media che hanno fatto rimbalzare questa notizia sono stati Beppe Grillo dalle colonne del suo blog e la rivista specializzata Punto Informatico. Fate girare questa notizia il più possibile. E' ora di svegliare le coscienze addormentate degli italiani. E' in gioco davvero la democrazia!!

Esia Software sta promuovendo un sondaggio rivolto a 10.000 aziende italiane per fare una fotografia dello stato dell'IT nell'ambito lavorativo. Con il susseguirsi di leggi e normative si è ormai imposto un modello di amministrazione del sistema informatico particolarmente complicato poiché è necessario rispettare numerose regole che molto spesso sono inapplicabile (si veda ad esempio la normativa sugli amministratori di sistema).

Al termine di questo sondaggio, i dati verranno pubblicati su questo blog. A presto!

Il Garante della Privacy ha avviato in data odierna una consultazione pubblica "volte ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del dispositivo del provvedimento del 27 novembre 2008".

Osservazioni e commenti potranno pervenire entro il 31 maggio 2009 all'indirizzo dell'Autorità di Piazza di Monte Citorio n. 121, 00186 Roma, ovvero all'indirizzo di posta elettronica: ads@garanteprivacy.it.

Ho letto con interesse l'articolo apparso su Punto Informatico del 28 aprile 2009 dove si discuteva della recente normativa che il garante della privacy ha emesso. Per informazione di tutti, il garante che ho sentito non ha ancora, neanche lui, delle idee chiare su come la direttiva può essere applicata: ha comunque assicurato che a breve saranno pubblicati sul sito del garante stesso delle FAQ o delle linee guda.

Si informano i nostri utenti che:

• L'utilizzo delle informazioni raccolte è finalizzato all'erogazione dei servizi richiesti dall'utente. I nostri servizi possono prevedere la visualizzazione di contenuti e messaggi pubblicitari personalizzati.
  
• Le informazioni raccolte sono utilizzate per informare l'utente circa altri prodotti o servizi offerti da Esia Software e dai relativi affiliati, nonché per invitarlo a partecipare a importanti sondaggi relativi ai servizi Esia Software.
  
• Gli elenchi dei clienti non saranno mai venduti, ceduti o noleggiati a terze parti. Al fine esclusivo di erogare i nostri servizi, è possibile che le informazioni sui clienti siano occasionalmente fornite ad altre aziende che lavorano per nostro conto.