Che cos'è il Cloud Computing?
Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy
Nel secondo semestre del 2011 l’Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto degli obblighi di riservatezza cui sono tenuti gli incaricati della trasmissione delle dichiarazioni. I controlli saranno effettuati nel corso degli ordinari interventi di vigilanza, svolti dalle strutture di audit regionali presso CAF e altri intermediari abilitati al canale Entratel. Lo ha reso noto con il comunicato stampa di agosto scorso.
Oggetto dell’attività di verifica
Le operazioni di verifica saranno volte a controllare che gli intermediari abbiano adottato le cautele necessarie a proteggere i dati personali e sensibili di cui vengono a conoscenza ai fini dello svolgimento della propria attività, secondo quanto previsto dall’art. 11 del Decreto 31 luglio 1998 e dall’art. 5 del Provvedimento del Direttore dell’Agenzia delle entrate del 10 giugno 2009.
I controlli riguarderanno, in particolare, i seguenti aspetti.
Struttura organizzativa dell’intermediario
Saranno oggetto di riscontro:
- L’eventuale designazione, da parte del titolare del trattamento dei dati (CAF o altro intermediario abilitato al Servizio Entratel), dei responsabili (anche esterni) del trattamento dei dati e la redazione di istruzioni operative riservate agli stessi responsabili (Legge sulla privacy);
- l’esistenza del documento programmatico per la sicurezza previsto dalle disposizioni contenute nell’Allegato B, regola 19, al D.lgs. n. 196 del 2003;
- la designazione degli incaricati per il trattamento dei dati e l’attribuzione dell’ambito di trattamento consentito (art. 30 del D.lgs. n. 196 del 2003; art. 11, comma 4 del decreto 31 luglio 1998; art. 5, comma 4 del provvedimento 10 giugno 2009);
- la sensibilizzazione dei soggetti che trattano i dati personali dei contribuenti circa le responsabilità connesse alla condivisione o comunicazione a persone non legittimate dei predetti dati acquisiti nello svolgimento delle proprie funzioni;
- l’adozione di una procedura di controllo del rispetto delle misure di
sicurezza e dell’adempimento degli obblighi previsti dal D.lgs n. 196 del 2003;
- l’adozione di una corretta politica di gestione delle password, che preveda l’attribuzione a uno o più soggetti specifici dell’incarico di amministrare le utenze per l’accesso ai sistemi informatici, l’utilizzo di credenziali di accesso nominative e note solo all’utente responsabile della loro conservazione, l’indicazione da parte dell’intermediario ai propri collaboratori dei criteri che le password utilizzate devono rispettare, secondo quanto previsto dall’Allegato B, regola 5, del D.lgs. n. 196 del 2003, del corretto uso delle stesse nonché delle responsabilità derivanti dalla loro eventuale condivisione, l’adozione di misure volte a mantenere riservate le informazioni che consentono l’accesso ai servizi telematici (allegato B del D.lgs n. 196 del 2003, art. 5, comma 6 del provvedimento 10 giugno 2009);
- la previsione, nel ciclo di vita delle credenziali, di procedure per garantire la costante aderenza tra i privilegi di accesso ai dati e il ruolo organizzativo del personale che vi accede (art. 34 del D.lgs. n. 196 del 2003);
- la designazione, come responsabili del trattamento, delle società esterne diverse dalle società di servizi di cui l’intermediario si avvalga per operazioni meramente strumentali all’esercizio dell’assistenza fiscale (ad es. quelle di natura tecnica quali il ripristino di un server o la sostituzione di un supporto hardware), qualora lo svolgimento di tali operazioni implichi il possibile trattamento di dati nonché l’adozione di procedure volte a garantire la riservatezza dei dati e/o di clausole contrattuali che prevedano la salvaguardia della riservatezza delle informazioni
Misure di sicurezza relative ai supporti tecnologici utilizzati
Al riguardo sarà verificata l’adozione di misure di protezione delle postazioni di lavoro, dei server e dell’infrastruttura di rete, conformi alle disposizioni contenute nell’Allegato B del D.lgs n. 196 del 2003.
In particolare, sarà riscontrata la sussistenza delle seguenti condizioni:
- configurazione delle stazioni di lavoro che preveda il blocco automatico delle stesse dopo un certo tempo di inattività dell’operatore;
- installazione di programmi di protezione per le stazioni di lavoro e server al fine di mitigare i rischi di accesso ai dati o la loro manomissione;
- aggiornamento periodico del sistema operativo e del software di protezione;
- in caso di utilizzo di reti senza fili (wireless), adozione di protocolli di sicurezza idonei a limitare il rischio che le trasmissioni dati siano intercettabili da parte di soggetti esterni non autorizzati.
Al riguardo sarà verificata l’adozione di misure di protezione delle postazioni di lavoro, dei server e dell’infrastruttura di rete, conformi alle disposizioni contenute nell’Allegato B del D.lgs n. 196 del 2003.
In particolare, sarà riscontrata la sussistenza delle seguenti condizioni:
- configurazione delle stazioni di lavoro che preveda il blocco automatico delle stesse dopo un certo tempo di inattività dell’operatore;
- installazione di programmi di protezione per le stazioni di lavoro e server al fine di mitigare i rischi di accesso ai dati o la loro manomissione;
- aggiornamento periodico del sistema operativo e del software di protezione;
- in caso di utilizzo di reti senza fili (wireless), adozione di protocolli di sicurezza idonei a limitare il rischio che le trasmissioni dati siano intercettabili da parte di soggetti esterni non autorizzati.
Ulteriori misure di sicurezza
Sarà verificata l’adozione delle seguenti misure di sicurezza:
- Conservazione delle dichiarazioni e della relativa documentazione separatamente dai documenti acquisiti dall’intermediario per altre attività dallo stesso svolte (allegato B del D.lgs n. 196 del 2003);
- conservazione separata dei documenti contenenti dati sensibili dal resto della documentazione archiviata (art. 22, punti 6 e 7 del D.lgs. n. 196 del 2003);
- presenza di spazi idonei ed accessibili esclusivamente a personale autorizzato per la conservazione dei documenti relativi all’attività di trasmissione delle dichiarazioni fiscali e dei supporti contenenti il backup dei dati stessi (allegato B del D.lgs n. 196 del 2003);
- esistenza, nei casi in cui l’attività di assistenza/trasmissione non si risolva in un’opera pressoché personale del soggetto abilitato, ma si dispieghi, piuttosto, in base ad un’articolata struttura organizzativa, di procedure per l’accesso e la gestione degli archivi (allegato B del D.lgs n. 196 del 2003);
- conservazione della documentazione fiscale secondo le modalità e per il periodo previsti dalle vigenti disposizioni (art. 11 decreto 31 luglio 1998, art. 5 del provvedimento 10 giugno 2009, art. 11 del D.lgs n. 196 del 2003).
Sarà verificata l’adozione delle seguenti misure di sicurezza:
- Conservazione delle dichiarazioni e della relativa documentazione separatamente dai documenti acquisiti dall’intermediario per altre attività dallo stesso svolte (allegato B del D.lgs n. 196 del 2003);
- conservazione separata dei documenti contenenti dati sensibili dal resto della documentazione archiviata (art. 22, punti 6 e 7 del D.lgs. n. 196 del 2003);
- presenza di spazi idonei ed accessibili esclusivamente a personale autorizzato per la conservazione dei documenti relativi all’attività di trasmissione delle dichiarazioni fiscali e dei supporti contenenti il backup dei dati stessi (allegato B del D.lgs n. 196 del 2003);
- esistenza, nei casi in cui l’attività di assistenza/trasmissione non si risolva in un’opera pressoché personale del soggetto abilitato, ma si dispieghi, piuttosto, in base ad un’articolata struttura organizzativa, di procedure per l’accesso e la gestione degli archivi (allegato B del D.lgs n. 196 del 2003);
- conservazione della documentazione fiscale secondo le modalità e per il periodo previsti dalle vigenti disposizioni (art. 11 decreto 31 luglio 1998, art. 5 del provvedimento 10 giugno 2009, art. 11 del D.lgs n. 196 del 2003).
Esito dei controlli
Secondo quanto previsto dall’art. 8 del decreto 31 luglio 1998 il mancato rispetto dei predetti obblighi di riservatezza costituisce causa di revoca dell’abilitazione al canale Entratel. Le irregolarità emerse dai controlli saranno segnalate, quindi, dagli uffici di audit alle strutture delle Direzioni regionali competenti ad avviare le iniziative di cui al comma 3 del citato art. 8.
Secondo quanto previsto dall’art. 8 del decreto 31 luglio 1998 il mancato rispetto dei predetti obblighi di riservatezza costituisce causa di revoca dell’abilitazione al canale Entratel. Le irregolarità emerse dai controlli saranno segnalate, quindi, dagli uffici di audit alle strutture delle Direzioni regionali competenti ad avviare le iniziative di cui al comma 3 del citato art. 8.
FONTE: Agenzia delle Entrate – DC AS - Settore Compliance Audit – Via Giorgione 159 – 00147 Roma
 |
 |
 |
Soluzioni per Professionisti
-
La soluzione che realizza l'innovativo concetto di Studio Professionale Esteso, fruibile anche in modalità Saas. -
-
Il software gestionale per i professionisti
-
Passepartout Gestione Paghe, la soluzione per la gestione del personale.
Soluzioni per Aziende
-
-
Per Piccole-Medie Imprese che cercano un prodotto semplice, intuitivo e affidabile
