06 Nov Redditi 2017 e 730: prima di iniziare indispensabile una verifica privacy
<br>Sul sito dell’Agenzia delle Entrate, in coda ai modelli di dichiarazione dei redditi, è comparso un file denominato “obbligo di riservatezza”, file che era presente anche nei modelli relativi all’anno precedente, ma per Unico 2016 cliccando su tale file si apriva e si apre ad oggi l’allegato 1 relativo alle caratteristiche tecniche per la stampa dei modelli. Ciò considerato le disposizioni dell’obbligo di riservatezza rappresentano almeno per il sottoscritto una novità dei Redditi 2017 anche se le stesse risulterebbero note alle case di software già per Unico 2016 (vedi infra).
Il file in questione disciplina il trattamento della Scheda(1) relativa alle scelte dell’ 8-5-2 per mille, scheda introdotta nel modello Unico 2016, mentre per gli anni precedenti e sino al modello della dichiarazione Unico 2015 PF (relativa al 2014) le scelte per l’8-5-2 per mille erano contenute all’interno della dichiarazione e non in scheda separata.
Novità: il punto 7 dell’obbligo di riservatezza prevede che successivamente alla trasmissione in via telematica le schede ed i dati (8-5-2 per mille) sono conservati dagli UST(2)- senza possibilità di avvalersi di soggetti esterni, fino al 31 dicembre del secondo anno successivo a quello di presentazione delle schede stesse. Trascorso tale termine i dati devono essere distrutti.
Novità: il punto 6 dell’obbligo di riservatezza prevede che la lettura della Scheda e la trasmissione dei dati sono consentite solo a persone designate quali incaricati del trattamento (si veda quanto di seguito indicato circa gli incaricati) ai quali è fatto divieto assoluto di comunicare e diffondere i dati. Ai fini delle attività di cui ai punti 7 e 6 le schede e i dati sono custoditi separatamente dalla documentazione concernente l’ordinaria attività dell’UST, con modalità da impedire l’accesso da parte di terzi o di dipendenti non autorizzati.
Se ho quindi correttamente inteso il contenuto dell’obbligo di riservatezza nel 2017 trasmetterò la dichiarazione Redditi 2017 (relativa al 2016) dei miei assistiti, conserverò i dati della Scheda sino al 31 dicembre 2019 ed inizierò il 2020 eliminando:
i dati della Scheda dal sistema informatico
le schede cartacee in archivio (da custodire separatamente dall’ordinaria documentazione)
La casa di software che mi fornisce i pacchetti applicativi dovrà quindi già da ora mettere in conto che a capodanno 2020 dovrà essere possibile eliminare i soli dati relativi alla Scheda, mentre dovrò continuare ad avere a disposizione i dati della dichiarazioni Redditi 2017 per eventualmente operare con il “ravvedimento lungo”. In effetti la casa di software aveva già tenuto conto delle disposizioni in argomento in occasione di Unico 2016 e la soluzione adottata è quella di archiviare separatamente nel programma di archiviazione documentale dello studio la dichiarazione dei redditi e la scheda. Poiché il tutto sarebbe già in vigore da Unico 2016 i dati della relativa scheda dovrebbero essere cancellati dal sistema a capodanno 2019 e a tale data dovrei procedere alla distruzione delle schede cartacee in archivio.
Per il resto le disposizioni contenute in tale file riprendono quanto indicato nel paragrafo 5 del provvedimento dell’Agenzia delle Entrate del 10 giugno 2009, nel quale, al punto 5.5., viene sottolineato che gli utenti hanno l’obbligo di adottare le misure organizzative, fisiche e logistiche previste dal Codice(3) al fine di assicurare la riservatezza e la sicurezza dei dati.
Le disposizioni in materia di osservanza sulle disposizioni in materia di trattamento di dati personali sono inoltre contenute:
nell’articolo 6 delle condizioni generali di adesione al servizio del cassetto fiscale, con riferimento anche alle misure di sicurezza
nell’articolo 5 della convenzione per l’addebito dei modelli F24 “….conformarsi alle norme di cui al D.lgs. 196/2003 anche in tema di misure di sicurezza…..ad impartire precise e dettagliate istruzioni agli incaricati del trattamento”
nella richiesta di abilitazione al servizio telematico ENTRATEL(4)
L’Agenzia delle Entrate può inoltre disporre controlli sull’osservanza delle norme del Codice da parte degli UST (nella provincia di Cuneo ho notizia di un solo controllo effettuato qualche anno fa).
L’obbligo di riservatezza rammenta che gli UST si configurano quali autonomi titolari del trattamento dei dati personali, ai sensi dell’articolo 4, comma 1, lettera f del Codice.
Le avvertenze sulla privacy riportate nel modello Redditi 2017 testualmente riportano quanto segue.
I dati definiti SENSIBILI nelle istruzioni alla dichiarazione Redditi 2017 PF
L’effettuazione della scelta per la destinazione dell’otto per mille dell’Irpef è facoltativa e viene richiesta ai sensi dell’art. 47 della legge 20 mag-gio 1985 n. 222 e delle successive leggi di ratifica delle intese stipulate con le confessioni religiose.
L’effettuazione della scelta per la destinazione del cinque per mille dell’Irpef è facoltativa e viene richiesta ai sensi dell’art.1, comma 154 del-la legge 23 dicembre 2014 n. 190.
L’effettuazione della scelta per la destinazione del due per mille a favore dei partiti politici è facoltativa e viene richiesta ai sensi dell’art. 12 del decreto legge 28 dicembre 2013, n. 149, convertito, con modificazioni, dall’art. 1 comma 1, della legge 21 febbraio 2014, n.13.
Tali scelte, secondo il d.lgs. n. 196 del 2003, comportano il conferimento di dati di natura “sensibile”.
Anche l’inserimento delle spese sanitarie tra gli oneri deducibili o per i quali è riconosciuta la detrazione d’imposta, è facoltativo e richiede il conferimento di dati sensibili.
Il paragrafo CONSENSO nelle istruzioni alla dichiarazione Redditi 2017 PF
L’Agenzia delle Entrate, in quanto soggetto pubblico, non deve acquisire il consenso degli interessati per trattare i loro dati personali. Anche gli intermediari che trasmettono la dichiarazione all’Agenzia delle Entrate non devono acquisire il consenso degli interessati per il trattamento dei dati cosiddetti comuni (codice fiscale, redditi etc.) in quanto il loro trattamento è previsto per legge. Per quanto riguarda invece i dati cosiddetti sensibili, relativi a particolari oneri deducibili o per i quali è riconosciuta la detrazione d’imposta, alla scelta dell’otto per mille, del cinque per mille e del due per mille dell’Irpef, il consenso per il trattamento da parte degli intermediari viene acquisito attraverso la sottoscrizione della dichiarazione e con la firma apposta per la scelta dell’otto per mille dell’Irpef, del cinque per mille e del due per mille dell’Irpef.
La presente informativa viene data in via generale per tutti i titolari del trattamento sopra indicati.
Il D.L. 9 febbraio 2012 n. 5 ha abolito la redazione e l’aggiornamento del Documento Programmatico sulla Sicurezza previsto tra le misure da adottare ai sensi dell’allegato B al Codice, ma lo studio è obbligato ad osservare tutte le altre norme in materia di trattamento di dati personali ed a fornire la prova di averle osservate.
Premesso quanto sopra, si riepilogano sinteticamente di seguito gli obblighi che si reputa facciano carico ad uno studio di commercialista che non si occupi di consulenza in materia di lavoro e che rediga – tra l’altro – dichiarazioni dei redditi di persone fisiche.
Obbligo di informativa – richiesta di consenso e acquisizione del consenso
lo studio del commercialista non può utilizzare la sola informativa contenuta nel modello Redditi, in quanto – ma non solo – la dichiarazione viene stampata dopo l’inserimento dei dati, cioè dopo la consultazione e l’immissione dei dati, quindi dopo aver effettuato fasi del trattamento dei dati. L’informativa dovrà essere quindi resa ai clienti in forma separata e, ad esempio, all’atto della consegna della documentazione allo studio; trattandosi di trattamento di dati “sensibili”(5) occorrerà rendere l’informativa(6) in forma scritta e acquisire il consenso dell’interessato(7) -. Nell’informativa sarebbe opportuno informare il Cliente, acquisendone il consenso, a che i dati della dichiarazione dei redditi, a fine trattamento (cioè assolto il compito della trasmissione della dichiarazione) saranno conservati comunque sul sistema informatico dello studio ma che saranno oggetto di “blocco”. Consiglio inoltre di inserire il consenso al trattamento dei dati ad esempio nei contratti, utilizzando una dicitura sullo stile “le parti, ove occorra, prestano il proprio reciproco consenso al trattamento dei dati personali anche da parte di Loro consulenti ed incaricati di questi, per tutto ciò che concerne la stipula del presente contratto e per l’esecuzione di quanto previsto nel medesimo”, oppure sul retro della Procura utilizzata per le pratiche telematiche al registro imprese etc. Nel consegnare una copia cartacea della dichiarazione al Cliente per uso “banca” – o il trasmettere il file della dichiarazione al Cliente od alla Banca – è opportuno non trasmettere anche la copia della Scheda, in quanto si sarebbe in presenza di trattamento di dati sensibili da parte anche della Banca. L’informativa potrebbe essere inoltre essere riportata nella “dichiarazione del cliente” utilizzata ai fini antiriciclaggio, in modo da adempiere con un unico documento a due obblighi distinti.
Rammentiamo che il Codice prevede misure minime di sicurezza(8) e che è quantomeno necessario superare il solo livello minimo di tali misure, ponendo il caso di uno studio di commercialista che si non si occupi di adempimenti in materia di lavoro si riepilogano, di seguito, i relativi obblighi:
Facoltà di nomina – scritta – del responsabile del trattamento (9)
Designazione scritta degli incaricati del trattamento e ambito del/dei trattamento/i loro consentiti(10) – istruzioni agli incaricati(11) – istruzioni su supporti rimovibili(12) – istruzioni scritte sul trattamento dei dati cartacei(13)
accesso controllato agli archivi contenenti dati sensibili – autorizzazione scritta per accesso(14)
Password – credenziali di accesso(15)
Installazione e funzionamento dell’antivirus(16)
Installazione e funzionamento del firewall(17)
Aggiornamento delle patches almeno semestrale(18)
Sistema di salvataggio dei dati (e modalità di custodia dei supporti)(19)
Ripristino dei dati in tempi non superiori ai 7 giorni(20)
Designazione del Consulente del Lavoro che redige le buste paga dello studio a responsabile esterno del trattamento dei dati
Il mio studio ha richiesto, inoltre, alla società che si occupa dell’assistenza informatica, previa verifica annuale, il rilascio di una dichiarazione che attesti la rispondenza dei sistemi informatici all’allegato B del Codice (in particolare per quanto riguarda i punti 5-6-7-8-9-10 – per quest’ultimo punto la stessa società ha assunto l’impegno di poter ripristinare i dati sul sistema informatico o su nuovo sistema informatico, entro 7 giorni)
In aggiunta a quanto sopra si rammenta che in materia di Antiriciclaggio è necessario designare per iscritto gli incaricati dell’identificazione del cliente, i quali debbono forzatamente consultare i documenti di identità dei Clienti che si reputa – ed è mia opinione personale – che non costituiscano in alcun modo dato sensibile, pur evidenziando che la sentenza della Cassazione Civile sez. 2 n. 13663 del 19/04/2016 pubblicata il 05 luglio 2016 conferma che l’immagine di una persona costituisce dato personale(21).
Note:
1. Di seguito “Scheda”
2. UST – Utenti dei servizi telematici
3. Per Codice si intende il D.lgs. 196/2003 comunemente “Codice Privacy”
4. disciplinata dal provvedimento AE del 10.6.2009
5. cfr. articolo 4 c. 1 lettera d) del Codice
6. cfr. articolo13 del Codice
7. art. 23-26 del Codice
8. art. 33 del Codice
9. cfr. art. 29 del Codice
10. cfr. art. 30 del Codice
11. cfr. punto 9 all. B al Codice
12. cfr. putno 21- 22 all. B al Codice
13. cfr. punto 27-28 all. B al Codice
14. cfr. punto 29 all. B al Codice
15. cfr. punti 1 e 2 allegato B al Codice
16. cfr. punto 15 all. B al Codice
17. cfr. punto 20 all. B al Codice
18. cfr. punto 17 all. B al Codice
19. almeno settimanale – cfr. punto 18 all. B al Codice
20. cfr. punto 23 all. B al Codice
21. cfr. Corte di Cassazione sez. II-2 settembre 2015 n. 17440 (l’immagine costituisce dato personale essendo dato immediatamente idoneo a identificare una persona a prescindere dalla sua notorietà).
Fonte: http://www.studiofranco.eu