CONVENZIONE TRA
CONVENZIONE TRA
L’AGENZIA DELLE ENTRATE E
IL CAF CAAF CGIL Liguria Srl
per lo scambio di dati e di informazioni connesso agli adempimenti dichiarativi e di controllo delle deleghe per l’anno 2020
L’Agenzia delle entrate (di seguito denominata “Agenzia” o, congiuntamente al CAF Caaf CGIL Liguria srl, “le Parti”), con sede in Roma, Via Giorgione 106 - Codice Fiscale 06363391001 rappresentata dal VICEDIRETTORE CAPO DIVISIONE SERVIZI xxxx. XXXXX XXXXXX su delega del Direttore dell’Agenzia, RU n. 0148789 del 1° aprile 2020
e
Il Caaf CGIL Liguria Srl - (di seguito denominato “ENTE” o, congiuntamente all’Agenzia, “le Parti”) con sede in Genova GE, Codice Fiscale 03356490106 - legalmente rappresentata dal Sig. Xxxxxx Xxxxxx Xxxx .
PREMESSO CHE
a) L’articolo 1, comma 1, del decreto legislativo 21 novembre 2014, n. 175, dispone che l’Agenzia delle entrate, entro il 15 aprile di ciascun anno, renda disponibile telematicamente la dichiarazione precompilata, relativa al periodo d’imposta precedente, ai titolari di redditi di lavoro dipendente e assimilati indicati agli articoli 49 e 50, comma 1, lettere a), c), c-bis), d), g), con esclusione delle indennità percepite dai membri del Parlamento europeo, i) e l), del Tuir;
b) Il decreto-legge 2 marzo 2020, n. 9, che ha introdotto “Misure urgenti di sostegno per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19”, ha disposto alcune proroghe di termini riguardanti la dichiarazione dei redditi precompilata 2020, spostando, tra l’altro, dal 15 aprile al 5 maggio la data a partire dalla quale viene messa a disposizione la dichiarazione dei redditi precompilata da parte dell’Agenzia delle entrate (a partire dal 2021 la dichiarazione precompilata sarà resa disponibile dal 30 aprile).
c) Lo stesso articolo 1 del citato decreto legislativo n. 175 del 2014 dispone poi, al comma 3, che la dichiarazione precompilata sia resa disponibile direttamente al contribuente, mediante i servizi telematici dell’Agenzia delle entrate o, conferendo apposita delega, tramite il sostituto d’imposta che presta assistenza fiscale ovvero tramite un CAF o un professionista abilitato;
d) l’Autorità Garante per la protezione dei dati personali, con Provvedimento del 18 settembre 2008 e seguenti, ha prescritto all’Agenzia l’adozione di stringenti misure, sia tecnologiche che organizzative, per innalzare i livelli di sicurezza
degli accessi alle informazioni contenute nell’Anagrafe Tributaria da parte degli enti esterni;
e) l’Autorità Garante per la protezione dei dati personali con il provvedimento n. 77 del 23 aprile 2020 si è espressa favorevolmente sullo schema di provvedimento del Direttore dell’Agenzia delle entrate in materia di accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati;
f) il provvedimento del Direttore dell’Agenzia delle entrate emanato ai sensi dell’articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175, concerne il servizio di accesso alla dichiarazione 730 precompilata da parte del contribuente e degli altri soggetti autorizzati;
g) in attuazione di quanto previsto dai provvedimenti di cui ai punti precedenti, le Parti hanno convenuto di disciplinare con il presente accordo lo scambio di dati e di informazioni connesso agli adempimenti dichiarativi da parte dell’Ente e di controllo delle deleghe da parte dell’Agenzia;
h) il decreto legislativo 30 giugno 2003, n. 196, reca il “Codice in materia di protezione dei dati personali”;
i) il Regolamento europeo in materia di protezione dei dati personali n. 679 del Parlamento europeo e del Consiglio del 27 aprile 2016 disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati (di seguito “Regolamento”);
j) con il decreto legislativo 10 agosto 2018, n. 101, sono state emanate le disposizioni di adeguamento del quadro normativo nazionale alle disposizioni di cui al citato Regolamento;
k) nel testo e negli allegati della presente convenzione si intendono per:
1. “CAD”: il Codice dell’amministrazione digitale di cui al decreto legislativo del 7 marzo 2005, n. 82, e successive modificazioni;
2. “Convenzione”: il presente atto convenzionale e i relativi allegati;
3. “Responsabile della Convenzione”: rappresentante preposto alla gestione dei rapporti e delle comunicazioni tra le Parti per la gestione del documento convenzionale;
4. “Supervisore”: soggetto, nominato in sede di stipula della Convenzione, preposto all’individuazione degli utilizzatori, delle abilitazioni e dei profili di accesso ai dati ad essi assegnati in relazione alle funzioni effettivamente svolte ed alla corretta applicazione delle regole di sicurezza tecnico- organizzative previste in Convenzione;
5. “Responsabile della protezione dei dati o DPO ”: il soggetto designato ai sensi degli art. 37 e seguenti del Regolamento UE 679/2016 (GDPR);
6. “dati”: i dati connessi allo svolgimento delle attività di cui alla presente convenzione;
CONVENGONO E STIPULANO QUANTO SEGUE:
Oggetto
1. La Convenzione disciplina i rapporti tra le Parti, al fine di regolare le modalità di scambio dei rispettivi dati, in attuazione di quanto previsto dalla vigente normativa di settore, dai provvedimenti del Direttore dell’Agenzia per l’anno in corso ed in conformità alle previsioni normative in materia di protezione dei dati personali e dagli standard di sicurezza informatica.
2. Nello specifico, ai fini dello svolgimento delle rispettive attività e ai sensi delle disposizioni vigenti:
▪ l’Agenzia è autorizzata ad acquisire i dati dell’ENTE, così come riportati in allegato 1, lettera f);
▪ l’ENTE è autorizzato ad acquisire i dati dell’Agenzia, così come riportato in allegato 1, lettera d).
Durata e oneri
1. La Convenzione ha la durata di 1 anno, rinnovabile, a decorrere dalla data della sua stipula.
2. Ciascuna delle Parti si fa carico dei costi rispettivamente sostenuti derivanti dall’attuazione della Convenzione.
Figure di riferimento per l’attuazione della Convenzione
1. Ai fini della corretta applicazione di quanto previsto in Convenzione ciascuna delle Parti nomina un proprio Responsabile della Convenzione e un Supervisore, ferma restando la nomina del Responsabile della protezione dati o DPO. Il Supervisore, per ragioni operative, può avvalersi della collaborazione di un Supervisore operativo rimanendo comunque responsabile delle operazioni delegate.
2. I nominativi ed i recapiti delle figure di riferimento indicate al comma precedente sono riportati in allegato 1. Eventuali variazioni dei nominativi o dei
recapiti di tali figure devono essere tempestivamente comunicate fra le Parti a cura del rispettivo Responsabile della Convenzione. L’aggiornamento delle figure di riferimento costituisce requisito necessario per il mantenimento dei servizi.
3. Rientra nei compiti dei Responsabili della Convenzione, ciascuno per quanto di competenza:
▪ presidiare le comunicazioni fra le Parti, relative:
a. al mantenimento e alla gestione della Convenzione;
b. all’evoluzione tecnica e funzionale dei servizi erogati.
Tali comunicazioni, ove non sia diversamente disposto nel presente atto, devono essere effettuate agli indirizzi mail di cui in allegato 1;
▪ sulla base di quanto a loro reso noto, portare all’attenzione del proprio Rappresentante legale eventuali necessità di intervento sulle misure tecniche organizzative atte a garantire il rispetto degli obblighi previsti in Convenzione, con particolare riferimento all’utilizzo dei servizi entro i volumi indicati in allegato 1;
▪ proporre ulteriori autorizzazioni di fornitura dei dati, secondo le modalità regolate dalla Convenzione, previa verifica di legittimità sulla base della normativa vigente;
▪ consolidare la versione aggiornata della Convenzione anche a seguito di nuovi servizi, adeguamenti tecnici e/o di modifiche alla struttura della Convenzione stessa di cui al successivo articolo 8, previa verifica di legittimità sulla base della normativa vigente.
4. Rientra nei compiti dei Supervisori garantire per quanto di competenza:
▪ l’adozione delle procedure necessarie alla verifica sistematica ed alla revisione periodica delle abilitazioni e dei profili di accesso ai dati rilasciati attraverso un adeguato flusso informativo con l’unità interna Risorse umane;
▪ la designazione dei soggetti abilitati all’accesso ai dati quali autorizzati al trattamento e la comunicazione dell’informativa agli stessi delle operazioni di tracciamento/controllo degli accessi;
▪ la comunicazione di eventuali errori o inesattezze e/o manchevolezze riscontrate in ordine ai dati;
▪ la verifica interna sull’adeguamento alle misure di sicurezza in materia di protezione dei dati personali;
▪ l’adozione delle procedure necessarie a garantire la conservazione delle informazioni acquisite per il tempo strettamente necessario allo svolgimento delle attività per cui i dati sono stati acceduti e la loro distruzione quando gli stessi non siano più necessari.
5. Rientrano nei compiti del Responsabile della protezione dati o DPO quelli indicati all’art. 39 del Regolamento.
Allegati alla convenzione
1. L’allegato 1 – Riferimenti della Convenzione riporta i dati variabili della
Convenzione oggetto dell’accordo tra le Parti.
2. L’allegato 2 – Servizi di Cooperazione Applicativa riporta la descrizione e le modalità di attivazione e fruizione dei servizi standard di fornitura delle informazioni presenti nei sistemi informatici delle Parti.
3. L’allegato 3 – Specifiche tecniche di Cooperazione Applicativa riporta l’elenco dei dati forniti, le regole tecniche di ingaggio e le modalità di scambio dati tra le Parti.
4. Per successive esigenze funzionali o variazione delle informazioni concordate sarà cura delle Parti, per il tramite dei Responsabili della Convenzione, mantenere aggiornate le informazioni di cui in allegato 1 e relative ad eventuali adeguamenti ai limiti e vincoli di accesso ai servizi con scambio di comunicazioni tra le Parti.
5. In caso di evoluzione funzionale o tecnologica dei servizi erogati sarà cura delle Parti, per il tramite del proprio Responsabile della Convenzione, mantenere aggiornato l’allegato 2 di cui ai precedenti commi, dandone preventiva e reciproca comunicazione 60 giorni prima della data di definitiva adozione della nuova versione e fornendo il necessario supporto per le eventuali attività di adeguamento.
Servizi disponibili, modalità di accesso e limiti di utilizzo
1. Tenuto conto della normativa vigente, le Parti forniscono i dati memorizzati nei propri sistemi informativi secondo quanto esplicitato nelle relative specifiche tecniche e limitatamente alle modalità di accesso/fruizione ed ai servizi di seguito indicati.
2. Le modalità di fruizione sono riportate in allegato 2 al paragrafo: “Modalità accesso/fruizione Cooperazione applicativa”; i servizi autorizzati sono indicati nell’allegato 1, lettera d) e f) per un numero massimo di interrogazioni giornaliere secondo quanto indicato nell’allegato 1, lettera e) e g).
3. Le Parti sono tenute ad adottare tutte le misure atte a garantire il rispetto dei limiti di utilizzo indicati nell’allegato 1.
4. Eventuali richieste, da parte di ciascuna Parte, di superamento temporaneo o definitivo dei limiti massimi indicati nell’allegato 1, giustificato da emergenti necessità, devono essere di volta in volta concordate per il tramite dei Responsabili della Convenzione.
ARTICOLO 6
Limitazione alla disponibilità dei servizi
1. Le Parti effettuano ogni tipo di manutenzione sui rispettivi sistemi informatici. A tal proposito, si impegnano sin d’ora a comunicare tramite i propri referenti, con un preavviso di tre giorni lavorativi, salvo casi di forza maggiore, gli interventi di manutenzione programmata e straordinaria che comportino un’interruzione del servizio.
2. Gli interventi di manutenzione ordinaria e straordinaria vengono effettuati, salvo caso di forza maggiore, nelle seguenti fasce orarie:
a. dal lunedì al venerdì dalle 00:00 alle 08:00 e dalle 18:00 alle 24:00;
b. il sabato dalle 00:00 alle 08:00 e dalle 14:00 alle 24:00;
c. i giorni festivi dalle 00:00 alle 24:00.
3. Nel caso in cui si verifichino eventuali periodi di utilizzo dei servizi con picchi di volume per un numero particolarmente elevato di interrogazioni, ciascuna delle Parti si impegna ad informare l’altra con un preavviso di almeno tre giorni.
4. Al fine di garantire i tempi di risposta e la disponibilità dell’accesso ai servizi informatici in oggetto, le Parti si riservano di monitorare le prestazioni complessive delle risorse informatiche che erogano i servizi e di intervenire anche attraverso limitazioni temporanee del numero di richieste giornaliere, previa informativa dei rispettivi referenti tecnici.
Modalità di attivazione di ulteriori servizi di scambio dati
1. Il servizio di cooperazione applicativa di cui all’articolo 4 viene attivato a seguito di scambio di comunicazioni tra i Responsabili della Convenzione.
2. Successive integrazioni ai servizi di cui al precedente articolo 4 potranno essere concordate, per accordo tra le Parti, utilizzando il procedimento di seguito descritto per il tramite dei rispettivi Responsabili della Convenzione:
a) la Parte richiedente inoltra alla Parte fornitrice apposita richiesta in cui vengono indicati il riferimento normativo che legittima la richiesta di servizi
di fornitura dei dati e/o le modalità di erogazione degli stessi in relazione alle proprie esigenze operative;
b) entro 30 giorni lavorativi dalla data di ricezione della richiesta di cui alla precedente lettera a), la Parte fornitrice dei dati comunicherà alla Parte richiedente l’esito dell’istruttoria di verifica sulla legittimità dell’attivazione del servizio;
c) entro 30 giorni lavorativi dalla risposta di cui alla precedente lettera b), la Parte richiedente conferma o recede dalla richiesta del servizio con formale comunicazione alla Parte fornitrice;
d) in caso di accordo l’integrazione dei servizi verrà formalizzata con la sottoscrizione di apposito atto integrativo a firma dei Rappresentanti legali delle Parti.
Misure di sicurezza necessarie e responsabilità
1. Gli allegati, di cui al precedente articolo 4, sono parte integrante e sostanziale della Convenzione. Ciascuna delle Parti si impegna a:
▪ rispettare i limiti e le condizioni di fornitura riportati all’interno dei citati allegati volti ad assicurare la protezione dei dati personali, ai sensi della normativa vigente, e la corretta erogazione dei servizi di fornitura dei rispettivi dati oggetto della Convenzione;
▪ comunicare il nominativo ed i riferimenti del Responsabile della protezione dei dati o DPO designato ai sensi degli art. 37 e seguenti del Regolamento.
2. Laddove si renda necessario, per esigenze organizzative e di sicurezza e/o per adeguamento a modifiche legislative, interrompere il servizio, le Parti concorderanno tempestivamente modalità alternative di accesso ai dati, per il tramite dei Responsabili della Convenzione.
3. Allo scopo di incrementare la sicurezza nelle modalità di scambio dati, è volontà delle Parti adattare progressivamente i contenuti della Convenzione alle regole tecniche di cooperazione applicativa previste dal Codice dell’Amministrazione Digitale, di cui alla sezione 2 dell’allegato 2, nonché alle ulteriori misure che si renderanno necessarie in relazione all’evoluzione tecnica.
4. Le Parti prendono atto che:
▪ l’accesso ai servizi è consentito esclusivamente dagli applicativi dell’Ente realizzati per le finalità espresse nel presente atto convenzionale;
▪ i servizi consentiranno l’accesso alle sole puntuali posizioni per le quali si conoscono già gli elementi necessari alla loro univoca individuazione all’interno del singolo processo;
▪ i servizi non possono essere utilizzati da soggetti esterni all’Ente, ad eccezione delle società di servizi e degli intermediari di cui il CAF si avvale per lo svolgimento dell’attività di assistenza fiscale, ai sensi dell’articolo 11, commi 1 e 1-bis, del decreto del Ministro delle Finanze 31 maggio 1999, n. 164, i quali in tal caso assumono il ruolo di responsabili del trattamento ai sensi dell’articolo 28 del Regolamento UE 679/2016 (GDPR), con le rispettive responsabilità;
▪ in nessun caso è consentita l’esposizione dei servizi di cooperazione applicativa forniti all’Ente verso l’esterno.
5. Le Parti si impegnano a recepire ulteriori misure di sicurezza introdotte da una delle Parti, previa comunicazione da parte del proprio Responsabile della Convenzione, qualora esse risultino indispensabili a garantire appropriati livelli di sicurezza nell’accesso e nell’utilizzo dei dati.
Modifiche alla Convenzione
1. Le Parti concordano sulla possibilità di dover modificare la Convenzione, ivi compresi gli allegati di cui all’articolo 4, a seguito:
delle evoluzioni in materia di convenzioni di cooperazione applicativa nell’ambito del CAD;
della necessità di recepire eventuali ulteriori indicazioni dell’Autorità Garante per la protezione dei dati personali.
2. Allo scopo di garantire continuità agli impegni reciprocamente assunti, eventuali modifiche alla Convenzione di cui al precedente comma, saranno concordate con scambio di comunicazioni tra le Parti a firma dei rispettivi Rappresentanti legali.
3. Sarà cura dei Responsabili della Convenzione valutare se le modifiche introdotte richiedano la stipula di una nuova Convenzione.
Gestione dei sistemi informativi
1. Le Parti hanno l'esclusiva competenza, sui propri rispettivi sistemi informativi, di definire o modificare i sistemi di autenticazione degli utenti, i sistemi di elaborazione, ricerca, rappresentazione ed organizzazione dei dati, nonché di gestire le informazioni memorizzate in relazione alle proprie esigenze istituzionali e strutturali ed alle innovazioni tecniche relative al proprio sistema informatico. Ciascuna Parte fornirà all’altra adeguata notizia delle eventuali modifiche introdotte nei propri sistemi informativi, relativamente ai servizi erogati nell’ambito della Convenzione.
Clausole di risoluzione e recesso
1. In caso di grave inadempimento, la convenzione potrà essere risolta ai sensi dell’art. 1454 del codice civile.
2. Ciascuna delle Parti può recedere anticipatamente dalla Convenzione previa comunicazione da inviarsi a mezzo posta elettronica certificata, con preavviso di almeno trenta giorni.
Foro competente
1. Per le controversie derivanti dall’applicazione della presente Convenzione è competente in via esclusiva il foro di Roma.
Composizione della Convenzione e valore delle premesse
1. La Convenzione si compone di 13 (tredici) articoli e 3 (tre) allegati.
2. Le Parti convengono che le premesse e gli allegati alla Convenzione ne costituiscono parte integrante e sostanziale.
1Roma,
AGENZIA DELLE ENTRATE | Caf Caaf CGIL Liguria Srl |
(Xxxxx Xxxxxx) |
Convenzione sottoscritta con firma digitale
1 Ai fini della decorrenza degli effetti giuridici della Convenzione la data di sottoscrizione della stessa, firmata digitalmente, coincide con la data di apposizione della firma digitale da parte del Rappresentante dell’Agenzia in quanto fase conclusiva del processo di stipula dell’atto convenzionale.
3 La persona che sottoscrive per l’Ente è il Rappresentante legale, ovvero persona diversa munita di delega per la sottoscrizione del presente atto.
Allegato 1: Riferimenti della Convenzione
Quanto di seguito riportato è parte integrante della Convenzione all’art. 4 comma 1 della stessa e costituisce parte sostanziale accettata in sede convenzionale.
N.B: tutti gli indirizzi e-mail successivamente indicati devono essere indirizzi e-mail istituzionali ai sensi di quanto previsto dalla norma.
a) RESPONSABILI DELLA CONVENZIONE
• per l’Agenzia, Xxxxxxxx Xxxxxxxx tel. 0000000000
e-mail: xx.xx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx
• per l’ENTE, Xxxxxx Xxxxxx Xxxxx
e-mail: xxxxxx.xxxx@xxxxxxxxxxxxxxx.xx
b) SUPERVISORI
• Per l’Agenzia, Xxxxxxx Xx Xxxx tel. 0000000000
e-mail: xxx.xxxx.xxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx
• per l’ENTE, Xxxxxxx Xxxxxxxx
e-mail: xxxxxxx.xxxxxxxx@xxxxxxxxxxxxxxx.xx
c) RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI
• per l’Agenzia, Xxxxxx Xxxxxxx tel. 0000000000
e-mail: xx.xx.xxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx
• per l’ENTE, Avvocato Xxxx Xxxxxxxxx
tel. 000 0000000
d) AUTORIZZAZIONI SERVIZI DELL’AGENZIA Servizi autorizzati in cooperazione applicativa:
• dati relativi alla dichiarazione precompilata di cui al provvedimento del Direttore dell’Agenzia delle entrate emanato ai sensi dell’articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175;
e) NUMERO MASSIMO DI INTERROGAZIONI GIORNALIERE IN MODALITÀ DI COOPERAZIONE APPLICATIVA EFFETTUABILI DA PARTE DEL CAF
Numero massimo di interrogazioni giornaliere in modalità di Cooperazione Applicativa: 6000;
f) AUTORIZZAZIONI SERVIZI DELL’ENTE Servizi autorizzati in cooperazione applicativa:
• dati relativi alle deleghe e ai documenti di identità indicati nelle richieste di accesso alle dichiarazioni 730 precompilate di cui al provvedimento del Direttore dell’Agenzia delle entrate emanato ai sensi dell’articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175;
g) NUMERO MASSIMO DI INTERROGAZIONI GIORNALIERE IN MODALITÀ DI COOPERAZIONE APPLICATIVA EFFETTUABILI DA PARTE DELL’AGENZIA
Numero massimo di interrogazioni giornaliere in modalità di Cooperazione Applicativa: 600.
Allegato 2: Servizi di Cooperazione Applicativa
Quanto di seguito riportato è parte integrante della Convenzione all’art. 4 comma 2 e costituisce parte sostanziale accettata in sede convenzionale.
1. Premessa
I servizi di cooperazione applicativa consentono l’interazione tra componenti applicative degli Enti e quelle dell’Agenzia (di seguito “Applicativi”) allo scopo di consentire il richiamo dei servizi da parte di procedure all’uopo predisposte dall’ENTE.
Il colloquio tra il sistema richiedente e quello dell’Agenzia, e viceversa, avviene utilizzando i protocolli standard attraverso il richiamo di Web Services e prevede l’identificazione certificata del sistema richiedente.
2. Modalità accesso/fruizione in Cooperazione applicativa
Sezione 1: Modalità di Accesso ai dati
1. L’Agenzia e l’ENTE si impegnano reciprocamente al rispetto ed all’applicazione della normativa vigente in materia, così come riportata nei documenti pubblicati afferenti al quadro tecnico-implementativo. Eventuali evoluzioni tecnico- normative saranno oggetto di valutazione congiunta all’atto della pubblicazione.
2. L’accesso ai servizi di cooperazione applicativa è consentito esclusivamente all’applicativo appositamente sviluppato sui sistemi remoti delle Parti, secondo le specifiche nel seguito descritte.
Il protocollo di comunicazione utilizzato è SOAP (Simple Object Access Protocol); si tratta di una specifica che definisce il formato XML dei messaggi (rappresentazione dei dati) e le modalità di invocazione di metodi remoti esposti dai web services.
Per ogni servizio realizzato è stato generato il relativo WSDL (Web Services Description Language necessario per descrivere in linguaggio XML le interfacce di servizi Web).
Per poter fruire del servizio sarà sufficiente fare riferimento al metodo autorizzato e al WSDL pubblicato, ove sono indicati tutti gli elementi necessari a sviluppare il client che dovrà interagire con il servizio stesso; in particolare nel WSDL è descritto il contenuto dei messaggi di richiesta e di risposta, l’indirizzo dove il servizio è disponibile (URL) e quale protocollo di comunicazione utilizzare.
Dal punto di vista tecnico le modalità di fruizione dei servizi si basano sulla seguente architettura standard:
Architettura Tecnica in WS-Security
In tale ambito, è necessario utilizzare i protocolli previsti dallo standard WS- Security (Web Services Security) ed in particolare per la fase di autenticazione al servizio, in conformità a quanto previsto dagli standard, verranno utilizzate asserzioni SAML (Security Assertion Markup Language).
L’utilizzo di SAML consente il trasferimento in maniera sicura e conforme agli standard dell’identità dell’utente finale che usufruirà delle informazioni fornite dai servizi anagrafici, e consente il corretto tracciamento delle operazioni effettuate sui sistemi dell’Agenzia dall’utente finale.
Le Parti procederanno al tracciamento degli accessi ai dati, riportando la data, l’ora ed il nominativo del soggetto che accede oltre ai dati relativi alla posizione acceduta.
Sezione 2: Misure di sicurezza necessarie e responsabilità
1. Le Parti si impegnano a formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ed a controllarne il corretto utilizzo.
2. Le Parti utilizzano le informazioni acquisite esclusivamente per le proprie finalità, di cui all’articolo 1 in Convenzione, nel rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dalla normativa in materia di protezione dei dati personali.
3. Le Parti procedono al trattamento dei dati personali, in special modo di quelli rientranti nelle categorie particolari di dati di cui all’art. 9 del Regolamento UE 679/2016, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dalla normativa vigente in materia di protezione dei dati personali rispettando i canoni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite.
4. Le Parti garantiscono che nell’ambito dei propri sistemi informativi non si verifichino accessi impropri, divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, ai sensi della normativa vigente precise e dettagliate istruzioni agli incaricati del trattamento, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati.
5. Le Parti s’impegnano a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso.
6. Le Parti rendono disponibili i dati come risultano nei propri archivi al momento della consultazione/estrazione degli stessi e non si assumono responsabilità per la mancanza di aggiornamenti esterni, per variazioni che possono successivamente intervenire e per danni diretti e/o indiretti che derivino da tali modificazioni nonché da eventuali interruzioni del servizio non preventivamente pianificabili.
7. I servizi resi disponibili verranno esclusivamente integrati dalle Parti con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica.
8. Le Parti s’impegnano a:
a. comunicare tempestivamente - e comunque entro 24 ore dalla conoscenza dell’evento - e reciprocamente gli incidenti sulla sicurezza occorsi al proprio sistema di autenticazione;
b. comunicare tempestivamente e reciprocamente ogni modificazione tecnica e/o organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regole di sopra riportate e/o la loro perdita di efficacia.
9. Le Parti garantiscono l’adozione al proprio interno delle regole di sicurezza di seguito riportate:
a. adottare procedure di registrazione che prevedano il riconoscimento diretto e l’identificazione certa dell’utente;
b. adottare le seguenti regole di gestione delle credenziali di autenticazione:
• le credenziali di autenticazione:
identificano in modo univoco una persona fisica;
debbono essere emesse e distribuite agli utenti in maniera sicura seguendo una stabilita procedura operativa;
possono essere costituite da un dispositivo in possesso ed uso esclusivo dell’incaricato e provvisto di pin o una coppia username/password;
• nel caso le credenziali siano costituite da una coppia username/password, devono essere previste politiche di gestione della password che rispettino le seguenti misure di sicurezza:
scadenza della password (non oltre 90 giorni);
blocco delle credenziali a fronte di reiterati tentativi falliti di autenticazione;
verifica della robustezza della password (minima lunghezza 8 caratteri; regole di complessità nella composizione della password; esclusione di nome, cognome e codice fiscale).
10. Le Parti, ai fini della verifica di quanto previsto ai precedenti commi:
• dovranno utilizzare proprie procedure, di carattere organizzativo o tecnologico, in grado di segnalare eventuali anomalie nelle attività di accesso ai dati da parte degli utilizzatori designati. In tali circostanze, a seguito di una segnalazione prodotta dalle suddette procedure, esse dovranno interrompere il servizio qualora non sia possibile adottare soluzioni alternative atte ad evitare il blocco applicativo dei sistemi di cooperazione, dandone – reciprocamente - preventiva comunicazione;
11. Il CAF prende atto ed accetta che, sulla base di quanto prescritto dall’Autorità Garante per la protezione dei dati personali all’Agenzia con provvedimento del 18 settembre 2008 e seguenti, l’Agenzia stessa effettui controlli a campione per verificare il rispetto della Convenzione e della normativa in materia di protezione dei dati personali previo preavviso tra le rispettive funzioni organizzative preposte alla sicurezza. Per l’espletamento di tali controlli, che potranno essere effettuati anche presso le sedi del CAF dove viene utilizzato il servizio, il CAF si impegna a fornire ogni necessaria collaborazione.
Allegato 3: Specifiche tecniche di Cooperazione Applicativa
Quanto di seguito riportato è parte integrante della Convenzione all’art. 4 comma 3 della stessa e costituisce parte sostanziale accettata in sede convenzionale.
1. Premessa
I servizi di Cooperazione Applicativa consentono l’interazione tra le componenti applicative dell’ENTE e quelle dell’Agenzia, allo scopo di consentire il richiamo dei servizi da parte di applicativi predisposti allo scopo.
2. Modalità di fruizione in Cooperazione Applicativa
Sezione 1: Servizi esposti dall’Agenzia delle entrate
Fornitura puntuale tramite Web Services dei dati relativi alla dichiarazione precompilata di cui al provvedimento del Direttore dell’Agenzia delle entrate emanato ai sensi dell’articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175
L’Agenzia delle entrate espone su internet in cornice di sicurezza un web service (nel seguito WS1) che fornisce i dati puntuali sopra indicati in modalità sincrona: il flusso di dati richiesti dall’ENTE verrà infatti fornito immediatamente, come flusso di risposta alle richieste effettuate.
In questo scenario si utilizzeranno gli standard della WS-Security ed in particolare il SAMLTokenProfile, che prevede, per la fase di autenticazione/autorizzazione dell’utente, l’utilizzo dello standard di federazione SAML.
In particolare nella fase di autenticazione l’asserzione SAML dovrà contenere l’identificativo dell’ente, l’identificativo dell’utente finale (ovvero l’utenza utilizzata per l’autenticazione sul sistema dell’Ente) che ha originato la richiesta del web services e l’indirizzo ip della postazione dal quale questo utente opera.
(Per maggiori dettagli in merito si rimanda all’allegato1 delle specifiche tecniche descrittive del servizio).
Il servizio a fronte di una serie di dati del contribuente, permette di scaricare in formato xml i dati della relativa dichiarazione precompilata.
Oltre al codice fiscale del contribuente, vengono richiesti una serie di parametri obbligatori su cui vengono effettuati controlli pre e post elaborazione:
• il valore del reddito complessivo e del rigo differenza esposti nella dichiarazione dei redditi del contribuente delegante relativa all’anno
precedente; l’esito del controllo determina o meno lo scarico dei dati della dichiarazione;
• il codice hash del file contenente una copia scannerizzata della delega del contribuente delegante.
Per il dettaglio tecnico del servizio si rimanda alle specifiche tecniche descrittive del servizio.
L’Agenzia delle entrate garantisce i livelli di servizio attesi (sia nei termini di fascia temporale in cui il servizio è attivo che di soglia numerica delle transazioni effettuate) contenuti nella Convenzione e nei relativi documenti allegati.
L’ENTE coinvolto nel progetto descritto in Convenzione ha preventivamente superato una serie di test tecnologici di connessione e scambio dati che hanno avuto esito positivo. La fruizione dei servizi dell’Agenzia delle entrate in cooperazione applicativa si innesterà nel protocollo così collaudato.
Acquisizione puntuale tramite Web Services dei dati relativi alle deleghe e ai documenti di identità indicati nelle richieste di accesso alle dichiarazioni 730 precompilate di cui al provvedimento del Direttore dell’Agenzia delle entrate emanato ai sensi dell’articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175
L’Agenzia delle entrate espone su internet in cornice di sicurezza un web service (nel seguito WS3) per l’acquisizione delle deleghe predisposte dai CAF entro le 48 ore dalla richiesta effettuata dall’Agenzia per tramite del servizio (WS2 di seguito descritto) esposto dagli Enti.
Per il dettaglio tecnico del servizio si rimanda alle specifiche tecniche descrittive del servizio.
Sezione 2: Servizi esposti dall’ENTE
Acquisizione tramite Web Services della richiesta dei dati relativi alle deleghe e ai documenti di identità indicati nelle richieste di accesso alle dichiarazioni 730 precompilate di cui al provvedimento del Direttore dell’Agenzia delle entrate emanato ai sensi dell’articolo 1, comma 3, del decreto legislativo 21 novembre 2014, n. 175
Gli ENTI espongono su internet in cornice di sicurezza un web services (nel seguito WS2) attraverso il quale l’Agenzia delle entrate comunica le richieste di deleghe relative ai contribuenti per i quali l’ENTE ha in precedenza richiesto il servizio (WS1) di precompilazione della dichiarazione 730. Il flusso di dati richiesti dall’Agenzia verrà fornito dall’ENTE entro 48 ore da quando richiesto.
Per il dettaglio tecnico del servizio si rimanda alle specifiche tecniche descrittive del servizio.
Sezione 3: Interazione tra le parti per i servizi WS2 e WS3
La sequenza di chiamata dei servizi, dal punto di vista cronologico, si articola nei seguenti passi tecnico procedurali:
Passo 1:
l’Agenzia invoca il WS2 esposto dall’ENTE per richiedere copia della delega fornita dal contribuente;
l’ENTE fornisce immediatamente, in risposta al WS2, la ricevuta di “prenotazione”, ossia di presa in carico della richiesta.
Passo 2:
l’ENTE, entro 48 ore, invoca il WS3 dell’Agenzia fornendo il file contenente la delega riferito alla richiesta di accesso alle dichiarazioni 730 precompilate, identificato con il codice hash, e il documento di identità del contribuente;
l’Agenzia tramite lo stesso WS3 fornisce in risposta un messaggio di “presa in carico”.
Nelle more della realizzazione da parte dell’ENTE del web service WS2 di cui al passo1, l’Agenzia può richiedere all’ENTE l’elenco delle deleghe di proprio interesse attraverso PEC.
In questa opzione, entro le 48 ore concordate, l’ENTE può trasmettere i dati richiesti tramite PEC.
3. Specifiche tecniche
Le specifiche tecniche richiamate nel presente allegato e di seguito elencate sono state previamente concordate e scambiate tra le Parti.
• Allegato 1 - Specifiche tecniche Identita Federata.doc
• Allegato 2 - Specifiche tecniche scarico puntuale.doc
• Allegato 3 - ServizioScaricoPuntuale.wsdl
• Allegato 4 - Specifiche tecniche richiesta documentazione delega.doc
• Allegato 5 - ServizioRichiestaDocumentazioneDelega.wsdl
• Allegato 6 - Specifiche tecniche accoglienza documentazione delega.doc
• Allegato 7 - ServiziAccoglienzaDocumentazioneDelega.wsdl