Allegato B Disciplinare Tecnico riguardante il trattamento dei dati da rendere disponibili all'Agenzia delle entrate da parte del Sistema TS INDICE 1. INTRODUZIONE 2. TRATTAMENTO E RISERVATEZZA DEI DATI 3. MODALITA' DI ACCESSO AI DATI DA PARTE DELL'AGENZIA DELLE ENTRATE 4. PREDISPOSIZIONE DEI DATI PER L'AGENZIA DELLE ENTRATE 4.1 PREDISPOSIZIONE MASSIVA DEI DATI DI SPESA SOSTENUTI DAL CONTRIBUENTE E DAL FAMILIARE A CARICO 4.2 PREDISPOSIZIONE PUNTUALE DEI DATI DI SPESA SOSTENUTI DAL CONTRIBUENTE E DAL FAMILIARE A CARICO 5. LOG DEL SISTEMA TS 1. INTRODUZIONE Il presente documento descrive le modalita' e il trattamento dei dati di cui al presente decreto da rendere disponibili all'Agenzia delle entrate, ai fini della precompilazione della dichiarazione dei redditi, secondo le modalita' previste dal provvedimento del direttore dell'Agenzia delle entrate, attuativo del comma 5 dell'art. 3 del decreto legislativo 21 novembre 2014, n. 175. 2. TRATTAMENTO E RISERVATEZZA DEI DATI I dati sono trasmessi su rete di comunicazione SPC ovvero, tramite internet, mediante protocollo SSL. In conformita' a quanto previsto dal comma 3 dell'art. 3 del decreto-legge 175/2014, il sistema TS mette a disposizione dell'Agenzia delle entrate le informazioni concernenti le spese sanitarie sostenute dai cittadini per il pagamento del ticket ovvero per l'acquisto delle prestazioni sanitarie (ovvero gli eventuali relativi rimborsi) e i rimborsi per prestazioni completamente o parzialmente non erogate entro il termine previsto dal provvedimento del direttore dell'Agenzia delle entrate, attuativo del comma 5 dell'art. 3 del decreto legislativo 21 novembre 2014, n. 175. In particolare il sistema TS, tramite i processi esclusivamente automatici, memorizza i dati in banche dati collocate in un'area perimetrata e separata dalle altre banche dati del Sistema TS. Tali dati sono memorizzati su archivi distinti e non interconnessi, in modo che sia assolutamente separato, rispetto a tutti gli altri, quello relativo al codice fiscale dell'assistito e il progressivo univoco del record, l'altro il medesimo progressivo e i dati d'interesse dell'Agenzia delle entrate. I sistemi di sicurezza garantiscono che l'infrastruttura sia logicamente distinta dalle altre infrastrutture del sistema TS e che l'accesso alla stessa avvenga in modo sicuro, controllato, e costantemente tracciato. Tale accesso puo' essere effettuato esclusivamente da parte di personale autorizzato dal sistema TS e con il tracciamento degli accessi e di qualsiasi attivita' eseguita. I dati di spesa sanitaria/rimborsi di cui al presente decreto contenuti nella banca dati messa a disposizione dell'Agenzia delle entrate sono trattati secondo le modalita' e le misure di sicurezza per la protezione dei dati, previste agli articoli da 31 a 36 e all'allegato B del decreto legislativo 30 giugno 2003, n. 196. 3. MODALITA' DI ACCESSO AI DATI DA PARTE DELL'AGENZIA DELLE ENTRATE Ai fini dell'accesso da parte dell'Agenzia delle entrate, il sistema TS espone servizi web service che possono essere invocati esclusivamente dai sistemi dell'Agenzia delle entrate, per acquisizioni in lettura di dati massivi ovvero per l'accesso puntuale alle singole spese sanitarie/rimborsi per codice fiscale del contribuente. I servizi web service sono raggiungibili tramite la Porta di Dominio del SistemaTS e l'autenticazione avviene attraverso certificato client secondo i requisiti previsti dalla cooperazione SPCoop ai sensi dell'art. 58 del Codice dell'Amministrazione Digitale. I dati trattati sono quelli previsti dal provvedimento del direttore dell'Agenzia delle entrate, attuativo del comma 5 dell'art. 3 del decreto legislativo 21 novembre 2014, n. 175. I soli dati trattati dall'Agenzia delle entrate sono sottoposti a procedura di storicizzazione, dopo 5 anni, al fine di consentire verifiche da parte dell'Agenzia delle entrate. I restanti dati saranno cancellati, entro l'anno successivo al periodo di riferimento. Le operazioni effettuate dal server applicativo dell'Agenzia delle entrate sono registrate nel sistema di Identity e Access Management, che registra le informazioni di autenticazione e gli attributi utilizzati per verificare i diritti di accesso all'informazione e per alimentare il sistema di tracciamento. Il sistema di tracciamento del sistema TS conserva le informazioni relative all'accesso ai servizi da parte dell'Agenzia delle entrate tramite web services. In particolare tutte le informazioni relative al tracciamento dei dati, sono accessibili solo da parte di soggetti espressamente incaricati, ai quali sia stato attribuito specifico profilo di autorizzazione, e possono essere fornite in relazione ad una specifica richiesta da parte dell'Autorita'. Tutte le operazioni effettuate da parte dell'Agenzia delle entrate sono tracciate e conservate per un periodo di 12 mesi. 4. PREDISPOSIZIONE DEI DATI PER L'AGENZIA DELLE ENTRATE La richiesta in lettura dei dati effettuata dal server applicativo dell'Agenzia delle entrate, tramite i servizi web service esposti dal sistema TS, puo' essere eseguita sulla base della tipologia di elaborazioni richiesta, ed in particolare: Massiva per lista di codici fiscali; Puntuale per codice fiscale del contribuente e del familiare a carico. 4.1 PREDISPOSIZIONE MASSIVA DEI DATI DI SPESA SOSTENUTI DAL CONTRIBUENTE E DAL FAMILIARE A CARICO Il sistema TS sulla base della richiesta "massiva" da parte dell'Agenzia delle entrate: Acquisisce la lista dei codici fiscali da elaborare, con eventuale indicazione per ogni codice fiscale, di esclusione di una o piu' tipologia di spesa come richiesta dal medesimo contribuente; Rende codificato il codice fiscale presente nella lista; Aggrega per codice fiscale codificato, tutte le spese sanitarie acquisite e presenti nelle banche dati predisposte, ad esclusione: a. delle singole spese indicate dal contribuente ai sensi dell'art. 5 del presente decreto; b. di tutte le spese afferenti alle tipologie di spesa, comunicate dal contribuente e dal familiare a carico per il tramite dell'Agenzia delle entrate, secondo quanto previsto dal provvedimento del direttore dell'Agenzia delle entrate; Somma tutti gli importi (relativi sia alle spese sostenute dal contribuente e dal familiare a carico e degli eventuali rimborsi) suddividendoli, sulla base della tipologia della spesa, secondo quanto previsto dal provvedimento del direttore dell'Agenzia delle entrate; Registra sulla stessa lista fornita dall'Agenzia delle entrate contenente codici fiscali da elaborare gli importi economici aggregati per tipologia di spesa, ad esclusione delle spese e dei rimborsi per i quali il contribuente ha manifestato la propria opposizione al trattamento da parte dell'Agenzia delle entrate per le finalita' del presente decreto. Parte di provvedimento in formato grafico 4.2 PREDISPOSIZIONE PUNTUALE DEI DATI DI SPESA SOSTENUTI DAL CONTRIBUENTE E DAL FAMILIARE A CARICO Il sistema TS per ogni richiesta puntuale da parte dell'Agenzia delle entrate: Acquisisce il codice fiscale da elaborare; Rende codificato il codice fiscale; Seleziona tramite il codice fiscale codificato nelle banche dati, tutte le spese sanitarie e/o i rimborsi riferibili al contribuente e al familiare a carico e presenti nel sistema TS, ad esclusione delle spese/rimborsi per i quali e' stata manifestata l'opposizione al trattamento da parte dell'Agenzia delle entrate per la finalita' del presente decreto; Suddivide le informazioni di dettaglio di ogni natura della spesa e/o di rimborso; Restituisce sulla base della richiesta dell'Agenzia delle entrate le informazioni di dettaglio relative al codice fiscale oggetto della richiesta. In particolare per ogni record di spesa sanitaria e/o di rimborso il sistema TS mette a disposizione le seguenti informazioni di dettaglio di spesa. Parte di provvedimento in formato grafico 5. LOG DEL SISTEMA TS Tutte le operazioni di accesso ai dati, sia massive che puntuali, sono tracciate ed in particolare sono registrati in appositi file di log i dati relativi a: Codice identificativo del soggetto fisico ovvero del processo automatico che accede ai dati; Data e ora dell'esecuzione; Modalita' di utilizzo dei dati: a. Elaborazione ai fini di totalizzazione; b. Visualizzazione dati di dettaglio; Codice fiscale dei contribuenti di cui vengono prelevati i dati; I file di log di tracciamento delle operazioni di consultazione dovranno essere conservati per un periodo di 12 mesi. Inoltre i log file garantiscono: garantiscono la verifica della liceita' del trattamento dei dati; caratteristiche di integrita' e inalterabilita'; la protezione con idonee misure contro ogni uso improprio; la cancellazione alla alla scadenza dei tempi di conservazione.