4.5.3. Seguretat de la informació. Control d'accessos
L'Agència Tributària té establerta una Política de Seguretat de la Informació aprovada per Resolució de la Presidència de l'Agència Tributària, de 8 de novembre de 2012. La Política de Seguretat de la Informació és l'instrument en què es basa l'Agència Tributària per assolir els seus objectius utilitzant de manera segura els sistemes d'informació i les comunicacions.
L'Agència Tributària ha realitzat el 2017 l'adaptació al Reial decret 951/2015, que modifica l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica, i ha posat en marxa l'adequació dels seus sistemes d'informació al Reglament General Europeu de Protecció de Dades (Reglament (UE) 2016/679), d'aplicació a partir del 25 de maig de 2018.
En el marc establert per la Política de Seguretat de la Informació, l'Agència Tributària compta amb mecanismes de protecció i seguretat de la informació, entre els quals destaquen la gestió d'usuaris i autoritzacions i el control d'accessos de la qual finalitat és eminentment preventiva.
El sistema de control, impulsat i supervisat pel Servei d'Auditoria Interna, es basa en el registre dels accessos. Cada vegada que un usuari accedeix al sistema d'informació corporatiu per a una consulta o per a una activitat de gestió, ha de declarar el motiu de l'accés. Qualsevol accés a informació tributària de caràcter personal queda registrat juntament amb un conjunt de dades tècniques i administratius que permeten conèixer el seu context i facilitar el seu posterior control.
Se seleccionen i auditen els accessos de major risc, conforme a l'anàlisi de risc i a les pautes de la Comissió de Seguretat i Control d'Informàtica Tributària. Si el controlador considera que es tracta d'un accés indegut greu o molt greu, pot iniciar-se, si escau, un expedient disciplinari. Actualment, els usuaris amb algun accés disconforme han descendit a un per cada 395 usuaris auditats. Una vegada renovada el 2015 la plataforma de tractament dels accessos auditats, s'ha implantat el 2017 un nou procés de selecció d'accessos amb criteris aleatoris i de risc que substitueix a l'anterior.
El 2017 s'ha requerida justificació d'algun accés al 81,97 per cent del total d'usuaris de l'Agència Tributària. Com a conseqüència d'aquest control d'accessos, s'han incoat 22 expedients disciplinaris.
Finalment, les cessions d'informació de l'Agència Tributària a organismes públics, emparades per l'article 95 de la LGT, disposen de mesures de seguretat i control equivalents a les anteriors.