Salta al contingut principal
Memòria 2022

4.5.3. Seguretat de la informació. Control d'accessos

L'Agència Tributària té establerta una Política de Seguretat de la Informació aprovada per Resolució de la Presidència de l'Agència Tributària, de 8 de novembre de 2012, alineada amb l'Esquema Nacional de Seguretat i s'ha desenvolupat en normes i procediments operatius de seguretat. La Política de Seguretat de la Informació és l'instrument en què es basa l'Agència Tributària per assolir els seus objectius utilitzant de manera segura els sistemes d'informació i les comunicacions.

L'Agència Tributària ha adequat els seus sistemes d'informació al Reglament General de Protecció de Dades i a la Llei orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals. El 2022, el Servei d'Auditoria Interna ha coordinat la participació de l'Agència Tributària en el grup de TAXUD sobre “Data Protection Compliment normatiu”, que adequa els sistemes compartits tributaris i duaners a la Unió Europea a la legislació en matèria de protecció mitjançant l'elaboració d'acords de responsabilitat conjunta entre els Estats membres i la Comissió Europea.

D'altra banda, el Servei d'Auditoria representa al Ministeri d'Hisenda i Funció Pública en el Grup Interdepartamental per a la protecció de les infraestructures crítiques.

En el marc establert per la Política de Seguretat de la Informació, l'Agència Tributària compta amb mecanismes de protecció i seguretat de la informació, entre els quals destaquen la gestió d'usuaris i autoritzacions i el control dels accessos, de la qual finalitat és eminentment preventiva.

El sistema de control, impulsat i supervisat pel Servei d'Auditoria Interna, es basa en el registre dels accessos. Cada vegada que un usuari accedeix al sistema d'informació corporatiu per a una consulta o per a una activitat de gestió, ha de declarar el motiu de l'accés. Qualsevol accés a informació tributària de caràcter personal queda registrat juntament amb un conjunt de dades tècniques i administratius que permeten conèixer el seu context i facilitar el seu posterior control. Els processos de registre i control d'accessos segueixen operant d'igual forma quan l'empleat públic es troba en teletreball.

Se seleccionen i auditen els accessos de major risc, conforme a l'anàlisi de risc i a les pautes de la Comissió de Seguretat i Control d'Informàtica Tributària. Si el controlador considera que es tracta d'un accés indegut greu o molt greu, pot iniciar-se, si escau, un expedient disciplinari. Actualment, la ràtio d'usuaris amb algun accés disconforme és d'un per cada 441 usuaris auditats.

El 2022 s'han realitzat més de 127.000 auditories d'accés i s'ha requerida justificació d'algun accés al 80,05% del total d'usuaris de l'Agència Tributària. Com a conseqüència d'aquest control d'accessos, s'han incoat fins a la data 6 expedients disciplinaris.

Finalment, les cessions d'informació de l'Agència Tributària a organismes públics, emparades per l'article 95 de la LGT, disposen de mesures de seguretat i control equivalents a les anteriors, sigui quin sigui el seu canal de subministrament. Aquestes mesures s'estenen a la seguretat i confidencialitat dels intercanvis internacionals d'informació tributària. Conforme a les revisions entre parells acordats en el seu pit, el Fòrum Global sobre Transparència i Intercanvi d'Informació Tributària (OCDE) ha conclòs a finals de 2022 amb dictamen favorable una auditoria de seguretat i confidencialitat dels intercanvis internacionals realitzats per la jurisdicció espanyola.