Saltar ao contido principal
Memoria 2021

4.5.3. Seguridade da Información. Control de accesos

A Axencia Tributaria ten establecida unha Política de Seguridade da Información aprobada por Resolución da Presidencia da Axencia Tributaria, do 8 de novembro de 2012, aliñada co Esquema Nacional de Seguridade. A Política de Seguridade da Información é o instrumento en que se apoia a Axencia Tributaria para acadar os seus obxectivos utilizando de xeito seguro os sistemas de información e as comunicacións.

A Axencia Tributaria axeitou os seus sistemas de información ao Regulamento Xeral de Protección de Datos e á Lei Orgánica 3/2018 de Protección de Datos Persoais e garantía dos dereitos dixitais. En 2021, o Servizo de Auditoría Interna coordinou a participación da AEAT nos grupos de traballo FPG/121 e CPG/200, que axeitan os sistemas compartidos tributarios e aduaneiros da Unión Europea á lexislación en materia de protección de datos.

Por outra banda, o Servizo de Auditoría representa o Ministerio de Facenda e Función Pública no Grupo Interdepartamental para a protección das infraestruturas críticas.

No marco establecido pola Política de Seguridade da Información, a Axencia Tributaria conta con mecanismos de protección e seguridade da información, entre os que destacan a xestión de usuarios e autorizacións e o control dos accesos, cuxa finalidade é eminentemente preventiva.

O sistema de control, impulsado e supervisado polo Servizo de Auditoría Interna, baséase no rexistro dos accesos. Cada vez que un usuario accede ao sistema de información corporativa para unha consulta ou para unha actividade de xestión, debe declarar o motivo do acceso. Calquera acceso a información tributaria de carácter persoal queda rexistrado canda un conxunto de datos técnicos e administrativos que permiten coñecer o seu contexto e facilitar o seu posterior control. En 2021, o teletraballo dos empregados públicos, fundamentado no acceso remoto aos sistemas de información non alterou os procesos de rexistro e control de accesos que seguiron operando con normalidade.

Selecciónanse e auditan os accesos de maior risco, conforme á análise de risco e ás pautas da Comisión de Seguridade e Control de Informática Tributaria. Se o controlador considera que se trata dun acceso indebido grave ou moi grave, pode iniciarse, se é o caso, un expediente disciplinario. Actualmente, os usuarios con algún acceso desconforme é dun por cada 501 usuarios auditados.

En 2021 requiriuse xustificación dalgún acceso ao 80,77 %do total de usuarios da Axencia Tributaria. Como consecuencia deste control de accesos, incoáronse ata agora 6 expedientes disciplinarios.

Por último, as cesións de información da Axencia Tributaria a organismos públicos, amparadas polo artigo 95 da LGT , dispón de medidas de seguridade e control equivalente ás anteriores, sexa cal for a súa canle de subministración. Estas medidas esténdense á seguridade e confidencialidade dos intercambios internacionais de información tributaria. Conforme ás revisións entre pares acordados no seu seo, o Foro Global sobre Transparencia e Intercambio de Información Tributaria (OCDE) iniciou en 2021 unha auditoría de seguridade e confidencialidade dos intercambios internacionais realizados pola xurisdición española.