Saltar ao contido principal
Memoria 2022

4.5.3. Seguridade da Información. Control de accesos

A Axencia Tributaria ten establecida unha Política de Seguridade da Información aprobada por Resolución da Presidencia da Axencia Tributaria, do 8 de novembro de 2012, aliñada co Esquema Nacional de Seguridade e desenvolveuse en normas e procedementos operativos de seguridade. A Política de Seguridade da Información é o instrumento en que se apoia a Axencia Tributaria para acadar os seus obxectivos utilizando de xeito seguro os sistemas de información e as comunicacións.

A Axencia Tributaria axeitou os seus sistemas de información ao Regulamento Xeral de Protección de Datos e á Lei Orgánica 3/2018 de Protección de Datos Persoais e garantía dos dereitos dixitais. En 2022, o Servizo de Auditoría Interna coordinou a participación da Axencia Tributaria no grupo de TAXUD sobre “Data Protection Compliance”, que axeita os sistemas compartidos tributarios e aduaneiros na Unión Europea á lexislación en materia de protección mediante a elaboración de acordos de responsabilidade conxunta entre os Estados membros e a Comisión Europea.

Por outra banda, o Servizo de Auditoría representa o Ministerio de Facenda e Función Pública no Grupo Interdepartamental para a protección das infraestruturas críticas.

No marco establecido pola Política de Seguridade da Información, a Axencia Tributaria conta con mecanismos de protección e seguridade da información, entre os que destacan a xestión de usuarios e autorizacións e o control dos accesos, cuxa finalidade é eminentemente preventiva.

O sistema de control, impulsado e supervisado polo Servizo de Auditoría Interna, baséase no rexistro dos accesos. Cada vez que un usuario accede ao sistema de información corporativa para unha consulta ou para unha actividade de xestión, debe declarar o motivo do acceso. Calquera acceso a información tributaria de carácter persoal queda rexistrado canda un conxunto de datos técnicos e administrativos que permiten coñecer o seu contexto e facilitar o seu posterior control. Os procesos de rexistro e control de accesos seguen operando de igual forma cando o empregado público se encontra en teletraballo.

Selecciónanse e auditan os accesos de maior risco, conforme á análise de risco e ás pautas da Comisión de Seguridade e Control de Informática Tributaria. Se o controlador considera que se trata dun acceso indebido grave ou moi grave, pode iniciarse, se é o caso, un expediente disciplinario. Actualmente, a ratio de usuarios con algún acceso desconforme é dun por cada 441 usuarios auditados.

En 2022 realizáronse máis de 127.000 auditorías de acceso e requiriuse xustificación dalgún acceso ao 80,05 %do total de usuarios da Axencia Tributaria. Como consecuencia deste control de accesos, incoáronse ata agora 6 expedientes disciplinarios.

Por último, as cesións de información da Axencia Tributaria a organismos públicos, amparadas polo artigo 95 da LGT , dispón de medidas de seguridade e control equivalente ás anteriores, sexa cal for a súa canle de subministración. Estas medidas esténdense á seguridade e confidencialidade dos intercambios internacionais de información tributaria. Conforme ás revisións entre pares acordados no seu seo, o Foro Global sobre Transparencia e Intercambio de Información Tributaria (OCDE) concluíu a finais de 2022 con ditame favorable unha auditoría de seguridade e confidencialidade dos intercambios internacionais realizados pola xurisdición española.