4.5.3. Seguridad de la Información. Control de accesos

La Agencia Tributaria tiene establecida una Política de Seguridad de la Información aprobada por Resolución de la Presidencia de la Agencia Tributaria, de 8 de noviembre de 2012. La Política de Seguridad de la Información es el instrumento en que se apoya la Agencia Tributaria para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones.

En el marco establecido por la Política de Seguridad de la Información, la Agencia Tributaria cuenta con mecanismos de protección y seguridad de la información, uno de los cuales es el control de accesos cuya finalidad es eminentemente preventiva. Este sistema de control, impulsado y supervisado por el Servicio de Auditoría Interna, se basa en el registro de los accesos. Cada vez que un usuario accede al sistema de información corporativo para una consulta o para una actividad de gestión, debe declarar el motivo del acceso. Cualquier acceso a información tributaria de carácter personal queda registrado junto con un conjunto de datos técnicos y administrativos que permiten conocer su contexto y facilitar su posterior control.

Se realizan periódicamente análisis de riesgos y se seleccionan y auditan los accesos de mayor riesgo, conforme a las pautas de la Comisión de Seguridad y Control de Informática Tributaria. Si el Responsable de Seguridad considera que se trata de un acceso indebido grave o muy grave, puede iniciarse, en su caso, un expediente disciplinario. Con ligeras oscilaciones, los usuarios con algún acceso disconforme se mantienen anualmente alrededor de uno por cada 200 usuarios con accesos. Entre 2014 y 2015 se ha renovado la plataforma de tramitación de los accesos auditados efectuados por usuarios internos o usuarios externos.

Por último, en 2015 se ha requerido justificación de algún acceso al 78,94 por ciento del total de usuarios de la Agencia Tributaria. Como consecuencia de este control de accesos, se han incoado 18 expedientes disciplinarios.