4.5.3. Seguridad de la Información. Control de accesos
La Agencia Tributaria tiene establecida una Política de Seguridad de la Información aprobada por Resolución de la Presidencia de la Agencia Tributaria, de 8 de noviembre de 2012, alineada con el Esquema Nacional de Seguridad y se ha desarrollado en normas y procedimientos operativos de seguridad. La Política de Seguridad de la Información es el instrumento en que se apoya la Agencia Tributaria para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones.
La Agencia Tributaria ha adecuado sus sistemas de información al Reglamento General de Protección de Datos y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. En 2022, el Servicio de Auditoría Interna ha coordinado la participación de la Agencia Tributaria en el grupo de TAXUD sobre “Data Protection Compliance”, que adecúa los sistemas compartidos tributarios y aduaneros en la Unión Europea a la legislación en materia de protección mediante la elaboración de acuerdos de responsabilidad conjunta entre los Estados miembros y la Comisión Europea.
Por otra parte, el Servicio de Auditoría representa al Ministerio de Hacienda y Función Pública en el Grupo Interdepartamental para la protección de las infraestructuras críticas.
En el marco establecido por la Política de Seguridad de la Información, la Agencia Tributaria cuenta con mecanismos de protección y seguridad de la información, entre los que destacan la gestión de usuarios y autorizaciones y el control de los accesos, cuya finalidad es eminentemente preventiva.
El sistema de control, impulsado y supervisado por el Servicio de Auditoría Interna, se basa en el registro de los accesos. Cada vez que un usuario accede al sistema de información corporativo para una consulta o para una actividad de gestión, debe declarar el motivo del acceso. Cualquier acceso a información tributaria de carácter personal queda registrado junto con un conjunto de datos técnicos y administrativos que permiten conocer su contexto y facilitar su posterior control. Los procesos de registro y control de accesos siguen operando de igual forma cuando el empleado público se encuentra en teletrabajo.
Se seleccionan y auditan los accesos de mayor riesgo, conforme al análisis de riesgo y a las pautas de la Comisión de Seguridad y Control de Informática Tributaria. Si el controlador considera que se trata de un acceso indebido grave o muy grave, puede iniciarse, en su caso, un expediente disciplinario. Actualmente, la ratio de usuarios con algún acceso disconforme es de uno por cada 441 usuarios auditados.
En 2022 se han realizado más de 127.000 auditorías de acceso y se ha requerido justificación de algún acceso al 80,05% del total de usuarios de la Agencia Tributaria. Como consecuencia de este control de accesos, se han incoado hasta la fecha 6 expedientes disciplinarios.
Por último, las cesiones de información de la Agencia Tributaria a organismos públicos, amparadas por el artículo 95 de la LGT, disponen de medidas de seguridad y control equivalentes a las anteriores, sea cual sea su canal de suministro. Estas medidas se extienden a la seguridad y confidencialidad de los intercambios internacionales de información tributaria. Conforme a las revisiones entre pares acordadas en su seno, el Foro Global sobre Transparencia e Intercambio de Información Tributaria (OCDE) ha concluido a finales de 2022 con dictamen favorable una auditoría de seguridad y confidencialidad de los intercambios internacionales realizados por la jurisdicción española.