4.5.3. Seguretat de la Informació. Control d'accessos
L'Agència Tributària té establida una Política de Seguretat de la Informació aprovada per Resolució de la Presidència de l'Agència Tributària, de 8 de novembre de 2012, alineada amb l'Esquema Nacional de Seguretat. La Política de Seguretat de la Informació és l'intrument en què es basa l'Agència Tributària per a assolir els seus objectius utilitzant de manera segura els sistemes d'informació i les comunicacions.
L'Agència Tributària ha adequat els seus sistemes d'informació al Reglament General de Protecció de Dades i a la Llei orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals. El 2021, el Servici d'Auditoria Interna ha coordinat la participació de l'AEAT en els grups de treball FPG/121 i CPG/200, que adeqüen els sistemes compartits tributaris i duaners de la Unió Europea a la legislació en matèria de protecció de dades.
D'altra banda, el Servici d'Auditoria representa al Ministeri d'Hisenda i Funció Pública en el Grup Interdepartamental per a la protecció de les infraestructures crítiques.
En el marc establit per la Política de Seguretat de la Informació, l'Agència Tributària compta amb mecanismes de protecció i seguretat de la informació, entre els quals destaquen la gestió d'usuaris i autoritzacions i el control dels accessos, de la qual finalitat és eminentment preventiva.
El sistema de control, impulsat i supervisat pel Servici d'Auditoria Interna, es basa en el registre dels accessos. Tota vegada que un usuari accedix al sistema d'informació corporatiu per a una consulta o per a una activitat de gestió, ha de declarar el motiu de l'accés. Qualsevol accés a informació tributària de caràcter personal queda registrat juntament amb un conjunt de dades tècniques i administratius que permeten conéixer el seu context i facilitar el seu posterior control. El 2021, el teletreball dels empleats públics, fonamentat en l'accés remot als sistemes d'informació no ha alterat els processos de registre i control d'accessos que han seguit operant amb normalitat.
Se seleccionen i auditen els accessos de major risc, conforme a l'anàlisi de risc i a les pautes de la Comissió de Seguretat i Control d'Informàtica Tributària. Si el controlador considera que es tracta d'un accés indegut greu o molt greu, pot iniciar-se, si escau, un expediente disciplinari. Actualment, els usuaris amb algun accés disconforme és d'un per cada 501 usuaris auditats.
El 2021 s'ha requerit justificació d'algun accés al 80,77% del total d'usuaris de l'Agència Tributària. Com a conseqüència d'este control d'accessos, s'han incoat fins la data 6 expedientes disciplinaris.
Finalment, les cessions d'informació de l'Agència Tributària a organismes públics, emparades per l'article 95 de la LGT, disposen de mesures de seguretat i control equivalents a les anteriors, siga quin siga el seu canal de subministrament. Estes mesures s'estenen a la seguretat i confidencialitat dels intercanvis internacionals d'informació tributària. Conforme a les revisions entre parixes recordades en el seu pit, el Fòrum Global sobre Transparència i Intercanvi d'Informació Tributària (OCDE) ha iniciat el 2021 una auditoria de seguretat i confidencialitat dels intercanvis internacionals realitzats per la jurisdicció espanyola.