III. Otras disposiciones. MINISTERIO DE HACIENDA. Comunidad Autónoma del País Vasco. Convenio. (BOE-A-2021-8848)
Orden HAC/507/2021, de 25 de mayo, por la que se publica el Convenio con la Agencia Estatal de Administración Tributaria y la Comunidad Autónoma de Euskadi, en aplicación de lo establecido en el artículo 4.4 del Real Decreto-ley 5/2021, de 12 de marzo, de medidas extraordinarias de apoyo a la solvencia empresarial en respuesta a la pandemia de la COVID-19.
12 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 126
Jueves 27 de mayo de 2021
Sec. III. Pág. 64304
Nacional de Seguridad en el ámbito de la Administración Electrónica modificado por el
Real Decreto 951/2015, de 23 de octubre, y en la Política de Seguridad de la Información
del Ministerio de Hacienda, de la Agencia Tributaria y de la Comunidad Autónoma.
Se establecen los siguientes controles sobre la custodia y la utilización de la
información tributaria suministrada por la Agencia Tributaria al amparo de este Convenio:
a)
Control interno por parte del ente cesionario de la información.
La Comunidad Autónoma realizará controles sobre la constancia y validez de la
autorización previa de los interesados y sobre la custodia y utilización que de los datos
recibidos realicen las autoridades, funcionarios o resto de personal dependientes de ella,
informando a la Comisión Mixta de Coordinación y Seguimiento de los resultados
obtenidos en dicho seguimiento.
En particular, se adoptarán medidas que eviten el riesgo de que la información pueda
ser utilizada para otros propósitos y que aseguren el cumplimiento de las condiciones
que sustentan cada una de las cesiones.
Contará con un documento de seguridad de la información, un análisis y gestión de
riesgos y una asignación explícita de responsabilidades en materia de seguridad y
deberán aplicar dichos mecanismos de seguridad a la información intercambiada.
Impedirá el acceso a la información intercambiada por parte de personal no
autorizado, estableciendo la trazabilidad de los accesos a la información intercambiada.
b)
Control por el ente titular de la información cedida.
La Comunidad Autónoma acepta someterse a las actuaciones de comprobación que
pueda acordar la Agencia Tributaria.
La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de
gestión de la seguridad de la información. En particular, las cesiones de información
realizadas quedarán registradas en su sistema de control de accesos.
El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras
actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización
de la información cedida y las condiciones normativas o convencionales que resultan de
aplicación.
Tratamiento de datos personales.
En el caso de que la información incorpore datos personales de los interesados,
tanto el cedente como el cesionario tratarán los datos de acuerdo al Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento General de Protección de Datos) y a la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Los datos tratados en este Convenio tienen la categorización de información
tributaria en lo referente a la cláusula Segunda, apartado A.3 y C del presente convenio.
Los tratamientos de datos anteriores a la cesión son responsabilidad del cedente de
la información, y los tratamientos posteriores son responsabilidad del cesionario de la
información.
En el caso del Ministerio de Hacienda, el responsable del tratamiento a efectos del
Reglamento General de Protección de Datos es la persona titular de la Secretaría
General de Financiación Autonómica y Local.
En el caso de la Agencia Tributaria, el responsable del tratamiento a efectos del
Reglamento General de Protección de Datos es la persona titular de la Dirección
General.
En el caso de la Comunidad Autónoma, cada órgano, organismo o entidad
autorizado a recibir suministros de información tendrá designado un responsable del
tratamiento a los efectos del Reglamento General de Protección de Datos.
cve: BOE-A-2021-8848
Verificable en https://www.boe.es
Décima.
Núm. 126
Jueves 27 de mayo de 2021
Sec. III. Pág. 64304
Nacional de Seguridad en el ámbito de la Administración Electrónica modificado por el
Real Decreto 951/2015, de 23 de octubre, y en la Política de Seguridad de la Información
del Ministerio de Hacienda, de la Agencia Tributaria y de la Comunidad Autónoma.
Se establecen los siguientes controles sobre la custodia y la utilización de la
información tributaria suministrada por la Agencia Tributaria al amparo de este Convenio:
a)
Control interno por parte del ente cesionario de la información.
La Comunidad Autónoma realizará controles sobre la constancia y validez de la
autorización previa de los interesados y sobre la custodia y utilización que de los datos
recibidos realicen las autoridades, funcionarios o resto de personal dependientes de ella,
informando a la Comisión Mixta de Coordinación y Seguimiento de los resultados
obtenidos en dicho seguimiento.
En particular, se adoptarán medidas que eviten el riesgo de que la información pueda
ser utilizada para otros propósitos y que aseguren el cumplimiento de las condiciones
que sustentan cada una de las cesiones.
Contará con un documento de seguridad de la información, un análisis y gestión de
riesgos y una asignación explícita de responsabilidades en materia de seguridad y
deberán aplicar dichos mecanismos de seguridad a la información intercambiada.
Impedirá el acceso a la información intercambiada por parte de personal no
autorizado, estableciendo la trazabilidad de los accesos a la información intercambiada.
b)
Control por el ente titular de la información cedida.
La Comunidad Autónoma acepta someterse a las actuaciones de comprobación que
pueda acordar la Agencia Tributaria.
La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de
gestión de la seguridad de la información. En particular, las cesiones de información
realizadas quedarán registradas en su sistema de control de accesos.
El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras
actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización
de la información cedida y las condiciones normativas o convencionales que resultan de
aplicación.
Tratamiento de datos personales.
En el caso de que la información incorpore datos personales de los interesados,
tanto el cedente como el cesionario tratarán los datos de acuerdo al Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento General de Protección de Datos) y a la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Los datos tratados en este Convenio tienen la categorización de información
tributaria en lo referente a la cláusula Segunda, apartado A.3 y C del presente convenio.
Los tratamientos de datos anteriores a la cesión son responsabilidad del cedente de
la información, y los tratamientos posteriores son responsabilidad del cesionario de la
información.
En el caso del Ministerio de Hacienda, el responsable del tratamiento a efectos del
Reglamento General de Protección de Datos es la persona titular de la Secretaría
General de Financiación Autonómica y Local.
En el caso de la Agencia Tributaria, el responsable del tratamiento a efectos del
Reglamento General de Protección de Datos es la persona titular de la Dirección
General.
En el caso de la Comunidad Autónoma, cada órgano, organismo o entidad
autorizado a recibir suministros de información tendrá designado un responsable del
tratamiento a los efectos del Reglamento General de Protección de Datos.
cve: BOE-A-2021-8848
Verificable en https://www.boe.es
Décima.
