III. Otras disposiciones. MINISTERIO DE HACIENDA Y FUNCIÓN PÚBLICA. Comunidad de Madrid. Convenio. (BOE-A-2023-23700)
Resolución de 16 de noviembre de 2023, de la Dirección del Servicio de Planificación y Relaciones Institucionales de la Agencia Estatal de Administración Tributaria, por la que se publica el Convenio con la Universidad Autónoma de Madrid, en materia de suministro de información para finalidades no tributarias.
10 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 279
Miércoles 22 de noviembre de 2023
Sec. III. Pág. 155420
2. Se establecen los siguientes controles sobre los accesos, la custodia y la
utilización de la información suministrada al amparo de este convenio:
a)
Control interno por parte del ente cesionario de la información:
– Realizará controles sobre la custodia y utilización que de los datos recibidos
realicen las autoridades, funcionarios o resto del personal dependiente, informando a la
Comisión Mixta de Coordinación y Seguimiento de los resultados obtenidos en dicho
seguimiento.
– Contará con una política de seguridad de la información, un análisis y gestión de
riesgos y una asignación explícita de responsabilidades en materia de seguridad
adecuadas, y deberá aplicar dichos mecanismos de seguridad a la información
suministrada por la Agencia Tributaria.
– Impedirá el acceso a la información suministrada por parte de personal no
autorizado, estableciendo la trazabilidad de los accesos a la información suministrada y
desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.
– Adoptará medidas específicas que eviten el riesgo de que la información pueda ser
utilizada, incluso inadvertidamente, para otros propósitos, o por personal en el que
concurra algún conflicto de intereses, así como medidas que aseguren el cumplimiento
de las condiciones que sustentan cada una de las cesiones.
b)
Control por la titular de la información cedida:
– La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de
gestión de la seguridad de la información. En particular, las cesiones de información
realizadas quedarán registradas en el sistema de control de accesos de la Agencia
Tributaria.
– El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras
actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización
de la información cedida y de las condiciones normativas o convencionales que resulten
de aplicación.
Novena. Protección de datos.
1. Los datos personales que se recogen en el presente convenio, y los que se deriven
de su ejecución, serán incorporados a las actividades de tratamiento responsabilidad de las
partes firmantes, y serán tratados únicamente a los efectos de llevar a buen fin el convenio.
Ambas partes se comprometen a tratar dichos datos conforme a lo dispuesto en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los
Derechos Digitales, en el Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
cve: BOE-A-2023-23700
Verificable en https://www.boe.es
3. El cesionario deberá evitar que los funcionarios de la Universidad Autónoma de
Madrid autorizados a realizar consultas a datos tributarios realicen accesos que no se
ajusten a la finalidad de este convenio, accesos a datos propios o a datos en los que
pueda existir algún tipo de conflicto de interés.
4. Las partes se comprometen a colaborar en la investigación y resolución de las
incidencias de seguridad. En particular, en el caso de detectarse un riesgo inminente o
una incidencia de seguridad que afecte significativamente a los intercambios de
información, las partes podrán interrumpir temporalmente los suministros dando aviso a
la contraparte y comunicándolo de inmediato a la Comisión Mixta de Coordinación y
Seguimiento del convenio.
5. El cesionario deberá garantizar que todos los usuarios autorizados para realizar
consultas a datos tributarios reciben acciones formativas y de concienciación en relación
con los requisitos para poder hacer uso de estas consultas, y de buenas prácticas de
seguridad para que estas consultas se realicen en unas condiciones adecuadas,
evitando posibles incidencias de seguridad.
Núm. 279
Miércoles 22 de noviembre de 2023
Sec. III. Pág. 155420
2. Se establecen los siguientes controles sobre los accesos, la custodia y la
utilización de la información suministrada al amparo de este convenio:
a)
Control interno por parte del ente cesionario de la información:
– Realizará controles sobre la custodia y utilización que de los datos recibidos
realicen las autoridades, funcionarios o resto del personal dependiente, informando a la
Comisión Mixta de Coordinación y Seguimiento de los resultados obtenidos en dicho
seguimiento.
– Contará con una política de seguridad de la información, un análisis y gestión de
riesgos y una asignación explícita de responsabilidades en materia de seguridad
adecuadas, y deberá aplicar dichos mecanismos de seguridad a la información
suministrada por la Agencia Tributaria.
– Impedirá el acceso a la información suministrada por parte de personal no
autorizado, estableciendo la trazabilidad de los accesos a la información suministrada y
desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.
– Adoptará medidas específicas que eviten el riesgo de que la información pueda ser
utilizada, incluso inadvertidamente, para otros propósitos, o por personal en el que
concurra algún conflicto de intereses, así como medidas que aseguren el cumplimiento
de las condiciones que sustentan cada una de las cesiones.
b)
Control por la titular de la información cedida:
– La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de
gestión de la seguridad de la información. En particular, las cesiones de información
realizadas quedarán registradas en el sistema de control de accesos de la Agencia
Tributaria.
– El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras
actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización
de la información cedida y de las condiciones normativas o convencionales que resulten
de aplicación.
Novena. Protección de datos.
1. Los datos personales que se recogen en el presente convenio, y los que se deriven
de su ejecución, serán incorporados a las actividades de tratamiento responsabilidad de las
partes firmantes, y serán tratados únicamente a los efectos de llevar a buen fin el convenio.
Ambas partes se comprometen a tratar dichos datos conforme a lo dispuesto en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los
Derechos Digitales, en el Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
cve: BOE-A-2023-23700
Verificable en https://www.boe.es
3. El cesionario deberá evitar que los funcionarios de la Universidad Autónoma de
Madrid autorizados a realizar consultas a datos tributarios realicen accesos que no se
ajusten a la finalidad de este convenio, accesos a datos propios o a datos en los que
pueda existir algún tipo de conflicto de interés.
4. Las partes se comprometen a colaborar en la investigación y resolución de las
incidencias de seguridad. En particular, en el caso de detectarse un riesgo inminente o
una incidencia de seguridad que afecte significativamente a los intercambios de
información, las partes podrán interrumpir temporalmente los suministros dando aviso a
la contraparte y comunicándolo de inmediato a la Comisión Mixta de Coordinación y
Seguimiento del convenio.
5. El cesionario deberá garantizar que todos los usuarios autorizados para realizar
consultas a datos tributarios reciben acciones formativas y de concienciación en relación
con los requisitos para poder hacer uso de estas consultas, y de buenas prácticas de
seguridad para que estas consultas se realicen en unas condiciones adecuadas,
evitando posibles incidencias de seguridad.
