III. Otras disposiciones. MINISTERIO DE LA PRESIDENCIA, JUSTICIA Y RELACIONES CON LAS CORTES. Convenios. (BOE-A-2024-7542)
Resolución de 9 de abril de 2024, de la Subsecretaría, por la que se publica el Convenio entre la Agencia Estatal de Administración Tributaria y la Secretaría de Estado de Energía, en materia de cesión de información de carácter tributario para la tramitación del bono social.
12 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 93
Martes 16 de abril de 2024
Sec. III. Pág. 42620
Octava. Control y seguridad de los datos suministrados.
1. El control y seguridad de los datos suministrados se regirá por lo dispuesto en el
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad, y en la Política de Seguridad de la Información de la Agencia Tributaria.
2. La Administración cesionaria será responsable respecto de la utilización que sus
usuarios realicen de la información recibida, en especial de la proporcionalidad,
adecuación y pertinencia de los datos a los que se acceda.
3. La Administración cesionaria deberá garantizar que todos los usuarios
autorizados para realizar consultas reciben acciones formativas y de concienciación en
relación con los requisitos para poder hacer uso de estas consultas, y de buenas
prácticas de seguridad para que estas consultas se realicen en unas condiciones
adecuadas, evitando posibles incidencias de seguridad.
4. Se establecen los siguientes controles sobre los accesos, la custodia y la
utilización de la información suministrada al amparo de este convenio:
a)
Control interno por parte del cesionario de la información.
− Realizará controles sobre la custodia y utilización que de los datos recibidos
realicen las autoridades, funcionarios o resto de personal dependiente, informando a la
Comisión Mixta de Seguimiento de los resultados obtenidos en dicho seguimiento.
− Contará con una política de seguridad de la información, un análisis y gestión de
riesgos y una asignación explícita de responsabilidades en materia de seguridad
adecuadas, y deberá aplicar dichos mecanismos de seguridad a la información
suministrada por la Agencia Tributaria.
− Impedirá el acceso a la información suministrada por parte de personal no
autorizado, estableciendo la trazabilidad de los accesos a la información suministrada y
desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.
− Adoptará medidas específicas que eviten el riesgo de que la información pueda ser
utilizada, incluso inadvertidamente, para otros propósitos, o por personal en el que
concurra algún conflicto de intereses, así como medidas que aseguren el cumplimiento
de las condiciones que sustentan cada una de las cesiones.
− Deberá evitar que los funcionarios autorizados a realizar consultas a datos
tributarios realicen accesos que no se ajusten a la finalidad de este convenio, accesos a
datos propios o a datos en los que pueda existir algún tipo de conflicto de interés.
Si como consecuencia de las labores de control se advirtiese la utilización de la
información obtenida con fines distintos de los previstos en el presente convenio se
abrirán diligencias informativas en orden a su esclarecimiento y, en su caso, a la
exigencia por parte del órgano competente de las responsabilidades disciplinarias o
administrativas que procedan según la normativa vigente, con traslado, si procede, a la
autoridad judicial correspondiente.
Control por la titular de la información cedida.
La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de
gestión de la seguridad de la información. En particular, las cesiones de información
realizadas quedarán registradas en el sistema de control de accesos de la Agencia
Tributaria.
El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras
actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización
de la información cedida y de las condiciones normativas o convencionales que resulten
de aplicación.
5. Las partes se comprometen a colaborar en la investigación y resolución de las
incidencias de seguridad.
cve: BOE-A-2024-7542
Verificable en https://www.boe.es
b)
Núm. 93
Martes 16 de abril de 2024
Sec. III. Pág. 42620
Octava. Control y seguridad de los datos suministrados.
1. El control y seguridad de los datos suministrados se regirá por lo dispuesto en el
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad, y en la Política de Seguridad de la Información de la Agencia Tributaria.
2. La Administración cesionaria será responsable respecto de la utilización que sus
usuarios realicen de la información recibida, en especial de la proporcionalidad,
adecuación y pertinencia de los datos a los que se acceda.
3. La Administración cesionaria deberá garantizar que todos los usuarios
autorizados para realizar consultas reciben acciones formativas y de concienciación en
relación con los requisitos para poder hacer uso de estas consultas, y de buenas
prácticas de seguridad para que estas consultas se realicen en unas condiciones
adecuadas, evitando posibles incidencias de seguridad.
4. Se establecen los siguientes controles sobre los accesos, la custodia y la
utilización de la información suministrada al amparo de este convenio:
a)
Control interno por parte del cesionario de la información.
− Realizará controles sobre la custodia y utilización que de los datos recibidos
realicen las autoridades, funcionarios o resto de personal dependiente, informando a la
Comisión Mixta de Seguimiento de los resultados obtenidos en dicho seguimiento.
− Contará con una política de seguridad de la información, un análisis y gestión de
riesgos y una asignación explícita de responsabilidades en materia de seguridad
adecuadas, y deberá aplicar dichos mecanismos de seguridad a la información
suministrada por la Agencia Tributaria.
− Impedirá el acceso a la información suministrada por parte de personal no
autorizado, estableciendo la trazabilidad de los accesos a la información suministrada y
desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.
− Adoptará medidas específicas que eviten el riesgo de que la información pueda ser
utilizada, incluso inadvertidamente, para otros propósitos, o por personal en el que
concurra algún conflicto de intereses, así como medidas que aseguren el cumplimiento
de las condiciones que sustentan cada una de las cesiones.
− Deberá evitar que los funcionarios autorizados a realizar consultas a datos
tributarios realicen accesos que no se ajusten a la finalidad de este convenio, accesos a
datos propios o a datos en los que pueda existir algún tipo de conflicto de interés.
Si como consecuencia de las labores de control se advirtiese la utilización de la
información obtenida con fines distintos de los previstos en el presente convenio se
abrirán diligencias informativas en orden a su esclarecimiento y, en su caso, a la
exigencia por parte del órgano competente de las responsabilidades disciplinarias o
administrativas que procedan según la normativa vigente, con traslado, si procede, a la
autoridad judicial correspondiente.
Control por la titular de la información cedida.
La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de
gestión de la seguridad de la información. En particular, las cesiones de información
realizadas quedarán registradas en el sistema de control de accesos de la Agencia
Tributaria.
El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras
actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización
de la información cedida y de las condiciones normativas o convencionales que resulten
de aplicación.
5. Las partes se comprometen a colaborar en la investigación y resolución de las
incidencias de seguridad.
cve: BOE-A-2024-7542
Verificable en https://www.boe.es
b)
