Agencia Estatal Boletín Oficial del Estado
El Director General de la Tesorería General de la Seguridad Social y el Interventor General de la Administración del Estado, han suscrito un Convenio sobre cesión de información.
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido Convenio como anejo a la presente Resolución.
Madrid, 26 de mayo de 2020.–El Subsecretario de la Presidencia, Relaciones con las Cortes y Memoria Democrática, Antonio J. Hidalgo López.
23 de abril de 2020.
REUNIDOS
De una parte, don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero (BOE de 22 de enero) actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.
De otra parte, don Pablo Arellano Pardo, nombrado por el Real Decreto 618/2018, de 22 de junio (BOE n.º 152, de 23 de junio), en el ámbito de las funciones previstas en artículo 13.1.l) del Real Decreto 1113/2018, de 7 de septiembre, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda, que actúa, por delegación en virtud del artículo 7.2 de la Orden HAC/316/2019, de 12 de marzo, de delegación de competencias y por la que se fijan los límites de las competencias de gestión presupuestaria y concesión de subvenciones y ayudas de los titulares de las Secretarías de Estado, de acuerdo con lo dispuesto en el artículo 61.k) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Las partes se reconocen con capacidad suficiente para suscribir el presente Convenio y a tal efecto
EXPONEN
1. La Tesorería General de la Seguridad Social (en adelante TGSS) está adscrita a la Secretaría de Estado de la Seguridad Social del Ministerio de Inclusión, Seguridad Social y Migraciones. Es un Servicio Común de la Seguridad Social dotado de personalidad jurídica propia, al que le compete la gestión de los recursos económicos y la administración financiera del sistema, en aplicación de los principios de solidaridad financiera y de caja única.
2. El Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores, y en el 1.b) la gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social, materias reguladas posteriormente por el Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero, por el Reglamento General sobre cotización y liquidación de otros derechos de la Seguridad Social aprobado por Real Decreto 2064/1995, de 22 de diciembre y por el Reglamento General de Recaudación de la Seguridad Social, aprobado por el Real Decreto 1415/2004, de 11 de julio.
3. Conforme el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales «El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679».
Además, el artículo 155 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula expresamente la transmisión de datos entre administraciones públicas en desarrollo del artículo 3.1.k) de la propia Ley 40/2015.
4. El artículo 77, punto 1.º, del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el Texto Refundido de la Ley General de la Seguridad Social, establece que «los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tengan por objeto, entre otros supuestos, los recogidos en el apartado d) «la colaboración con cualesquiera otras Administraciones Públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos Regímenes del Sistema de la Seguridad Social».
5. La Intervención General de la Administración del Estado (en adelante IGAE) es un órgano adscrito a la Subsecretaría del Ministerio de Hacienda, con rango de Subsecretaría, tal y como señala el Real Decreto 1113/2018, de 7 de septiembre, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda.
Dentro de las funciones y competencias que lleva a cabo la IGAE se encuentra el ejercer, en virtud de lo establecido en el artículo 141 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, el control sobre entidades colaboradoras y beneficiarias de subvenciones y ayudas concedidas por los sujetos del sector público estatal y de los financiados con cargo a fondos comunitarios de acuerdo a lo establecido en la Ley General de Subvenciones y en la normativa comunitaria.
A este respecto, el título III de la Ley 38/2003, de 17 de noviembre, General de Subvenciones regula el control financiero de las subvenciones.
El artículo 44 de la Ley General de Subvenciones establece:
«1. El control financiero de subvenciones se ejercerá respecto de beneficiarios y, en su caso, entidades colaboradoras por razón de las subvenciones de la Administración General del Estado y organismos y entidades vinculados o dependientes de aquélla, otorgadas con cargo a los Presupuestos Generales del Estado o a los fondos de la Unión Europea.
2. El control financiero de subvenciones tendrá como objeto verificar:
a) La adecuada y correcta obtención de la subvención por parte del beneficiario.
b) El cumplimiento por parte de beneficiarios y entidades colaboradoras de sus obligaciones en la gestión y aplicación de la subvención.
c) La adecuada y correcta justificación de la subvención por parte de beneficiarios y entidades colaboradoras.
d) La realidad y la regularidad de las operaciones que, de acuerdo con la justificación presentada por beneficiarios y entidades colaboradoras, han sido financiadas con la subvención.
e) La adecuada y correcta financiación de las actividades subvencionadas, en los términos establecidos en el apartado 3 del artículo 19 de esta Ley.
f) La existencia de hechos, circunstancias o situaciones no declaradas a la Administración por beneficiarios y entidades colaboradoras y que pudieran afectar a la financiación de las actividades subvencionadas, a la adecuada y correcta obtención, utilización, disfrute o justificación de la subvención, así como a la realidad y regularidad de las operaciones con ella financiadas.
3. La competencia para el ejercicio del control financiero de subvenciones corresponderá a la Intervención General de la Administración del Estado, sin perjuicio de las funciones que la Constitución y las Leyes atribuyan al Tribunal de Cuentas y de lo dispuesto en el artículo 6 de esta Ley.
4. El control financiero de subvenciones podrá consistir en:
a) El examen de registros contables, cuentas o estados financieros y la documentación que los soporte, de beneficiarios y entidades colaboradoras.
b) El examen de operaciones individualizadas y concretas relacionadas o que pudieran afectar a las subvenciones concedidas.
c) La comprobación de aspectos parciales y concretos de una serie de actos relacionados o que pudieran afectar a las subvenciones concedidas.
d) La comprobación material de las inversiones financiadas.
e) Las actuaciones concretas de control que deban realizarse conforme con lo que en cada caso establezca la normativa reguladora de la subvención y, en su caso, la resolución de concesión.
f) Cualesquiera otras comprobaciones que resulten necesarias en atención a las características especiales de las actividades subvencionadas.
5. El control financiero podrá extenderse a las personas físicas o jurídicas a las que se encuentren asociados los beneficiarios, así como a cualquier otra persona susceptible de presentar un interés en la consecución de los objetivos, en la realización de las actividades, en la ejecución de los proyectos o en la adopción de los comportamientos.»
El ejercicio del control financiero de subvenciones y ayudas públicas se adecúa al Plan de auditorías que aprueba anualmente la IGAE (art. 49.1 de la Ley General de Subvenciones) y entre los deberes del personal controlador se cita expresamente el de guardar la confidencialidad y el secreto respecto de los asuntos que conozca por razón de su trabajo (art. 48.1 de la Ley General de Subvenciones).
El control financiero de subvenciones y ayudas es ejercido por la Oficina Nacional de Auditoría, a la que según el artículo 13 del Real Decreto 1113/2018, de 7 de septiembre, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda, le corresponde ejercer las funciones atribuidas por la Ley General de Subvenciones; el control financiero de subvenciones y ayudas públicas es ejercido a través de sus Divisiones y en especial, de la División de Auditoría Operativa y Control Financiero de Subvenciones Nacionales.
Además, el citado Real Decreto atribuye el ejercicio del control de subvenciones y ayudas públicas a las Intervenciones Delegadas en los departamentos ministeriales, a las Intervenciones Delegadas en los organismos públicos, a las Intervenciones Delegadas regionales y a las Intervenciones Delegadas territoriales.
Por otro lado, dentro las funciones y competencias de la IGAE se encuentran también las que esta ejerce a través del Servicio Nacional de Coordinación Antifraude.
Dicho Servicio se encuentra regulado específicamente en la disposición adicional 25.ª de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, que establece en su apartado 1 que el Servicio Nacional de Coordinación Antifraude estará integrado en la Intervención General de la Administración del Estado y coordinará las acciones encaminadas a proteger los intereses financieros de la Unión Europea contra el fraude y dar cumplimiento al artículo 325 del Tratado de Funcionamiento de la Unión Europea y al artículo 3.4 del Reglamento (UE, Euratom) n.º 883/2013, del Parlamento Europeo y del Consejo relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF), desarrollándose sus funciones en el apartado 2 de la citada disposición adicional.
En virtud de lo dispuesto en los preceptos anteriores, el Servicio Nacional de Coordinación Antifraude realiza actuaciones de investigación de posibles irregularidades y casos de fraude que afectan a los intereses financieros de la UE, tanto en el marco de las iniciativas propias adoptadas por dicho Servicio al amparo de las funciones que le atribuyen las letras a) y b) del apartado 2 y el último inciso del apartado 5 de la disposición adicional 25.ª de la LGS, como en el marco de las investigaciones desarrolladas por la Oficina Europea de Lucha contra el Fraude en territorio nacional.
A este respecto, las letras a) y b) del apartado 2 de la citada disposición adicional establecen que corresponde al Servicio Nacional de Coordinación Antifraude «identificar las posibles deficiencias de los sistemas nacionales para la gestión de fondos de la Unión Europea» y «promover los cambios (…) administrativos necesarios para proteger los intereses financieros de la Unión Europea», debiendo señalarse que en el ejercicio de estas funciones dicho Servicio ha puesto en marcha un canal específico para que cualquier persona que tenga conocimiento de hechos que puedan ser constitutivos de fraude o irregularidad en relación con operaciones financiadas con fondos de la UE, lo pueda poner en conocimiento del citado Servicio a efectos de que este pueda realizar las actuaciones de investigación que correspondan y determinar el tratamiento que proceda dar a los mismos.
Por otro lado, debe tenerse en cuenta que el artículo 3.4 del Reglamento (UE, Euratom) n.º 883/2013 establece que «A efectos del presente Reglamento, los Estados miembros designarán un servicio (en lo sucesivo denominado «el servicio de coordinación antifraude») que facilite la coordinación efectiva y el intercambio de información con la Oficina, incluyendo información de carácter operativo».
Esto implica que, además de la información que el Servicio Nacional de Coordinación Antifraude necesita en el marco de sus propias actuaciones de investigación, dicho Servicio tiene la obligación de recabar y remitir a la OLAF la información que esta le requiera en el marco de las investigaciones que dicha Oficina lleva a cabo en territorio nacional, siempre que resulte necesaria para el buen desarrollo de dichas investigaciones.
6. Por su parte, el artículo 145.2 de la Ley 47/2003, de 28 de noviembre, General Presupuestaria, regula en los siguientes términos el deber de colaboración que cualesquiera entidades integrantes del sector público estatal y las autoridades y personal a su servicio deben prestar a la IGAE en el ejercicio de sus funciones de control en cualquiera de sus modalidades:
«Las autoridades, cualquiera que sea su naturaleza, los jefes o directores de oficinas públicas, los de las entidades integrantes del sector público estatal y quienes en general, ejerzan funciones públicas o desarrollen su trabajo en dichas entidades deberán prestar a los funcionarios encargados del control el apoyo, concurso, auxilio y colaboración que les sean precisos, facilitando la documentación e información necesaria para dicho control.»
Este deber general de colaboración es concretado en el ámbito específico del control financiero de subvenciones y ayudas públicas por el artículo 47.2 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, que dispone lo siguiente:
«Las autoridades, cualquiera que sea su naturaleza, así como los jefes o directores de oficinas públicas, organismos autónomos y otros entes de derecho público y quienes, en general, ejerzan funciones públicas o desarrollen su trabajo en dichas entidades deberán prestar la debida colaboración y apoyo a los funcionarios encargados de la realización del control financiero de subvenciones.»
Por su parte, el deber de colaboración con el Servicio Nacional de Coordinación Antifraude en el ámbito de las actuaciones de lucha contra el fraude a los intereses financieros de la UE que le corresponden, se encuentra contemplado en el apartado 5 de la disposición adicional 25.ª de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, que establece lo siguiente:
«Las autoridades, los titulares de los órganos del Estado, de las Comunidades Autónomas y de las Entidades Locales, así como los jefes o directores de oficinas públicas, organismos y otros entes públicos y quienes, en general, ejerzan funciones públicas o desarrollen su trabajo en dichas entidades deberán prestar la debida colaboración y apoyo al Servicio (…)»
Lo anterior debe completarse con el deber de colaboración con la OLAF. A este respecto, el artículo 3.3 del Reglamento (UE, Euratom) 883/2013, antes citado, establece lo siguiente:
«El Estado miembro afectado velará, de conformidad con el Reglamento (Euratom, CE) n.º 2185/96, por que el personal de la Oficina pueda tener acceso, en las mismas condiciones que sus autoridades nacionales y en cumplimiento de la legislación nacional, a toda la información y documentación relativa al asunto que esté siendo investigado que sean necesarias para que los controles y verificaciones in situ se desarrollen efectivamente y con eficiencia.»
7. Teniendo en cuenta el deber de colaboración al que se acaba de hacer referencia, a la IGAE le es necesario poder disponer de cierta información contenida en las bases de datos de la TGSS, a los efectos de poder desempeñar adecuadamente las labores de control financiero de subvenciones y ayudas públicas y sobre investigación de irregularidades y casos de fraude a los intereses financieros de la UE antes descritas. Por este motivo, se ha dirigido a la TGSS solicitando su cooperación.
La colaboración se llevará a cabo utilizando las nuevas tecnologías de la información. Con este procedimiento se da un paso importante en el uso de las mismas, lo que conlleva la reducción de cargas y costes administrativos.
En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente convenio, de conformidad con las siguientes
CLÁUSULAS
El presente Convenio tiene por objeto fijar las condiciones y términos de la colaboración de la TGSS con la IGAE en las funciones de control financiero de subvenciones y ayudas públicas, de acuerdo con lo previsto en el apartado 2 del artículo 47 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones y en el apartado 2 del artículo 145 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, así como en las actuaciones de investigación de irregularidades y casos de fraude a los intereses financieros de la UE, de acuerdo con lo previsto en el apartado 5 de la disposición adicional 25.ª de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, y en los artículos 3.3 y 8.2 del Reglamento (UE, Euratom) 883/2013, de 11 de septiembre, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF).
La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva el desarrollo de las concretas funciones sobre control financiero de subvenciones y ayudas públicas y sobre investigación de irregularidades y casos de fraude a los intereses financieros de la UE cuya competencia recae en la IGAE y que justifican su cesión.
La TGSS podrá dar por rescindido el presente Convenio, sin perjuicio del resto de acciones que puedan asistirle, en el caso de que advierta que se ha vulnerado la finalidad exclusiva de destino de la información al control financiero de subvenciones y ayudas o a la investigación de irregularidades y casos de fraude a los intereses financieros de la UE, considerada como condición esencial del presente Convenio, y la IGAE incumpla los compromisos de control y vigilancia asumidos en el presente Convenio. La rescisión del acceso deberá ser adoptada mediante acuerdo del Director General de la TGSS previa audiencia otorgada a la IGAE, sin perjuicio de mantener las obligaciones de colaboración y apoyo al control financiero de subvenciones y ayudas, y a la investigación de irregularidades y casos de fraude a los intereses financieros de la UE, que competen a la TGSS.
La información que sea objeto de cesión a la IGAE en virtud de los procedimientos contemplados en el presente convenio tendrá la consideración de documento administrativo electrónico emitido por la TGSS, por lo que ésta se compromete a cumplir los requisitos exigidos para este tipo de documentos en los artículos 13 y siguientes de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas así como en los artículos 38 a 46 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y, en su caso, en la normativa reglamentaria de desarrollo.
Los procedimientos para el suministro de información entre la TGSS y la IGAE se realizarán de las maneras listadas a continuación:
– Mediante un acceso directo a la base de datos de la TGSS.
– Mediante suministro de información, a través de consulta a un servicio disponible en la Sede Electrónica de la TGSS.
A los exclusivos fines del control financiero de subvenciones y ayudas y de la investigación de irregularidades y casos de fraude a los intereses financieros de la UE, el suministro de información mediante ficheros se realizará a través del Servicio de la Sede Electrónica de la Seguridad Social (PIDO), facilitando la siguiente información:
– Informe de vida laboral de empresa. (Informe A002).
– Consulta situación de cotización. (Informe R001).
La autorización de este servicio a través de la Sede Electrónica supone el cumplimiento de los requisitos exigidos en la misma.
Debido a la frecuencia e intensidad con la que son necesarios los suministros de información para el cumplimiento de las finalidades sobre control financiero de subvenciones y ayudas públicas y sobre la investigación de irregularidades y casos de fraude a los intereses financieros de la UE, se permitirá a la IGAE la consulta de las transacciones que figuran en el ANEXO III.
La TGSS se reserva el derecho a modificar las condiciones técnicas en las que se prestará el acceso a la información que el presente Convenio autoriza sin que ello deba suponer, por sí solo, modificación de los términos del mismo.
Respecto a estos accesos directos la TGSS y la IGAE, deberán ajustarse a lo estipulado en los siguientes puntos:
1.º La TGSS realizará la autorización inicial de acceso a los datos a que se refiere el presente Convenio.
2.º La configuración del acceso objeto del presente Convenio habrá de cumplir los siguientes principios establecidos por la Orden de 17 de enero de 1996 sobre control de acceso al sistema informático de la Seguridad Social:
– Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.
– Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, puedan crear, utilizar, modificar o suprimir la información.
– Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
3.º La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario autorizador con nivel 4, en la Oficina Nacional de Auditoría de la IGAE y éste a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas, en los propios Servicios Centrales y en las Intervenciones Delegadas, Territoriales y Regionales.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático, pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.
El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.
Dentro de los perfiles a contemplar, se recogerán también los correspondientes a los Auditores Supervisores, con las funciones que se detallan en el Anexo II de este Convenio. Dichas funciones auditoras recaerán sobre personas distintas a las autorizadas. Además, los procedimientos y requisitos de las auditorías serán facilitados por la TGSS y deberán cumplirse por los órganos designados de la IGAE.
4.º El usuario administrador/autorizador será responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilará la correcta utilización de las autorizaciones concedidas.
5.º Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello en el momento de autorizar un usuario se cumplimentarán todos los campos exigidos tales como, características del puesto de trabajo e información complementaria, n.º de teléfono, fax, etc.
6.º Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
7.º Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario.
Por otra parte, se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos tres meses sin acceder al Fichero de Afiliación e Inscripción o al Fichero General de Recaudación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.
8.º En todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, que se adjunta como Anexo I. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la TGSS.
9.º Todos los usuarios identificados, así como sus responsables en la IGAE, deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en el Título IX de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS definido a estos efectos, al objeto de procurar la adopción de medidas pertinentes entre ambas partes.
10.º La IGAE, como órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos, tal y como se recoge en el Anexo II.
11.º El acceso a la base de datos de la TGSS se efectuará solo por el personal autorizado, el cual será designado por la IGAE, la cual notificará a la TGSS dicho personal autorizado y los cambios o modificaciones en tales autorizaciones.
El control y seguridad de los datos suministrados se regirá por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el Reglamento de desarrollo de la Ley orgánica, y en los documentos de seguridad aprobados por la TGSS.
La IGAE acepta y asume por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este Convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente Convenio que facultará a la Tesorería para exigir las responsabilidades oportunas.
Si como consecuencia de las actuaciones de control o auditoría o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.
El organismo cesionario será responsable frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, en los términos y con los requisitos establecidos en los artículos 65, 67, 91 y 92 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas así como los artículos 32 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, sin perjuicio de lo dispuesto en el artículo 36 de dicha Ley, en relación con la exigencia de oficio a sus autoridades y demás personal a su servicio de la responsabilidad en que hubieran incurrido por dolo, o culpa o negligencia graves, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La Tesorería podrá repetir contra el organismo cesionario por cualquier responsabilidad o indemnización en caso de condenas por responsabilidad patrimonial o sanciones que deba satisfacer derivada de dicho incumplimiento.
A tales efectos, se tendrá en cuenta la distribución de funciones, responsabilidades y autorizaciones establecidas en su ámbito interno por la IGAE.
Esta responsabilidad es independiente de la responsabilidad penal o administrativa, en particular disciplinaria, que, en su caso, corresponda exigir a los usuarios como consecuencia del acceso indebido a la información contenida en las bases de datos o de la utilización inadecuada de la misma.
Cuantas autoridades, funcionarios y resto de personal tengan conocimiento de los datos o información suministrados en virtud de este Convenio estarán obligados al más estricto y completo sigilo respecto de ellos. La violación de esta obligación implicará incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes, así como el sometimiento al ejercicio de las competencias que corresponden a la Agencia Española de Protección de Datos.
Las actuaciones previstas en el presente convenio no generarán costes ni darán lugar a contraprestaciones financieras entre las partes firmantes.
Conforme al artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el presente Convenio se perfeccionará por la prestación del consentimiento de las partes, y adquirirá eficacia una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación y publicado en el Boletín Oficial del Estado, extendiendo su vigencia inicial durante cuatro años, plazo que se podrá prorrogar en los términos a los que se refiere el artículo 49. h) de la Ley 40/2015 citada.
Atendiendo a lo dispuesto en el artículo 49.f) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, se crea una Comisión de Control y Seguimiento con el fin de coordinar las actividades necesarias para la ejecución del presente Convenio, así como para llevar a cabo su supervisión, seguimiento y control, de composición paritaria y compuesta por un mínimo de 4 miembros, dos representantes nombrados por IGAE y otros dos nombrados por la TGSS. Sus acuerdos requerirán el voto favorable de todos los representantes. Asimismo, podrá incorporarse, con derecho a voz, cualquier otro personal al servicio de la Administración Pública que se considere necesario.
En concreto, a la Comisión de Control y Seguimiento se le encomiendan las siguientes funciones:
a) Coordinar las actuaciones necesarias para la correcta ejecución del presente Convenio, estableciendo, en particular, los procedimientos de cesión de información más eficaces, así como las medidas que garanticen la protección de los datos suministrados.
b) Adoptar las medidas de control pertinentes para asegurar la debida custodia y correcta utilización de la información recibida.
c) Resolver las dudas y controversias que puedan surgir en la interpretación y ejecución del presente Convenio.
d) Establecer los criterios adecuados para la regulación de los aspectos no desarrollados en este convenio.
La Comisión de Control y Seguimiento se regirá en cuanto a su funcionamiento y régimen jurídico, en lo no establecido expresamente en la presente cláusula, por lo dispuesto para el funcionamiento de órganos colegiados en la sección 3.ª del capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.
La Comisión de Control y Seguimiento se reunirá a instancia de cualquiera de las partes, siempre que los temas a tratar o las circunstancias lo aconsejen, y, al menos una vez al año para examinar los resultados e incidencias de la colaboración realizada. El funcionamiento ordinario de la Comisión se realizará a distancia según lo previsto en el artículo 17.1 de la Ley 40/2015, de 1 de octubre, sin perjuicio de que cualquiera de sus miembros solicite la convocatoria de sesiones presenciales cuando lo estime necesario.
La modificación del contenido del Convenio, en todo caso, requerirá acuerdo unánime de los firmantes y, para su formalización, se seguirán los trámites previos establecidos en el artículo 50 de la Ley 40/2015.
Este documento constituye el único Convenio vigente entre ambas partes referido a la colaboración prevista en el mismo.
Este Convenio se extinguirá por el cumplimiento de las actuaciones que constituyan su objeto o por incurrir en alguna de las causas de resolución previstas en el artículo 51.2. de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
En caso de extinguirse el Convenio por mutuo acuerdo de las partes, por cualquier causa, será necesario que la parte interesada lo comunique por escrito a la otra parte con al menos seis meses de anticipación.
Si el Convenio se extingue por incumplimiento de las obligaciones y compromisos asumidos por una de las partes firmantes, es necesario que conste una previa comunicación fehaciente que inste a la parte incumplidora a modificar su actuación. Este requerimiento será comunicado a la Comisión de Control y Seguimiento. Pasado un mes tras la fecha de notificación del incumplimiento, y persistiendo la actuación denunciada, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. La resolución del convenio por esta causa podrá conllevar para la parte incumplidora las indemnizaciones o sanciones previstas en la normativa sobre protección de datos.
El presente convenio tiene carácter intradministrativo de conformidad con el artículo 47.2.b) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, siéndole de aplicación la restante normativa de dicho texto legal y en particular lo dispuesto en el Capítulo VI, del Título Preliminar, de en concreto, los artículos 47 a 53.
Ambas partes consideran que el objeto del presente Convenio es de esencial relevancia para el interés público, por lo que las controversias que surjan serán resueltas por la comisión de Control y Seguimiento. En el caso de que no haya acuerdo unánime, las cuestiones jurídicas relevantes que pudieran surgir serán resueltas de acuerdo con el procedimiento establecido en la Disposición Adicional Única de la Ley 11/2011, de 20 de mayo, de Reforma de la Ley 60/2003, de 23 de diciembre, de Arbitraje y de regulación del arbitraje institucional en la Administración General del Estado, salvo los supuestos que pudieran estar excluidos de acuerdo con el número 6 de la Disposición Adicional Única de la citada Ley 11/2011.
Y en prueba de conformidad, ambas partes firman el presente documento.–El Director General de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–El Interventor General de la Administración del Estado, Pablo Arellano Pardo.
D./D.ª ....................................................................................... con DNI ......................
Y adscrito/a ...................................................................................................
Por el presente documento.
COMUNICA
Que, de conformidad con lo dispuesto en los artículos 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y 6 de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, con los fines exclusivos de (señalar lo que corresponda).
□ control financiero de subvenciones y ayudas públicas,
□ investigación de irregularidades y casos de fraude a los intereses financieros de la UE,
adquiere el compromiso de utilizar las transacciones de acuerdo con las citadas normas, el Convenio suscrito entre la TGSS y la IGAE y demás Instrucciones que se dicten al efecto y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso, dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el Título IX de la Ley Orgánica 3/2018, de 5 de diciembre, así como a responsabilidades de cualquier otra naturaleza, incluso penales.
Que ha sido informado acerca de que la Seguridad Social almacena rastro de todos los accesos que realicen.
El presente documento es firmado electrónicamente a través de los sistemas de firma electrónica habilitada por la Intervención General de la Administración del Estado.
La IGAE, como órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquellos figuren incluidos. Para ello deberán seguir los procedimientos de auditoría implantados en la TGSS y que se remitirán a la IGAE, así como los que puedan implantarse en un futuro.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Las partes implicadas en el proceso de auditoria son las siguientes:
– Por parte de la TGSS:
• Unidad Nacional de Auditorias (UNA):
Serán funciones de la Unidad Nacional de Auditoria las siguientes:
○ Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorias se lleven a efecto por las unidades competentes, con unos criterios unificados.
○ Formular propuestas y recomendaciones en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:
1. Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
2. Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
3. Administrar las transacciones SILCON específicamente referidas al sistema de auditorías así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin la Unidad Nacional de Auditorias elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.
4. Realizar auditorías específicas de accesos indebidos al Sistema de Confidencialidad cuando se produzcan denuncias por los titulares de los datos accedidos, cualquiera que sea su lugar de presentación y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.
5. Coordinar y preparar la información que requiera la Dirección General para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorias cualquier escrito o solicitud que se reciba de dicha Agencia.
6. Realizar auditorías específicas ante sospechas o indicios de mala praxis.
○ El procedimiento concreto de auditoria se pondrá en conocimiento del Organismo externo por parte de la TGSS antes del inicio de la auditoria mensual que proceda, la cual explicará dicho proceso y obtendrá el resultado de la auditoría elaborada por los Auditores Supervisores, mediante la consulta a la aplicación suministrada por la TGSS.
– Por parte de la IGAE:
• Auditor Coordinador:
El Auditor Coordinador estará adscrito a la División de Auditoría Operativa y Control Financiero de Subvenciones Nacionales de la Oficina Nacional de Auditoría (ONA).
El Auditor Coordinador tendrá las siguientes competencias:
○ Será el interlocutor con la TGSS en el ámbito de su competencia.
○ Dirigirá la auditoria mensual que deben realizar los auditores supervisores a los usuarios autorizados en cada Unidad.
○ Actuará como Auditor Supervisor respecto a la auditoría mensual de la División de Auditoría Operativa y Control Financiero de Subvenciones Nacionales.
○ Actuará como Auditor Supervisor respecto a los accesos que realicen los Auditores Supervisores.
• Auditores Supervisores:
En cada División de la ONA, en el Servicio Nacional de Coordinación Antifraude, así como en cada Intervención Delegada, Regional o Territorial en donde se autoricen accesos a usuarios, deberá designarse un Auditor Supervisor.
Los Auditores Supervisores deberán realizar mensualmente la auditoría del personal de su Unidad de acuerdo con las instrucciones recibidas.(1)
(1) Las instrucciones las pueden recibir del Auditor Coordinador o directamente de la UNA.
• Auditores suplentes:
En los mismos términos indicados, se podrá designar un Auditor Coordinador Suplente y Auditores Supervisores Suplentes que desempeñarán las mismas funciones en caso de vacante, ausencia o enfermedad del titular.
• Designación del Auditor Coordinador, de los Auditores Supervisores y de sus suplentes:
El Auditor Coordinador y los Auditores Supervisores, tendrán como mínimo un nivel 26 de complemento de destino, salvo que la Unidad Nacional de Auditorias autorice la excepción de nivel, previa petición justificada de la Oficina Nacional de Auditoría.
La función de Auditor no podrá recaer en el mismo funcionario que la de usuario administrador.
A cada Auditor Coordinador o Suplente se le asignará en SILCON el perfil de usuario auditor, adscribiéndole a la Unidad de la que sea responsable.
Las altas y bajas que se produzcan en el Auditor Coordinador deberán ser comunicadas a la mayor brevedad posible al Auditor Delegado de la TGSS quien lo pondrá en conocimiento de la Unidad Nacional de Auditorias.
• Procedimiento de auditoría.
Mensualmente, la Unidad Nacional de Auditorías-Inspección de Servicios de la TGSS señalará a los diferentes supervisores los accesos del personal que deben validar. Además, para el caso de que se precise realizar comprobaciones de naturaleza estadística o general, el auditor supervisor deberá tener información acerca de los accesos realizados por el personal de su Unidad en el periodo correspondiente.
Todo el proceso, tanto el señalamiento como la validación y la remisión del informe, se efectuarán a través de la aplicación suministrada por la TGSS.
Una vez realizada la auditoría, cada Auditor Supervisor deberá informar al Auditor Coordinador sobre su resultado, para lo que empleará las aplicaciones de uso interno de la IGAE.
1. Del Fichero 2 Afiliación e Inscripción:
ACCT7000/ACCM7000: Consulta de empresas para AEAT/IGAE.
ATOT6200/ATIM6101: Consulta General de Trabajadores.
2. Del Fichero 7 General de Recaudación:
RCUT0500/RCUM0000 Relación de deuda en un periodo.
RCUT0400/RCUM0000 Relación de cobros de un periodo.
3. Del Fichero 13 Aplicaciones para el control de recaudación:
TCEA0 06/MCEA0 10: Consulta de datos Tc2 y Tc1.
4. Del Fichero 17 General de Bases:
RBCNP006/RBCM0006 Consulta compensaciones/deducciones por C.C.C.
RBCNP009/RBCM0010 Consulta compensaciones/deducciones por N.A.F.
RBCNPB23/RBCMPB23 Consulta de bases de cotización por deuda.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
