Agencia Estatal Boletín Oficial del Estado

La Dirección General de la Agencia Estatal de Administración Tributaria (AEAT), por medio de su Instrucción número 2/1996, de 1 de febrero, ha regulado los accesos a sus bases de datos y utilización de la información contenida en las mismas.

La Instrucción 2/1996 sustituye a la Resolución 2/1990, de 23 de marzo, de la extinta Secretaría General de Hacienda, suprimida como consecuencia de la creación de la AEAT por el artículo 103 de la Ley 31/1990, de 27 de diciembre.

La regulación de los accesos a los ficheros informáticos de la AEAT, así como el uso de la información que en ellos se contiene, se deriva del mandato constitucional de respeto a la intimidad de las personas proclamado en el artículo 18 de la Constitución española, que en su apartado cuarto establece que «La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Este principio constitucional tiene su desarrollo en la Ley Orgánica 5/1992, de 29 de octubre, sobre tratamiento automatizado de datos de carácter personal, cuyos aspectos relevantes para la gestión tributaria se han incorporado a Ley General Tributaria mediante la modificación efectuada por la Ley 25/1995, de 20 de julio.

La Instrucción 2/1996 se ha dictado con el propósito de actualizar y reforzar las normas sobre accesos a ficheros y bases de datos, utilización de la información contenida en ellos y otros aspectos que garanticen la seguridad de dicha información, estableciendo unas reglas de carácter general para todos los usuarios y otras específicas que sólo afectan al personal que presta servicios en la AEAT.

Dado que determinados entes y órganos del Ministerio de Economía y Hacienda distintos de la AEAT precisan del acceso a las bases de datos de ésta, es necesario dictar una norma similar a la Instrucción 2/1996, pero aplicable al personal del Departamento no destinado en la AEAT, donde se recojan las reglas sobre designación de órgano responsable de la gestión de usuarios en cada Centro directivo, control de los accesos de éstos a los ficheros y bases de datos de la AEAT, control periódico de accesos de los usuarios con la motivación de los mismos, registro de incidencias de actuaciones iniciadas y de medidas adoptadas y régimen de responsabilidades y sanciones.

En su virtud, se dictan las siguientes disposiciones:

Primera. Ámbito de aplicación.

1. Esta Resolución tiene por objeto la regulación de los accesos que efectúe el personal a que se refiere el siguiente apartado, a la información contenida en los ficheros, organizados en forma de base de datos o en cualquier otra forma (en adelante bases de datos) de la AEAT, tanto los gestionados por el Departamento de Informática Tributaria, como por cualquier otro Departamento, Gabinete de la Dirección General, Servicio Jurídico de la Agencia y Servicio de Auditoría Interna (en adelante Servicios Centrales) y Delegaciones de la Agencia, siempre que contengan datos de carácter personal de acuerdo con la definición del artículo 3 de la Ley Orgánica 5/1992 de 29 de octubre, así como datos relativos a personas jurídicas o a las entidades a que se refiere el artículo 33 de la Ley General Tributaria.

2. La presente Resolución será de aplicación a todo el personal que preste sus servicios en el Ministerio de Economía y Hacienda, no perteneciente a la AEAT, o en sus Organismos autónomos y que, por razón de las funciones o tareas que tenga asignadas, precise acceder a la información contenida en los ficheros y bases de datos de la AEAT.

Los accesos a las bases de datos de la AEAT por el mencionado personal se regirán por lo dispuesto en esta Resolución en cuanto a la designación de órgano responsable de la gestión de usuarios y control de los accesos de éstos a los ficheros y bases de datos de la Agencia, control periódico de accesos de los usuarios con la motivación de los mismos, registro de incidencias de actuaciones iniciadas y de medidas adoptadas y régimen de responsabilidades y sanciones, siendo de aplicación supletoria la Instrucción 2/1996, de 1 de febrero, de la Dirección General de la Agencia Estatal de Administración Tributaria y sus normas de desarrollo, en aquellos aspectos no regulados por la presente Resolución.

El incumplimiento de la presente Resolución podrá dar lugar a la suspensión de la autorización de acceso a las bases de datos de la AEAT, con independencia de las responsabilidades que pudieran derivarse del uso indebido de la información.

Segunda. Administrador de Seguridad.-Los titulares de los Centros directivos del Ministerio de Economía y Hacienda y de sus Organismos autónomos que cuenten o pretendan contar con usuarios de las bases de datos de la AEAT, deberán designar un Administrador de Seguridad que será el responsable del cumplimiento de la presente Resolución y de las demás normas que, en materia de seguridad informática de la AEAT, resulten aplicables. El Administrador de Seguridad dependerá directamente del titular del Centro directivo correspondiente. En el caso de la Intervención General de la Administración del Estado se podrá designar un Administrador de Seguridad para el Centro directivo y otro para la Intervención Delegada en la AEAT e intervenciones regionales y territoriales, o bien un único Administrador de Seguridad, a criterio de la propia Intervención General, y ello sin perjuicio de que puedan desconcentrarse las tareas de control de accesos, tal y como se indica en la disposición séptima de la presente Resolución.

Tan pronto como sea posible y, en cualquier caso, en el plazo de dos meses contados a partir de la fecha de esta Resolución, deberá comunicarse al Departamento de Informática Tributaria de la AEAT la designación a que se refiere el párrafo anterior.

El Departamento de Informática Tributaria de la AEAT, a través de su Administrador de Seguridad, coordinará y dará a conocer a todos los Administradores de Seguridad los procedimientos y las herramientas que se vayan incorporando al sistema informático para facilitar la gestión de usuarios y el control de accesos, así como las aplicaciones que se desarrollen en cumplimiento de las directrices y planes de seguridad que establezca el Grupo de Coordinación de Seguridad Informática a que se refiere la instrucción segunda de la Resolución 2/1996, de 1 de febrero, de la Dirección General de la AEAT.

Tercera. Control de Seguridad Informática.-Los titulares de los Centros directivos que cuenten con usuarios autorizados para el acceso a las bases de datos de la AEAT tendrán la obligación de velar por el estricto cumplimiento de esta Resolución y, en lo no señalado por ésta, de la Instrucción 2/1996, de 1 de febrero, de la AEAT y de sus normas de desarrollo en materia de seguridad de la información.

El control de los accesos efectuados por personal de la Administración General del Estado al que resulte de aplicación la presente Resolución se efectuará por los centros directivos donde cada usuario preste servicios, correspondiendo su control interno a la Inspección General del Ministerio de Economía y Hacienda, que dispondrá al efecto de las herramientas informáticas necesarias para ello.

El control de los accesos del personal de las Comunidades Autónomas a las bases de datos de la Agencia se efectuará por sus órganos directivos y podrá ser comprobado por la Inspección General del Ministerio de Economía y Hacienda, con ocasión de la Inspección de los Servicios anual a que se refieren los artículos 11 de la Ley 30/1983, de 28 de diciembre, de cesión de tributos del Estado a las Comunidades Autónomas, y el artículo 11 de la Ley 41/1981, de 28 de octubre, de cesión de tributos del Estado a la Generalidad de Cataluña.

La Inspección General elevará a la Subsecretaría las propuestas de adopción de aquellas medidas que se estimen oportunas en cada caso, tanto de orden disciplinario como de cualquier otro que pudieran resultar procedentes. La Dirección General de la Agencia Estatal de Administración Tributaria estará oportunamente informada de cuantos hechos de relevancia se pongan de manifiesto en los indicados controles por usos incorrectos de las autorizaciones de acceso concedidas a sus bases de datos.

Cuarta. Personal facultado para acceder a las bases de datos.-Cada uno de los Centros directivos que precisen contar con accesos a las bases de datos de la AEAT, o mantener el que tienen, deberán dirigir al Departamento de Informática Tributaria una comunicación en la que se describan las necesidades al respecto, en función de las tareas desarrolladas y la organización del trabajo, indicando la relación de autorizaciones necesarias para el personal de ellos dependiente. En base a estos datos, la AEAT otorgará las autorizaciones de acceso correspondientes asignando a cada usuario el perfil que corresponda a sus necesidades de información.

Tan pronto como sea posible y, en cualquier caso, en el plazo de dos meses contados a partir de la fecha de esta Resolución, deberá efectuarse la comunicación a que se refiere el párrafo anterior.

Quinta. Condiciones de acceso a las bases de datos.-El acceso a las bases de datos de la AEAT se realizará mediante un código de usuario, asignado por la AEAT, diferenciado respecto del de las personas que pertenezcan a la Agencia y tendrá una vigencia máxima de doce meses, debiendo ser expresamente renovado una vez transcurrido dicho período y en cualquier caso al iniciarse el año natural, a instancia del Administrador de Seguridad correspondiente.

El código de usuario lleva asociado una «palabra de control» que se genera automáticamente por el sistema informático al dar de alta el código de usuario, obligando a éste a su renovación al producirse el primer acceso. Esta palabra caducará automáticamente cada tres meses, debiendo el usuario generar otra distinta. El usuario podrá generar una nueva palabra de control en cualquier momento.

El sistema informático registrará la palabra de control de forma criptografiada de tal manera que no sea posible su lectura.

El sistema informático que facilita el código de usuario proporcionará información de las diferentes autorizaciones de cada una de las aplicaciones informáticas a que tiene acceso cada usuario así como el uso de las mencionadas aplicaciones.

Un código de usuario será dado automáticamente de baja por el transcurso de sesenta días consecutivos sin hacer uso del mismo.

Sexta. Gestión de usuarios.-Las comunicaciones relativas a la designación del Administrador de Seguridad, altas de usuarios y perfil de trabajo del Centro directivo o de un usuario en concreto, se dirigirán por el titular del Centro directivo correspondiente al Director general de Informática Tributaria de la AEAT.

Las comunicaciones que respondan a otros motivos (incidencias técnicas y asuntos de trámite en general, incluidas bajas de usuarios y modificaciones de datos relativos a los mismos) se efectuarán entre el Administrador de Seguridad del Centro directivo y el Administrador de Seguridad del Departamento de Informática Tributaria de la AEAT.

Todas las comunicaciones con el Administrador de Seguridad del Departamento de Informática Tributaria de la AEAT se efectuarán a través del correo electrónico de la AEAT.

Los Administradores de Seguridad serán responsables del mantenimiento y actualización de la información relativa a cada uno de los usuarios autorizados: Puesto de trabajo que ocupa, cargo que dio la autorización y fecha de la misma, aplicaciones y autorizaciones que tiene, cargo que autoriza la baja, fecha y motivo de la baja o modificación de la autorización o blanqueo de la palabra de paso, y cualquier otra incidencia que se produzca.

El cese de un usuario en el puesto de trabajo por cualquier causa determinará el cese automático como usuario, a cuyo efecto, tan pronto como se produzca el cese en el puesto, se deberá comunicar tal circunstancia al Administrador de Seguridad del Departamento de Informática Tributaria de la AEAT para que éste proceda a dar o cursar la baja como usuario.

Corresponde al Administrador de Seguridad del Departamento de Informática Tributaria supervisar las altas, bajas y modificaciones del personal afectado por esta Resolución.

Séptima. Control de acceso a las bases de datos.-Todas las aplicaciones informáticas o utilidades que supongan accesos a las bases de datos de la AEAT registran de forma automática tales accesos y las circunstancias en las que se realizaron (básicamente, número de identificación fiscal o código de identificación fiscal, tipo de información a la que se accede y motivo), en un fichero destinado a efectuar el posterior control de los mismos.

Corresponde efectuar el control de accesos a las bases de datos de la AEAT a los titulares de los Centros directivos, sin perjuicio de que pueda ser delegada esta atribución en el Administrador de Seguridad o en otra persona. Incluso cuando el número de usuarios autorizados o de accesos sobre los que se ha de ejercer el control lo haga necesario, se podrá desconcentrar el control, atendiendo a la organización territorial del Centro o a cualquier otro criterio que razonablemente lo facilite.

Las normas internas de cada Centro directivo que se dicten en relación con lo indicado en el párrafo anterior deberán comunicarse al Departamento de Informática Tributaria de la AEAT tan pronto como sea posible y, en cualquier caso, en el plazo de dos meses contados a partir de la fecha de esta Resolución.

El Administrador de Seguridad del Departamento de Informática Tributaria remitirá a cada Centro directivo, con la periodicidad necesaria, la información relativa a sus usuarios autorizados. Los encargados de efectuar el control contarán con autorización para el acceso a las aplicaciones informáticas desarrolladas por la AEAT para la gestión y control de usuarios.

El control de accesos ha de ser realizado con una periodicidad mínima quincenal, afectando a todo el personal con acceso autorizado sin distinción alguna. Dicho control será, a su vez, registrado por el sistema informático.

Con objeto de que el usuario pueda recordar la causa del acceso cuando el responsable directo del control o la Inspección General del Ministerio de Economía y Hacienda exijan su justificación, siempre que se acceda a la información de un contribuyente desde cualquier aplicación, el sistema exigirá la grabación del «motivo» del acceso, grabación que será obligatoria para el usuario y quedará registrada. Se establecerán por cada Centro directivo los criterios de referencia que deben seguir sus usuarios para el registro del motivo de acceso.

Sin perjuicio de lo dispuesto en el párrafo anterior, este motivo podrá ser generado automáticamente cuando el acceso a la información vaya unido o sea consubstancial con la función u operación concreta que el usuario realice en el sistema informático.

Trimestralmente los Administradores de Seguridad elaborarán un informe sobre los resultados de los controles de accesos efectuados, en el que harán constar, en su caso, las incidencias que se hubieren producido y las medidas adoptadas.

Los informes trimestrales quedarán en el Centro directivo a disposición de la Inspección General del Ministerio de Economía y Hacienda.

Octava. Comunicación de anomalías.-Los responsables del control de accesos comunicarán de inmediato cualquier anomalía o irregularidad que observen en la utilización por los usuarios de las bases de datos al Administrador de Seguridad, que lo pondrá en conocimiento de la Inspección General del Ministerio de Economía y Hacienda, a efectos de lo estipulado en la disposición tercera de la presente Resolución.

Novena. Confidencialidad de la información tributaria.-Los datos e informaciones contenidos en los archivos, registros y bases de datos de la Agencia Estatal de Administración Tributaria, cualquiera que sea su soporte, derivados de las declaraciones, actas, actuaciones de investigación, expedientes, denuncias y, en general, de cualquier clase de documentos, sean éstos personales, económicos o estrictamente fiscales o aduaneros, tanto si afectan a personas físicas o jurídicas, o a las entidades sin personalidad jurídica a las que se refiere el artículo 33 de la Ley General Tributaria, serán de uso exclusivamente reservado para el cumplimiento de los fines que a la Administración Tributaria atribuye el ordenamiento jurídico, sin perjuicio de las cesiones previstas en el artículo 19 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, en el artículo 113 de la Ley General Tributaria en la redacción dada por la Ley 25/1995 de 20 de julio, y en el artículo 6 de la Orden de 27 de julio de 1994, modificada por Orden de 4 de agosto de 1995.

Las Autoridades, funcionarios públicos y demás personal al que resulte de aplicación esta Resolución y que, por razón de su cargo o función, tuviesen conocimiento de los datos o informaciones a que se refiere el párrafo anterior, están obligados a guardar sigilo riguroso y observar estricto secreto respecto de los mismos.

El personal autorizado sólo deberá acceder a las bases de datos cuando deba conocer determinada información por razones del servicio, debiendo abstenerse de hacerlo por cualquier otra motivación.

En ningún caso deberá facilitarse el «código de usuario» ni la «palabra de control» a otra persona, ni deberá accederse a las bases de datos utilizando códigos o palabras de paso ajenas, incluso mediando el indebido consentimiento del usuario titular del código de acceso.

Décima. Responsabilidades.-En el caso de los funcionarios públicos, el acceso indebido a la información de naturaleza tributaria contenida en las bases de datos o la utilización inadecuada de la misma se calificará, según los casos:

a) Como falta muy grave a tenor de los siguientes preceptos:

1. Artículo 113 de la Ley General Tributaria, en la redacción dada por la Ley 25/1995, de 20 de julio, que califica como falta muy grave, con independencia de las responsabilidades penales o civiles que pudieran corresponder, la infracción del particular del deber de sigilo que incumbe a cuantas autoridades y funcionarios tengan conocimiento de los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones.

2. El artículo 6.e), del Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado, aprobado por el Real Decreto 33/1986, de 10 de enero, que considera como falta muy grave «la publicación o utilización indebida de secretos oficiales así declarados por la Ley o clasificados como tales».

b) Como falta grave, en el caso de que la violación del secreto conculque el genérico deber que, a todo funcionario, impone el artículo 80 de la Ley articulada de los Funcionarios Civiles del Estado de 6 de febrero de 1964, en concordancia con la falta grave tipificada en el artículo 7.1,j) del Reglamento de Régimen Disciplinario, que sanciona el «no guardar el debido sigilo respecto de los asuntos que se conozcan por razón del cargo, cuando causen perjuicio a la Administración o se utilicen en provecho propio».

c) Como falta disciplinaria leve, de acuerdo con el artículo 8.e) del Reglamento de Régimen Disciplinario, que tipifica como tal el incumplimiento de los deberes y obligaciones del funcionario, siempre que no deban ser calificados como falta muy grave o grave.

Los titulares de los Centros directivos que, como resultado de los controles de accesos efectuados a su personal, aprecien la posible concurrencia de alguna o algunas de las infracciones descritas en los párrafos anteriores, y al amparo de las normas vigentes y del artículo 29 del Reglamento de Régimen Disciplinario, deberán proponer o acordar, según corresponda, la incoación del oportuno expediente disciplinario para el esclarecimiento de la responsabilidad en que hubiera podido incurrir el presunto infractor. De igual forma se procederá en el caso de que los indicados indicios se pongan de manifiesto como consecuencia del control interno a efectuar por la Inspección General del Ministerio de Economía y Hacienda.

En caso del personal laboral, se deberá tener en cuenta lo que a este respecto establece el Convenio Colectivo para el personal laboral del Ministerio de Economía y Hacienda, aprobado por Resolución de la Dirección General de Trabajo de 26 de septiembre de 1994 («Boletín Oficial del Estado» de 14 de octubre), y, en especial, lo dispuesto por el apartado 2.b), b.2) de su artículo 30. Asimismo, se deberá tener en cuenta lo dispuesto en los convenios colectivos de Organismos autónomos que pudieran ser de aplicación.

Undécima. Entrada en vigor.-La presente Resolución entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado».

Lo que comunico a VV. EE. y VV. II. para su conocimiento y efectos.

Madrid, 29 de noviembre de 1996.-El Subsecretario, Fernando Díez Moreno.

Excmos. Sres. Secretarios de Estado de Hacienda, de Presupuestos y Gastos, de Economía y de Comercio, Turismo y de la Pequeña y Mediana Empresa, Ilmos. Sres. Interventor general de la Administración del Estado, Presidente del Instituto Nacional de Estadística, Presidentes de los Tribunales Económico-Administrativos Central y Regionales y Directores generales del Ministerio de Economía y Hacienda y de sus organismos autónomos.