Agencia Estatal Boletín Oficial del Estado
Con fecha 23 de septiembre de 2020 se ha suscrito el Convenio entre la Tesorería General de la Seguridad Social y la Hacienda Foral de Navarra en materia de intercambio recíproco de información y de gestión tributaria y, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado Convenio, que figura como Anexo de esta Resolución.
Madrid, 1 de octubre de 2020.–La Secretaria General Técnica, Iria Álvarez Besteiro.
En Madrid, a 23 de septiembre de 2020.
REUNIDOS
De una parte, don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero, (BOE de 22 de enero), actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.
Y de otra, don Óscar Martínez de Bujanda Esténoz, Director Gerente del organismo autónomo Hacienda Foral de Navarra, cargo para el que fue designado por Decreto Foral 129/2019, de 14 de agosto, y debidamente facultado para la firma de este Convenio por el artículo 12.c) de los Estatutos del organismo autónomo Hacienda Foral de Navarra, aprobados por Decreto Foral 300/2019, de 6 de noviembre.
Las partes se reconocen con capacidad suficiente para suscribir el presente Convenio y, a tal efecto,
EXPONEN
1. Fundamentos de competencia en la materia:
La Tesorería General de la Seguridad Social (en adelante TGSS) es un Servicio Común de la Seguridad Social, con personalidad jurídica propia, en el que, por aplicación de los principios de solidaridad financiera y caja única, se unifican todos los recursos financieros, tanto por operaciones presupuestarias como extrapresupuestarias, teniendo a su cargo la custodia de los fondos, valores y créditos y las atenciones generales y de los servicios de recaudación de derechos y pagos de las obligaciones del sistema de la Seguridad Social.
El Real Decreto 1314/84, de 20 de junio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores, materia regulada posteriormente por el artículo 3 del Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/96, de 26 de enero. A tales efectos, en virtud de lo establecido en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores con la correspondiente identificación por cada Régimen del Sistema de la Seguridad Social, así como los beneficiarios y demás personas sujetas a la obligación de cotizar. Asimismo, el mencionado Real Decreto atribuye en su artículo 1.b) las competencias en materia de gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social, materia regulada posteriormente en el Reglamento General de Recaudación de la Seguridad Social, aprobado por el Real Decreto 1415/2004, de 11 de junio.
La Hacienda Foral de Navarra (en adelante HFN) es un organismo autónomo, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines que, bajo la superior planificación, dirección y tutela de la persona titular del Departamento de Economía y Hacienda del Gobierno de Navarra, ejerce, conforme a la legislación vigente, las competencias atribuidas a dicho Departamento en la gestión, inspección y recaudación de los tributos y de los ingresos de derecho público, cuya titularidad corresponde a la Comunidad Foral de Navarra. Compete también a la HFN realizar las actuaciones administrativas para que el sistema tributario de la Comunidad Foral se aplique con generalidad y eficacia a todos los obligados tributarios (Decreto Foral 264/2019, de 30 de octubre, por el que se establece la estructura orgánica del Departamento de Economía y Hacienda; y Decreto Foral 300/2019, de 6 de noviembre, por el que se aprueban los Estatutos del organismo autónomo Hacienda Foral de Navarra).
2. Normas que amparan y justifican la suscripción:
1. Conforme el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales «El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.»
Además, el artículo 155 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula expresamente la transmisión de datos entre administraciones públicas en desarrollo del artículo 3.1.k) de la propia Ley 40/2015.
2. En el marco de colaboración mutua que debe presidir las relaciones entre las Administraciones Públicas, los representantes de ambas partes consideran que sería muy beneficioso para el cumplimiento de sus fines el establecer un sistema estable de intercambio de información y de colaboración que, en su caso, incluso permitirá el acceso directo a sus respectivas bases de datos informáticas, todo ello de conformidad con lo dispuesto en el artículo 141 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
3. Se trata de una cesión de información y de una colaboración cuyo amparo se encuentra en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que establece en su artículo 3.1.k) que los principios que deben presidir las relaciones entre las Administraciones Públicas son los de cooperación, colaboración y coordinación. No debe obviarse, además, que, conforme al artículo 3 de la citada Ley, las Administraciones Públicas sirven con objetividad los intereses generales y deberán respetar en su actuación y relaciones los principios de servicio efectivo, simplicidad, claridad y proximidad a los ciudadanos y de racionalización y agilidad en los procedimientos administrativos y de las actividades materiales de gestión. Además, las Administraciones Públicas se relacionarán entre sí a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
4. Asimismo, y de acuerdo con la letra c) del artículo 141 de la Ley 40/2015, en aplicación del deber de colaboración de las Administraciones Públicas se desprende la obligación de «facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias».
5. No obstante, el suministro de información efectuado en el ámbito de aplicación de este Convenio deberá respetar el derecho al honor y a la intimidad personal y familiar de los ciudadanos que prescribe el artículo 18 de la Constitución Española, en los términos establecidos por la normativa en materia de protección de datos de carácter personal.
6. Por otra parte, el artículo 40.4 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el Texto Refundido de la Ley General de la Seguridad Social, establece que los funcionarios públicos, incluidos los profesionales oficiales, están obligados a colaborar con la Administración de la Seguridad Social para suministrar toda clase de información, objeto o no de tratamiento automatizado, siempre que sea útil para la recaudación de recursos de Seguridad Social y demás conceptos de recaudación conjunta, de que aquéllos dispongan.
7. A este respecto, y de conformidad con lo dispuesto en el artículo 77.1 del mencionado Texto Refundido, los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones recaudatorias tienen carácter reservado y sólo podrán utilizarse para los fines recaudatorios encomendados a la TGSS, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto, entre otros:
«b) La colaboración con las Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias.
d) La colaboración con cualesquiera otras Administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.»
8. La cesión de aquellos datos de carácter personal, objeto de tratamiento automatizado, que se deba efectuar a la Administración de la Seguridad Social conforme a lo dispuesto en el citado artículo 40.6 del Texto Refundido de la Ley General de la Seguridad Social o, en general, en cumplimiento del deber de colaborar para la efectiva recaudación de los recursos de la Seguridad Social, no requerirá el consentimiento del afectado. De conformidad con el artículo 105.2 de la Ley Foral 13/2000 General Tributaria de Navarra, la cesión de la información de carácter tributario se suministrará preferentemente mediante la utilización de medios informáticos o telemáticos.
9. Los firmantes aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad en el tratamiento de la información adecuado al riesgo, de conformidad con lo dispuesto en el artículo 32 del Reglamento (UE) 2016/679 y, en particular, las contenidas en el Esquema Nacional de Seguridad (Real Decreto 3/2010).
10. La Orden de 17 de enero de 1996 sobre control de accesos al sistema informático de la Seguridad Social, junto con las Circulares núm. 2-030, de 12 de junio de 1996, y 2-027 de 27 de septiembre de 1999, regulan el control y seguimiento de accesos a los ficheros automatizados de la TGSS.
11. Por lo que a la normativa tributaria se refiere, el artículo 104.1 de la Ley Foral 13/2000, de 14 de diciembre, General Tributaria de Navarra, establece el deber de colaboración de las autoridades e instituciones estarán obligados a suministrar a la Administración tributaria cuantos datos y antecedentes con trascendencia tributaria recabe ésta mediante disposiciones de carácter general o a través de requerimientos concretos, y a prestarle a ella y a sus agentes apoyo, concurso, auxilio y protección para el ejercicio de sus funciones.
Además, conforme al artículo 104.4 de la Ley Foral citada, la cesión de estos datos de carácter personal no requerirá el consentimiento del afectado.
Por su parte, el artículo 105.1 de la Ley Foral General Tributaria de Navarra, después de sentar el principio general de que los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeño de sus funciones tienen carácter reservado y sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, sin que puedan ser cedidos o comunicados a terceros, establece una serie de excepciones al mismo dentro de las que se encuentra el supuesto –apartado c)– de que la cesión tenga por objeto la colaboración con las Entidades Gestoras y Servicios Comunes de la Seguridad Social en la lucha contra el fraude en la cotización y recaudación de las cuotas del sistema de Seguridad Social y contra el fraude en la obtención y disfrute de las prestaciones a cargo del sistema.
Asimismo, el artículo 44 de la Ley Foral 12/2006, de 21 de noviembre, del Registro de la Riqueza Territorial y de los Catastros de Navarra, habilita el acceso a la información protegida del Registro de la Riqueza Territorial y de los Catastros sin necesidad de consentimiento del afectado por parte de las Entidades Gestoras y Servicios Comunes de la Seguridad Social para el ejercicio, con pleno respeto de los principios de competencia, idoneidad y proporcionalidad, de las funciones públicas que tengan encomendadas por el ordenamiento jurídico.
a) Finalidad:
Razones de eficacia en la gestión de las competencias atribuidas a los entes signatarios justifican el establecimiento de un sistema de intercambio de información que permita una agilización en la disposición de la información y una disminución de los costes incurridos. Dicho sistema se regula a través del presente Convenio, dado que el intercambio se producirá sobre los datos de un elevado número de interesados o afectados por los mismos y habrá de verificarse de una forma periódica y, en algunos casos, incluso continuada en el tiempo, siendo preciso establecer en determinados supuestos que el acceso a la información se produzca a través de las conexiones directas a las bases de datos correspondientes. Con este objetivo, se aprovechan, en la medida en que lo permite la normativa vigente y de acuerdo con los requisitos establecidos por el Esquema Nacional de Interoperabilidad (ENI), regulado por el Real Decreto 4/2010, de 8 de enero, las posibilidades que en este campo ofrecen las más modernas tecnologías.
De otra parte, resulta necesario establecer un procedimiento ágil y sencillo, o mantener el ya existente, en su caso, que, compatibilizando la realización de las funciones de asistencia al ciudadano con prontitud y eficacia, permita a ambos entes el embargo de los pagos que éstos realicen. En particular, la traba por la TGSS de las devoluciones tributarias y, de otra parte, la traba por la HFN de los pagos que, en concepto de devolución o por cualquier otro concepto, haya de efectuar la TGSS a favor de obligados al pago de deudas tributarias u otras gestionadas por la HFN. Todo ello debe realizarse con el correspondiente apoyo informático que permita a ambas el cumplimiento de sus fines recaudatorios con prontitud, eficacia y eficiencia.
b) Identificación de Convenios y Adendas anteriores:
El presente Convenio tiene por objeto sustituir al firmado entre las mismas partes en fecha 23 de marzo de 2007, así como a la adenda firmada en fecha 10 de mayo de 2010, a la par que pretende profundizar en el intercambio de información preestablecido por las partes, mejorar la calidad técnica y jurídica de los citados textos, dinamizando su contenido y agilizando su sistema de modificación o actualización así como adaptando el texto al mandato contenido en los artículos 47 a 52 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
En consecuencia, siendo jurídicamente procedente el establecimiento de un sistema estable de intercambio de información que, en su caso, incluso permita el acceso directo a las bases de datos de la otra parte a través de las pertinentes conexiones informáticas y, convencidas de la importancia de una correcta utilización de dicha información que garantice en todo caso su secreto y el derecho a la intimidad de los ciudadanos, ambas partes acuerdan celebrar el presente Convenio que se regirá por las siguientes:
CLÁUSULAS
1. El presente Convenio tiene por objeto establecer un marco general de colaboración entre la TGSS y la HFN, en cuanto a las condiciones y procedimientos por los que se debe regir el intercambio recíproco de información y el recíproco acceso a las bases de datos, preservando en todo caso los derechos de las personas a que se refiera la misma. De igual forma, tiene por objeto establecer un procedimiento de colaboración en la gestión recaudatoria.
2. El presente Convenio se entiende sin perjuicio de la colaboración, en particular en cuanto a intercambio de información y cumplimiento de las órdenes de embargo o de adopción de medidas cautelares, que pueda tener lugar entre la TGSS y la HFN conforme al ordenamiento jurídico en supuestos distintos de los regulados por este Convenio.
1. La cesión de información procedente de la TGSS tendrá como finalidad:
a) Al amparo de lo dispuesto en el artículo 77.1.b) del Texto Refundido de la Ley General de la Seguridad Social, así como en el artículo 94. 1 de la Ley General Tributaria y en el artículo 104.1 de la Ley Foral General Tributaria de Navarra, la colaboración a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias.
b) Al amparo de lo dispuesto en el artículo 77.1.d) del Texto Refundido de la Ley General de la Seguridad Social, la colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.
2. La cesión de información procedente de la HFN, al amparo de lo dispuesto en el artículo 40.4 de la Ley General de la Seguridad Social y en el artículo 105.1.c) de la Ley Foral General Tributaria de Navarra, tendrá como finalidad exclusiva la colaboración con la TGSS en la recaudación de los recursos de Seguridad Social y demás conceptos de recaudación conjunta, particularmente en el ámbito de la lucha contra el fraude en la cotización y recaudación de las cuotas del sistema de Seguridad Social.
3. Podrán realizarse cesiones de información con finalidades diferentes a las indicadas en los apartados anteriores, siempre que estén motivadas por funciones atribuidas por el ordenamiento jurídico a la entidad cesionaria.
Los suministros de información previstos en los apartados 1 y 2 de la cláusula segunda de este Convenio no requerirán la autorización de los interesados, de conformidad con lo dispuesto en los artículos 40.6 del Texto Refundido de la Ley General de la Seguridad Social y 104.4 de la Ley Foral General Tributaria de Navarra.
La información cedida por ambas partes en aplicación de lo prevenido en el presente Convenio solo podrá tener por destinatarios a los órganos de la TGSS y de la HFN que tengan atribuidas las funciones que justifican la cesión, recogidas, por aplicación de la normativa vigente, en el propio Convenio, sin que en ningún caso puedan ser destinatarios organismos, órganos o entes que realicen funciones distintas.
En el caso de que la entidad cesionaria vaya a permitir el acceso a terceros para la prestación de un servicio determinado y necesario para el cumplimiento de los fines amparados por el Convenio, deberá remitir a la entidad cedente una relación de esos terceros que vayan a tener acceso a los datos. Dicha entidad cesionaria también será responsable de informar a dichos terceros acerca de las responsabilidades y medidas de seguridad a aplicar en los accesos.
1. Las partes signatarias establecen los principios de colaboración mutua y reciprocidad como vertebradores del suministro de información a efectuar de acuerdo con lo dispuesto en el presente Convenio.
En particular, resultarán de aplicación los principios recogidos en las siguientes normas:
a) Orden Foral 136/2005, de 27 de abril, del consejero de Economía y Hacienda, por la que se regula el suministro de la información de carácter tributario y la expedición de certificados por la Hacienda Tributaria de Navarra.
b) Orden 17 de enero de 1996 sobre control de accesos al sistema informático de la Seguridad Social.
2. En la medida en que las entidades signatarias puedan disponer de la información que precisen para el desarrollo de sus respectivas funciones, no exigirán a las personas interesadas que aporten certificaciones o documentos expedidos por el órgano cedente referidos a la información objeto de transmisión.
1. Los datos suministrados por la TGSS son los que se han incorporado a sus bases de datos, con arreglo a los procedimientos establecidos al efecto, sin que con carácter general hayan sido sometidos a actividad alguna de verificación previa a su automatización. No obstante, cuando los datos hubieran sido comprobados, se facilitarán estos últimos.
2. Los datos suministrados por la HFN son los declarados por los contribuyentes y demás obligados a suministrar información, sin que, con carácter general, hayan sido sometidos a actividad alguna de verificación previa a su automatización. No obstante, cuando los citados datos hubieran sido comprobados por la Administración Tributaria se facilitarán los datos comprobados.
En particular, se advierte, a los efectos de su comprobación a través de los Registros Públicos correspondientes, de la posibilidad de que los datos relativos al cónyuge de los obligados al pago de la TGSS, a que se refiere el punto 2 de la cláusula octava de este Convenio, puedan haber sido modificados con posterioridad a su declaración, sin que hayan sido sometidos a verificación por parte de la HFN.
3. Por la TGSS y por la HFN podrán efectuarse o solicitarse especificaciones o aclaraciones sobre la naturaleza y contenido de los datos suministrados.
Sin perjuicio del cumplimiento de las medidas previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre y el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero, con carácter previo a la interconexión informática es imprescindible la adopción de las siguientes medidas:
1. Los responsables técnicos de ambas Administraciones habilitarán los mecanismos telemáticos necesarios para que los accesos y autorizaciones correspondientes a los usuarios de ambas Administraciones se adecuen integrándose en los sistemas de administración y confidencialidad de cada una de ellas.
2. Los órganos competentes de ambas Administraciones autorizarán la interconexión informática.
3. Autorizada la conexión, se procederá por los órganos técnicos al enlace telemático de los sistemas informáticos que, en el caso de la TGSS se realizará a la Gerencia Informática de la Seguridad Social y en el caso de la HFN, se realizará a través de la Dirección General de Telecomunicaciones y Digitalización.
4. El responsable o responsables, en su caso, de cada ente, asumirán directamente, respecto de sus usuarios, el alta, la autorización de accesos y su permanente actualización y adecuación, con independencia de la supervisión que pueda efectuarse por el organismo responsable del fichero objeto de cesión.
La Administración cesionaria será responsable respecto de la utilización que sus usuarios realicen de los ficheros, en especial de la proporcionalidad, adecuación y pertinencia de los datos a los que accedan.
1. Debido a la frecuencia e intensidad con la que son necesarios los intercambios de información para el cumplimiento de las finalidades indicadas en la cláusula segunda, se permitirá -con sujeción a las reglas que se detallan en este Convenio- el acceso recíproco, tanto a las bases de datos de la TGSS, como a las de la HFN. En ningún caso podrá autorizarse el acceso directo a bases de datos para finalidades distintas de las citadas.
2. La TGSS podrá consultar, mediante acceso directo a las bases de datos de la HFN, los siguientes datos:
a) De sus obligados al pago y, en su caso, de los cónyuges de éstos:
1) Número de Identificación Fiscal.
2) Razón social/ Apellidos y nombre.
3) Domicilio Fiscal.
b) Exclusivamente de sus obligados al pago:
1) Fondos de inversión y demás activos financieros.
2) Catastro urbano.
3) Cuentas bancarias, modelo 196 o información que le sustituya.
4) Valores, seguros y rentas del modelo 189 o información que le sustituya.
5) Datos declarados o imputados por terceros a través del modelo 347 (F-50 en Navarra), o información que le sustituya, de operaciones con terceras personas.
6) Imputaciones del modelo 190 (Retenciones del trabajo), o información que le sustituya.
7) Imputaciones del modelo 180 (Retenciones arrendamientos urbanos), o información que le sustituya.
8) Seguros de vida a favor de la persona apremiada por parte del cónyuge fallecido, del modelo 652, o información que le sustituya.
9) Imputaciones del modelo 346, o información que le sustituya, (Declaración informativa de subvenciones e indemnizaciones satisfechas o abonadas a agricultores o ganaderos por entidades públicas o privadas).
10) Imputaciones del modelo 170 o información que le sustituya, (Operaciones adheridas al sistema de gestión de cobros a través de tarjetas de crédito o de débito).
11) Información contenida en el expediente correspondiente al Impuesto de Sucesiones y Donaciones, en la que el consultado resulte beneficiario o bien sea el causante en una sucesión hereditaria.
12) Consulta de socios de empresas.
13) Consulta del impuesto de Sociedades
14) Documentos notariales con trascendencia inmobiliaria que obren en bases de datos de la Hacienda Foral Navarra.
15) Importe de deuda que contribuyentes (identificados por CIF y NIF) mantengan con la HFN.
16) Vehículos a motor.
c) De las entidades licitadoras en procedimientos de contratación administrativa de su competencia, estar al corriente de las obligaciones tributarias, por el cauce que establezca la Comisión Mixta, previa autorización de los interesados.
d) De las personas físicas, con actividad en la Comunidad Foral de Navarra, que tramiten el alta en el Régimen Especial de Trabajadores Autónomos, consulta on-line, por el cauce que establezca la Comisión Mixta, de los datos necesarios de actividades económicas que permitan la realización de los trámites de alta y baja, a través de internet, previa autorización de los interesados.
3. La HFN podrá consultar, mediante acceso directo, la siguiente información contenida en las bases de datos de la TGSS:
a) Respecto de los empresarios o empleadores:
1) Datos de identificación de los empresarios.
2) Identificación de los trabajadores de cada empresa («VILEM»).
3) Bases de cotización.
4) Cuotas satisfechas por los sujetos obligados por cuenta del empresario y del trabajador.
5) Condición de empresa colaboradora con el sistema de la Seguridad Social (régimen de adscripción a Seguridad Social), exclusiones de cotización de las empresas y trabajadores afectados.
6) Importe pendiente de la deuda que los sujetos obligados mantienen con la TGSS.
7) Empresas antecesoras y sucesoras.
b) Respecto de los afiliados:
1) Datos de identificación y vida laboral de los mismos.
4. Cualquier ampliación o modificación del suministro de información previsto en esta cláusula, derivado de un cambio normativo posterior a la firma del presente Convenio requerirá el acuerdo de la Comisión Mixta de Coordinación y Seguimiento prevista en la cláusula decimoquinta del presente Convenio y la previa la firma de la oportuna adenda al Convenio.
5. Como prestación accesoria, en la medida en que las posibilidades técnicas lo permitan, se facilitará la petición de informes que puedan complementar la información obtenida, de acuerdo con el procedimiento que al efecto apruebe la referida Comisión Mixta de Coordinación y Seguimiento.
6. La Comisión Mixta de Coordinación y Seguimiento, prevista en la cláusula decimoquinta del presente Convenio, podrá limitar el número máximo de usuarios autorizados para los empleados de la Tesorería de la Seguridad Social y de la HFN, así como el número máximo de accesos directos autorizados a las respectivas bases de datos.
Para el cumplimiento de las finalidades descritas en la Cláusula Segunda se establecen los siguientes intercambios de información, que deberán realizarse, siempre que ello sea posible, por medios informáticos o telemáticos, con la periodicidad y fechas límites que se detallan a continuación:
1. Suministros de información de la TGSS a la HFN.
La TGSS suministrará a la HFN la siguiente información referida a:
a) Empresarios con código de cuenta de cotización en alta en la Comunidad Foral de Navarra y a trabajadores vinculados con dichos códigos de cuentas de cotización.
b) Trabajadores vinculados con códigos de cuentas de cotización en alta fuera de la Comunidad Foral de Navarra, previa petición de la HFN, siempre que estos tengan domicilio fiscal en Navarra.
| N.º | Información | Periodicidad | Fecha límite |
|---|---|---|---|
| 1 | Censo de trabajadores con domicilios. | Semestral. | 1 de abril / 1 de noviembre. |
| 2 | Censo de empresas a 31 de diciembre con el número de trabajadores de la empresa a nivel de Código de Cuenta de Cotización (CCC). | Anual. | 1 de febrero. |
| 3 | Altas iniciales a la Seguridad Social de empresas y trabajadores. | Anual. | 1 de febrero. |
| 4 | Bajas en la Seguridad Social de empresas y trabajadores. | Anual. | 1 de febrero. |
| 5 | Relación de empresas que mantienen o han mantenido un porcentaje elevado de trabajadores coincidente con el de otras empresas. | Trimestral. | 15 del mes siguiente. |
| 6 | Empresas sin trabajadores. | Bimestral. | 15 del mes siguiente. |
| 7 | Acuerdos de sucesión de empresas y derivación de responsabilidad adoptados cuando informáticamente se encuentre disponible. | Semestral. | |
| 8 | Datos identificativos de cuentas de cotización en las que figuran de alta como trabajadores por cuenta ajena determinados deudores frente a la HFN, previa petición de ésta. | Mensual. | 5 del mes siguiente. |
| 9 | Datos identificativos de cuentas de cotización en las que figuran de alta (a efectos de la asistencia sanitaria) perceptores de prestaciones de la Seguridad Social que a su vez son deudores de la HFN. | Mensual. | 5 del mes siguiente. |
| 10 |
Datos identificativos y datos de cotización (cuotas ingresadas en el ejercicio anterior) de trabajadores de alta en los regímenes especiales de la Seguridad Social o que son suscriptores de convenios especiales. En particular de los trabajadores del Sistema Especial para Empleados del Hogar: • Las bases de cotización. • Retribución. Las cuotas satisfechas tanto por empleador como por empleado en el ejercicio anterior. La relación entre empleador y empleado. |
Dos veces al año. | 1 de febrero y 1 de abril. |
| 11 | Datos identificativos y datos de cotización de trabajadores susceptibles de pago anticipado o deducciones familiares y por maternidad en IRPF. | Dos veces al año. | 1 de marzo y 1 de abril. |
| 12 | Datos identificativos de trabajadores susceptibles de pago anticipado o deducciones familiares y por maternidad en IRPF. | Mensual. | |
| 13 | Datos de la Liquidación de cuotas. | Mensual. | Mes siguiente al plazo reglamentario de recaudación. |
| 14 | Identificación de los presuntos partícipes en los expedientes enviados a los órganos competentes por haberse detectado hechos constitutivos del delito de Insolvencia Punible o delitos conexos (artículo 257 Código Penal) cuando informáticamente se encuentre disponible. | Cuando informáticamente se encuentre disponible. | |
| 15 | Suministro de información de trabajadores que hayan tenido más de una ocupación durante el ejercicio anterior. | Anual. | 1 de febrero. |
| 16 | Relación de empresas que generan reclamación de deuda por no presentar la liquidación. | Mensual. | |
| 17 | Número de declaraciones de Jornadas Reales de la empresa del Fichero General de Afiliación de la Seguridad Social del sector agrícola. | Anual. | |
| 18 | Relación de empresas con actividad deudoras a la Seguridad Social formalmente insolventes. | Mensual. | |
| 19 | Relación de empresas inscritas en la Seguridad Social sin ingresos en los primeros meses de su actividad. | Mensual. | |
| 20 | Suministros de información correspondientes a sueldos y salarios. | Cuando informáticamente se encuentre disponible. | |
| 21 | Datos de la Relación Nominal de Trabajadores. | Cuando informáticamente se encuentre disponible. | |
| 22 | Datos de la Liquidación de cuotas de otros sectores. | Cuando informáticamente se encuentre disponible. | |
| 23 | Informe plantilla media de trabajadores a nivel nacional. | Anual, antes del fin del plazo de declaración de IRPF. |
2. Suministros de información de la HFN a la TGSS.
| N.º | Información | Periodicidad | Fecha límite |
|---|---|---|---|
| 1 | Censo de entidades jurídicas. | A petición. | |
| 2 | Censo de Empresarios, Profesionales y Retenedores. | A petición. | |
| 3 | Acuerdos de sucesión de empresas y de derivación de responsabilidad adoptados. | Cuando informáticamente se encuentre disponible. | |
| 4 | Identificación de los presuntos partícipes en los expedientes enviados a los órganos competentes por haberse detectado hechos constitutivos del delito de Insolvencia Punible o de delitos conexos (artículo 257 Código Penal). | Cuando informáticamente se encuentre disponible. | |
| 5 | Cesión de datos de Cuentas Bancarias. | A petición. | 50 cuentas por NIF y ejercicio. |
| 6 |
Cesión de datos de Fondos de Inversión. |
A petición. | 50 cuentas por NIF y ejercicio. |
| 7 | Cesión de los datos sobre las retenciones aplicables a los contribuyentes del IRPF que ejercen actividades económicas (artículo 78.6 Decreto Foral 174/1999, de 24 de mayo). | Anual. | |
| 8 | Censo de Empresarios, Profesionales y Retenedores: información sobre actividades económicas, con indicación de fechas de alta y baja. | A petición. | |
| 9 | Información de estar al corriente de obligaciones tributarias. | A petición. | |
| 10 | Información sobre rentas de trabajadores agrícolas según la Ley 18/2007, de 7 de julio, por la que se procede a la integración de los trabajadores por cuenta propia del Régimen Especial Agrario de la Seguridad Social en el Régimen Especial de la Seguridad Social de los Trabajadores por Cuenta Propia o Autónomos. | A petición. El ejercicio fiscal se abre a principios de julio. |
|
| 11 | Declaraciones del modelo 346 de resumen anual de subvenciones e indemnizaciones a agricultores o ganaderos, o información que le sustituya. | Anual. | |
| 12 | Declaraciones del modelo 189 de declaración informativa anual de valores, seguros y rentas, o información que le sustituya. | A petición. | |
| 13 | Impuesto sobre Sociedades (Modelo S90, o información que le sustituya). Datos de los administradores y de los partícipes que los declarantes estén obligados a reflejar en el Modelo S90, según instrucciones de cumplimentación. | Cuando informáticamente se encuentre disponible. | |
| 14 | Datos del Modelo 340 de declaración informativa de operaciones incluidas en los libros registro, o información que le sustituya. | A petición. | |
| 15 | Datos del IVA (Impuesto sobre el Valor Añadido). | Cuando informáticamente se encuentre disponible. | |
| 16 | Información del Modelo 190 de resumen anual de retenciones e ingresos a cuenta de rendimientos del trabajo de determinadas actividades económicas, premios y determinadas imputaciones de renta, o información que le sustituya. | A petición. | |
| 17 | Información del Modelo 347 de declaración anual operaciones con terceras personas, o información que le sustituya. | A petición. | |
| 18 | Modelo 170 de declaración informativa anual de las operaciones realizadas por los empresarios o profesionales adheridos al sistema de gestión de cobros a través de tarjetas de crédito o de débito, o información que le sustituya. | Cuando informáticamente se encuentre disponible. | |
| 19 | Modelo 345, o información que le sustituya, de declaración informativa de Planes, fondos de pensiones y sistemas alternativos. Mutualidades de Previsión Social, Planes de Previsión Asegurados, Planes individuales de Ahorro Sistemático, Planes de Previsión Social Empresarial y Seguros de Dependencia. Declaración anual partícipes y aportaciones. |
A petición. |
|
| 20 | Relación de empresas con actividad deudoras a la Seguridad Social formalmente insolventes. | Mensual. |
La HFN comunicará a la TGSS, respecto de los procedimientos administrativos de contratación en los que ésta tome parte, la siguiente información:
| N.º | Información | Periodicidad | Fecha límite |
|---|---|---|---|
| 1 | Información de estar al corriente de obligaciones tributarias. | Mensual. | 7 días desde la recepción. |
Las peticiones deberán contener todos los datos que sean precisos para identificar claramente a los interesados afectados y el contenido concreto de la información solicitada, que deberá ser el imprescindible para garantizar el adecuado ejercicio de las funciones que tiene atribuidas el ente solicitante de la información.
Estas peticiones deberán hacer constar que los interesados han autorizado expresamente el suministro de datos, sin que se haya producido su revocación.
En la medida en que la TGSS pueda disponer de la información de carácter tributario que precise para el desarrollo de sus funciones mediante los cauces previstos en el presente Convenio, no se exigirá a los interesados que aporten individualmente certificaciones expedidas por la HFN, ni la presentación, en original, copia o certificación, de sus declaraciones tributarias o de cualquier otra comunicación emitida por la HFN en el caso de no declarantes.
Todos los ficheros tendrán un registro identificativo y deberán atenerse al formato acordado en cada caso en el seno de la Comisión Mixta.
Se acuerda que, en lo sucesivo, se llevará a cabo, a través de sistemas informatizados, la traba por la TGSS de las devoluciones tributarias o de ingresos indebidamente realizados, o por cualquier otro concepto, que hayan de efectuarse a favor de deudores apremiados por deudas de Seguridad Social u otras gestionadas por la TGSS, así como el embargo por la HFN de los pagos que, en concepto de devolución de ingresos indebidamente realizados, por obligaciones derivadas de la prestación de servicios o relaciones contractuales con terceros con cargo a los presupuestos del Sistema de Seguridad Social o por cualquier otro concepto, haya de efectuar la TGSS a favor de deudores apremiados por deudas tributarias u otras gestionadas por la HFN. A tal fin, se realizarán los necesarios cruces de ficheros informáticos conteniendo los respectivos deudores en vía ejecutiva.
El establecimiento de dichos sistemas en ningún caso excluirá la posibilidad, excepcional, de embargo a través de cualquier otro medio admitido en Derecho.
Los aspectos técnicos necesarios para la puesta en funcionamiento de dicho sistema a través de un procedimiento ágil y sencillo serán desarrollados por ambas partes en los concretos términos que se acuerden en el seno de la Comisión Mixta de Coordinación y Seguimiento prevista en la cláusula decimoquinta del presente Convenio. Hasta tanto no se lleve a cabo tal desarrollo, los embargos a que se refiere esta cláusula se practicarán a través de los sistemas actualmente existentes.
Dado que, de acuerdo con las previsiones del anterior Convenio entre ambas entidades, la HFN ya está realizando la traba de las devoluciones que se citan en el primer párrafo de la presente cláusula, por medios informáticos, en la citada Comisión Mixta de Coordinación y Seguimiento se establecerán los plazos y características del procedimiento que se habilitará, para poder hacer efectivo el embargo por parte de la TGSS, citado en dicho primer párrafo de esta cláusula DÉCIMA.
En todo caso, el procedimiento procurará que no se produzcan duplicidades de ingresos, derivadas de actuaciones simultáneas, que supongan molestias innecesarias a los deudores u obligados al pago. La Administración emisora será la responsable de resolver las posibles duplicidades que se pudieran generar.
1. El control y seguridad de los datos suministrados se regirá por lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal, en la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, y en los documentos de seguridad de la TGSS y de la HFN, respectivamente.
En particular, la TGSS y la HFN asumen en todos sus términos la cláusula que se incluyen como Anexo I.
2. El acceso a las bases de datos de la HFN y de la TGSS se efectuará de modo que quede constancia de la identidad del usuario, de la información a que se accede y del motivo de acceso, conforme a lo previsto en el anexo I.
3. Se establecen los siguientes controles sobre los accesos, la custodia y la utilización de la información suministrada al amparo de este Convenio:
a) Control interno por parte del ente cesionario de la información.
La HFN, por un lado, y la TGSS, por otro, realizarán controles sobre la custodia y utilización que de los datos recibidos realicen las autoridades, funcionarios o resto de personal dependientes de las mismas, informando a la otra entidad de los resultados obtenidos en dicho seguimiento.
Además, realizarán controles con una periodicidad al menos mensual de los accesos a bases de datos ajenas por parte de sus usuarios, exigiendo la plena motivación de aquéllos. A tales efectos, se proporcionarán a los respectivos responsables las herramientas informáticas disponibles en cada ente, informando al otro organismo de los resultados obtenidos en dicho seguimiento.
El procedimiento de auditoría fijado por la TGSS, y al que deberá someterse la HFN, se incluye como Anexo II y se adjunta a este Convenio. A su vez, el procedimiento de auditoría fijado por la HFN, al que deberá someterse la TGSS, se incluye como Anexo III y se adjunta a este Convenio.
b) Control por el ente titular de la información cedida.
Sin perjuicio de lo dispuesto anteriormente, la HFN y la TGSS podrán establecer cualquier sistema de comprobación accesorio, a cuyo efecto el responsable de seguridad de cada entidad podrá solicitar, de su homólogo, la información que estime pertinente relativa a los accesos e incidencias producidos. El control por parte de la entidad titular del fichero podrá tener lugar con carácter previo a cada acceso singular a través de medios electrónicos que no obstaculicen la colaboración mutua.
Cuando se planteen dudas sobre la corrección de los accesos, la custodia o la utilización de la información cedida, la entidad titular de la información podrá dirigirse a la cesionaria para que realice las comprobaciones y adopte las medidas que estime pertinentes. Si las dudas tienen carácter previo al suministro de la información, el mismo podrá suspenderse hasta que queden completamente aclaradas o se adopten las medidas que resulten procedentes.
Tanto la TGSS como la HFN aceptan someterse a las actuaciones de comprobación que pueda acordar la Inspección de Servicios de la TGSS y la Sección de Impulso de Proyectos, Mejora de Procedimientos y Seguridad de la HFN, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.
4. La HFN y la TGSS deberán ajustarse a lo estipulado en los siguientes puntos:
a) La TGSS realizará la autorización inicial de acceso a las transacciones del Fichero General de Afiliación a que se refiere el presente Convenio.
Así mismo, la HFN realizará la autorización inicial de acceso a sus bases de datos a que se refiere el presente Convenio.
b) La configuración del acceso, objeto del presente Convenio, habrá de cumplir los principios básicos y requisitos mínimos establecidos en el Esquema Nacional de Seguridad, en el ámbito de la Administración Electrónica, para una protección adecuada de la información, asegurando el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen las Administraciones suscribientes. Así mismo habrá de cumplir los principios de configuración de la seguridad del «sistema de información de la Seguridad Social», recogidos en el artículo 2 de la Orden de 17 de enero de 1996, sobre control de acceso al sistema informático de la Seguridad Social.
c) La administración de los sistemas se basará en la asignación de perfiles de acceso a las distintas personas usuarias de acuerdo con las funciones desempeñadas por las mismas.
En este sentido, la TGSS asignará dos perfiles de usuario administrador con nivel 4 en la HFN y ésta, a su vez, dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.
Así mismo, la Sección de Seguridad de la HFN podrá designar dos administradores para la gestión de los usuarios y los permisos en sus sistemas de información que resulten necesarios para dar cumplimiento al presente Convenio.
A la firma del presente Convenio ambas partes comunicarán a la otra parte el nombre completo, DNI, dirección de correo electrónico y teléfono de las personas que asuman el perfil de usuario administrador. Igual obligación existirá cuando exista un cambio en dichas personas.
A los efectos del presente punto se denomina «persona usuaria» a las personas autorizadas para acceder a los sistemas informáticos, pero sin facultad para gestionar los permisos de acceso a dichos sistemas.
Las personas con perfil de usuario administrador, dados de alta, solicitarán la asignación de perfiles. La persona administradora de la TGSS solicitará, en la forma que se determine, la gestión de usuarios y permisos a la Sección de Seguridad de HFN.
d) Las personas usuarias administradoras, y subsidiariamente su correspondiente entidad, son responsables de la asignación de perfiles de autorización a las personas usuarias, que deben corresponderse con las necesidades de gestión y vigilarán la correcta utilización de las autorizaciones concedidas.
e) Todas las personas usuarias, autorizadas a acceder al sistema, deberán quedar identificadas y autentificadas, de forma que en todo momento pueda conocerse la persona usuaria y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello en el momento de autorizar una persona usuaria se cumplimentarán todos los campos exigidos.
f) Cada persona usuaria tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
g) Cuando alguna persona usuaria, ya sea administradora o autorizada, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión, o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja de su cuenta de acceso. Por otra parte, se establecerán controles en cuanto al tiempo de inactividad de las cuentas de acceso, que pasarán a la situación de canceladas una vez transcurrido un determinado tiempo sin acceder al sistema. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de personas usuarias y limitaciones en el horario de conexión.
1. Cuantas autoridades, funcionarios y resto de personal tengan conocimiento de los datos o información suministrados en virtud de este Convenio estarán obligados al más estricto y completo sigilo respecto de ellos. La violación de esta obligación implicará incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes, así como el sometimiento al ejercicio de las competencias que corresponden a la Agencia Española de Protección de Datos.
2. El expediente para conocer de las posibles responsabilidades, de cualquier índole, que se pudieran derivar de la indebida utilización de la información suministrada en ejecución de este Convenio, deberá ser iniciado y concluido, así como exigido, en su caso, por la Administración a la que pertenezca la autoridad, funcionario u otro tipo de personal responsable de dicha utilización indebida.
3. La Entidad cesionaria deberá, si no hay un precepto legal en contra, borrar los datos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para lo cual fueron solicitados.
La documentación en poder de cada administración, relativa a los controles de acceso al sistema informático de la otra, deberá conservarse por un periodo de tiempo no inferior a tres años. En especial deberá conservarse, por el ente solicitante de la información, los documentos en los que conste la autorización expresa de los interesados cuando ésta sea preceptiva.
El suministro de información amparado por este Convenio no tendrá otros efectos que los derivados del objeto y la finalidad para la que los datos fueron suministrados. En consecuencia, no originarán derechos ni expectativas de derechos en favor de los interesados o afectados por la información suministrada, ni interrumpirá la prescripción de los derechos u obligaciones a que puedan referirse los procedimientos para los que se obtuvo aquélla. De igual modo, la información suministrada no afectará a lo que pudiera resultar de las actuaciones de comprobación o investigación o de la ulterior modificación de los datos suministrados.
Con el fin de coordinar las actividades necesarias para la ejecución del presente Convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión Mixta de Coordinación y Seguimiento, compuesta por tres representantes nombrados por el Director General de la TGSS, uno de los cuales pertenecerá a la Gerencia de Informática y otros tres nombrados por la HFN. Sus acuerdos requerirán el voto favorable de todos los representantes. Asimismo, podrá incorporarse, con derecho a voz, cualquier otro personal al servicio de la Administración Pública que se considere necesario.
Será competencia de la Comisión Mixta de Coordinación y Seguimiento establecer los procedimientos más eficaces que posibiliten el intercambio de información y la colaboración en la gestión recaudatoria prevista en este Convenio. A tal fin, promoverá la supresión de los impedimentos técnicos que impidan su inmediato intercambio y colaboración.
En concreto, a la Comisión Mixta de Coordinación y Seguimiento se le encomiendan las siguientes funciones:
1. Concretar, anualmente o con la periodicidad que proceda, detalles relativos a la ejecución del contenido del Convenio siempre que no supongan una modificación del contenido mínimo y esencial del mismo.
2. Coordinar las actuaciones necesarias para la correcta ejecución del presente Convenio, estableciendo, en particular, los procedimientos de intercambio de información más eficaces, así como las medidas que garanticen la protección de los datos suministrados.
3. Adoptar las medidas de control pertinentes para asegurar la custodia y correcta utilización de la información recibida.
4. Resolver las dudas y controversias que puedan surgir en la interpretación y ejecución del presente Convenio.
5. Establecer los criterios adecuados para la regulación de los aspectos no desarrollados en este Convenio.
En el seno de la Comisión Mixta podrán constituirse Grupos de Trabajo específicos con el fin de facilitar la realización de sus funciones.
La Comisión Mixta de Coordinación y Seguimiento se regirá, en cuanto a su funcionamiento y régimen jurídico, en lo no establecido expresamente en la presente cláusula, por lo dispuesto para el funcionamiento de órganos colegiados en la sección 3.ª del capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La Comisión Mixta de Coordinación y Seguimiento se reunirá a instancia de cualquiera de las partes, siempre que los temas a tratar o las circunstancias lo aconsejen y, al menos una vez al año para examinar los resultados e incidencias de la colaboración realizada. El funcionamiento ordinario de la Comisión se realizará a distancia según lo previsto en el artículo 17.1 de la Ley 40/2015, de 1 de octubre, sin perjuicio de que el Presidente acuerde la convocatoria de sesiones presenciales, cuando lo estime necesario o lo solicite algún otro miembro de la Comisión.
Las controversias que puedan surgir en la interpretación y cumplimiento del presente Convenio serán resueltas por la Comisión Mixta de Coordinación y Seguimiento. Subsidiariamente, ambas partes, para las cuestiones derivadas del cumplimiento o interpretación del presente Convenio, aceptan la sumisión a los Juzgados y Tribunales, según están determinados por la normativa que regula la Jurisdicción Contencioso administrativa.
1. De conformidad con lo establecido en el artículo 49.h).1.º de la Ley 40/2015, el presente Convenio tendrá una vigencia de 4 años, desde la publicación en el Boletín Oficial del Estado, previa inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, a cuyo término se podrá prorrogar, de mutuo acuerdo, por un periodo máximo de 4 años, a propuesta de cualquiera de las partes, con una antelación mínima de un mes a la fecha de su vencimiento.
El contenido del presente Convenio podrá ser actualizado o modificado, de mutuo acuerdo, en cualquier momento, a cuyo efecto las partes suscribirán la correspondiente Adenda al mismo, siempre que esta actualización o modificación suponga una modificación sustancial del objeto del Convenio, de su finalidad, o del contenido del mismo y siempre que no tenga cabida en lo previsto en la Cláusula Decimoquinta respecto a las potestades de la Comisión Mixta de Coordinación y seguimiento.
2. No obstante, por lo que se refiere al suministro de información regulado en este Convenio, el ente titular del fichero podrá acordar la suspensión unilateral o la limitación de los accesos cuando advierta incumplimientos de la obligación de sigilo por parte de las autoridades, funcionarios o resto de personal del ente cesionario, anomalías o irregularidades en los accesos o en el régimen de control o incumplimientos de los principios y reglas que deben presidir el suministro de información, de acuerdo con lo previsto en este Convenio.
3. En el caso de que se detecte una incidencia de seguridad, se podrá determinar la suspensión unilateral o limitación de los accesos, con arreglo al siguiente procedimiento:
a) La entidad que haya detectado la incidencia informará inmediatamente al responsable de seguridad de la otra entidad para recabar su opinión o información adicional
b) Si existe acuerdo de los respectivos responsables de seguridad sobre las medidas correctoras aplicables, se adoptarán éstas, notificándolo si procede a la Agencia Española de Protección de Datos, y se dará noticia de las mismas a la Comisión Mixta en la próxima reunión.
c) Si no se recibe respuesta, o no existe acuerdo de los respectivos responsables de seguridad sobre las medidas correctoras aplicables, se adoptarán éstas con carácter provisional, notificándolo si procede a la Agencia Española de Protección de Datos.
d) Con carácter previo a dicha suspensión unilateral o limitación de los accesos, se deberá convocar, con una antelación mínima de 48 horas, a la Comisión Mixta de Coordinación y Seguimiento, a quien se informará de los incumplimientos de la obligación de sigilo o de las anomalías o irregularidades en los accesos.
4. Son causas de extinción del Convenio las relacionadas en el artículo 51 de la Ley 40/2015. En el supuesto de incumplimiento de las obligaciones, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que lleve a término, en un determinado plazo, las obligaciones o compromisos que se consideran incumplidos. Ese requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control designado en la cláusula decimoquinta. Si transcurrido el plazo indicado en el requerimiento, persistiera el incumplimiento, la parte que lo dirigió notificará, a la otra parte firmante, la concurrencia de la causa de resolución y se entenderá resuelto el Convenio.
5. Se acuerda resolver el Convenio suscrito por los firmantes en fecha 23 de marzo de 2007, dando lugar a su liquidación y extinción desde su publicación en el Boletín Oficial del Estado previa inscripción en el registro electrónico estatal de órganos e instrumentos de cooperación. Desde la fecha en que el presente Convenio adquiera eficacia jurídica, sustituirá en su totalidad al firmado por las partes en fecha 23 de marzo de 2007, Convenio que por consiguiente se declara resuelto, liquidado y extinto.
El presente Convenio tiene carácter interadministrativo, y se rige por lo dispuesto en los artículos 47 a 53 del Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El presente Convenio no contempla la existencia de gastos que requieran el establecimiento de un sistema de financiación en el mismo.
En prueba de conformidad, ambas partes lo firman por duplicado, en la fecha y lugar indicados en el encabezamiento.–El Director General de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–El Director Gerente de la Hacienda Foral de Navarra, Óscar Martínez de Bujanda.
El control y seguridad de los datos suministrados se regirá por lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal y seguridad en el tratamiento de la información y en los Documentos de Seguridad aprobados por la TGSS y por la HFN.
1. Aceptación de finalidad:
El órgano cesionario acepta y asume, por la presente, que la cesión de datos se produce a los fines exclusivos que se especifican en este Convenio y que cualquier otro uso que reciban constituye un incumplimiento que podrá dar lugar a las responsabilidades oportunas.
El órgano cesionario será responsable, frente al órgano cedente y frente a terceros, de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo al órgano cedente de cualquier responsabilidad a este respecto. El órgano cedente podrá repetir contra el órgano cesionario cualquier indemnización que deba satisfacer de dicho incumplimiento.
2. Control de órgano cesionario:
A través de los sistemas y medios informáticos de auditoría que facilite el órgano cedente, el órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.
Para llevar a efecto lo señalado en el párrafo anterior, el órgano cedente se compromete a proporcionar la asistencia necesaria a los responsables que se designen por el órgano cesionario.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
3. Control y supervisión del órgano cedente:
Sin perjuicio de lo anterior, el órgano cedente se reserva la facultad de:
a) Controlar, supervisar y/o auditar los accesos o la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios.
b) Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa.
c) Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieran sido autorizados.
El órgano cesionario acepta someterse a todas las actuaciones de control y supervisión que puedan acordarse por el órgano cedente, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.
4. Revisiones posteriores:
El órgano cedente se reserva la facultad de revisar en cualquier momento posterior a la firma del presente Convenio, las formas de acceso a los datos protegidos ya sea a través de acceso directo a ficheros, soporte físico o conexión telemática o electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponer alteración de las condiciones pactadas en este Convenio.
5. Utilización indebida:
Las autoridades, funcionarios y todo el personal que tenga relación directa o indirecta con la prestación de los servicios previstos en este Convenio, guardarán secreto profesional sobre todas las informaciones, documentos y asuntos a los que tengan acceso o de los que tengan conocimiento durante la misma. Estarán obligados a no hacer públicos o enajenar cuantos datos conozcan, incluso después de finalizar el plazo de vigencia de este Convenio.
La violación de esta obligación implicará incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes, así como el sometimiento al ejercicio de las competencias que corresponden a la Agencia Española de Protección de Datos.
Si como consecuencia de las actuaciones de control o auditoría o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes, con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.
6. Canal de comunicación:
Se designará una persona como interlocutor único en las relaciones y comunicaciones entre las partes. Cada vez que considere oportuno nombrar a otra persona, deberá comunicarlo formalmente a la otra.
El órgano cesionario garantizará la existencia de un canal de comunicación (teléfono, correo electrónico, etc.) mediante el cual el órgano cedente se podrá poner en contacto con el órgano cesionario para:
a) Resolver posibles incidencias relacionadas con las peticiones de datos.
b) Que los responsables de fiscalización y control del órgano cedente puedan hacer las solicitudes pertinentes.
7. Gestión de usuarios:
El órgano cesionario deberá garantizar:
a) Que tiene implantados los procedimientos que permitan gestionar el ciclo de vida de sus usuarios o componentes autorizados a acceder a los servicios de cesiones de datos del órgano cedente (altas, bajas o modificaciones de autorizaciones).
b) Que podrá facilitar una lista actualizada de las personas o componentes autorizados para realizar peticiones de datos en caso de ser solicitada por el órgano cedente.
c) Que comunicará cualquier variación relacionada con las personas que ha autorizado a realizar peticiones de datos.
8. Control de acceso físico:
El órgano cesionario deberá garantizar que utiliza mecanismos de control de acceso adecuados en aquellos equipos de trabajo desde los que se van a realizar peticiones de datos.
9. Almacenamiento de información:
El órgano cesionario garantizará que almacena y gestiona adecuadamente la información solicitada, así como los datos necesarios que permitan justificar la petición realizada, independientemente del soporte en el que se encuentre dicha información.
10. Pruebas con datos reales:
En el caso de desarrollar aplicaciones que realicen algún tipo de tratamiento de los datos solicitados, el órgano cesionario deberá garantizar que durante las pruebas de dichas aplicaciones no se utilizarán datos reales, que puedan comprometer la confidencialidad de los mismos.
11. Información a los usuarios autorizados:
El órgano cesionario debe garantizar que informará adecuadamente a todas las personas para las que solicita la autorización de acceso al menos de:
a) Las responsabilidades que asumen.
b) La finalidad concreta de la autorización.
c) Que el órgano cedente almacena rastros de cada una de las peticiones realizadas.
d) Que en cualquier momento se podrá solicitar la justificación de peticiones de datos realizadas, de acuerdo a los requisitos legales y a la finalidad para la que se autorizó la cesión de datos.
e) Las medidas de seguridad que deberá tener en cuenta para garantizar la seguridad de la información.
De esta manera, todos los usuarios identificados, así como sus responsables deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal, en tareas impropias, son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la parte correspondiente definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en el anexo V que se adjunta a este Convenio. Dicho documento quedará en poder del autorizador SILCON, si bien podrá ser remitido a la TGSS.
La HFN, como órgano cesionario, deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquellos figuren incluidos.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Las partes implicadas en el proceso de auditoría son las siguientes:
1. Auditor Delegado de la HFN.
Sus funciones y competencias son:
a) Será el interlocutor con la TGSS en el ámbito de su competencia y su función principal será efectuar la auditoría mensual a los usuarios autorizados en su Organismo.
b) Tendrá como mínimo un nivel 26 de complemento de destino, salvo petición justificada del órgano cesionario que solicitará la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorías.
c) Se le asignará en SILCON un perfil de usuario auditor, dándosele de alta a estos efectos por la TGSS en el Departamento correspondiente. Las altas, bajas o sustituciones que se produzcan en la persona designada como Auditor Delegado deberán ser comunicados a la mayor brevedad posible al Auditor Delegado de la TGSS en Navarra quien lo pondrá en conocimiento de la Unidad Nacional de Auditorías.
La Unidad Nacional de Auditorías, previa solicitud del Organismo externo, podrá autorizar la figura de auditor delegado suplente en los supuestos de vacante, ausencia o enfermedad del auditor delegado.
d) El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan el mismo perfil SILCON. Ello es debido a que la tarea de auditoría no es informática, sino de justificación documental de los accesos.
En ningún caso podrán coincidir en la misma persona los cargos de Administrador SILCON y Auditor Delegado.
2. Auditor Delegado Provincial de la TGSS.
En la Dirección Provincial de la TGSS, el Auditor Delegado Provincial tendrá las siguientes funciones:
a) Realizar las auditorías de los accesos del Auditor Delegado del Organismo externo.
b) Recibir, sistematizar y analizar los datos facilitados en el informe mensual de auditoría elaborado por el Auditor Delegado del Organismo externo.
c) Asignación/desasignación de un Departamento al Auditor Delegado del Organismo externo.
d) Información y resolución de dudas e incidencias al Auditor Delegado del Organismo externo.
e) Comunicar el resultado de las auditorías e incidencias a la Unidad Nacional de Auditorías.
3. Unidad Nacional de Auditorías.
Serán funciones de la Unidad Nacional de Auditoría las siguientes:
a) Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorías se lleven a efecto por las unidades competentes, con unos criterios unificados.
b) Formular propuestas y recomendaciones, en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:
1) Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
2) Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
c) Administrar las transacciones SILCON, específicamente referidas al sistema de auditorías, así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin, la Unidad Nacional de Auditorías elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.
d) Realizar auditorías específicas de accesos indebidos al Sistema de Confidencialidad, cuando se produzcan denuncias por los titulares de los datos accedidos, cualquiera que sea su lugar de presentación, y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.
e) Coordinar y preparar la información que requiera la Dirección General para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorías cualquier escrito o solicitud que se reciba de dicha Agencia.
El procedimiento concreto de auditoría se pondrá en conocimiento del Organismo externo por parte de la Dirección Provincial de la TGSS, antes del inicio de la auditoría mensual que proceda, la cual explicará dicho proceso y solicitará los datos personales del auditor delegado.
La TGSS, como órgano cesionario, deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquellos figuren incluidos.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Las partes implicadas en el proceso de auditoría son las siguientes:
1. Auditor Delegado de la TGSS.
a) Será el interlocutor con la HFN en el ámbito de su competencia y su función principal será efectuar la auditoría mensual a los usuarios autorizados en su Organismo.
A estos efectos, HFN podrá proporcionarle los accesos realizados por los usuarios de la TGSS a las bases de datos de la HFN.
b) Las altas, bajas o sustituciones que se produzcan en la persona designada como Auditor Delegado deberán ser comunicadas, a la mayor brevedad posible, a la Sección de Impulso de Proyectos, Mejora de Procedimientos y Seguridad de HFN.
El órgano competente de la HFN, previa solicitud de la TGSS, podrá autorizar la figura de Auditor Delegado suplente en los supuestos de vacante, ausencia o enfermedad del Auditor Delegado.
2. Sección de Seguridad de la HFN.
Tendrá las siguientes funciones:
a) Realizar las auditorías de los accesos del Auditor Delegado de la TGSS.
b) Recibir, sistematizar y analizar los datos facilitados en el informe de auditoría elaborado por el Auditor Delegado de la TGSS.
c) Información y resolución de dudas e incidencias al Auditor Delegado de la TGSS.
d) Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorías se lleven a efecto con criterios adecuados.
e) Formular propuestas y recomendaciones, en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la HFN, en particular de:
1) Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
2) Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
f) Administrar las transacciones específicamente referidas al sistema de auditorías así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin, el órgano referido se encargará de gestionar las adaptaciones que puedan requerir dichos sistemas.
g) Realizar auditorías específicas de accesos indebidos a datos tributarios cuando se produzcan denuncias por los titulares de los datos accedidos, cualquiera que sea su lugar de presentación y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la HFN.
h) Coordinar y preparar la información que pueda ser requerida por la Agencia de Protección de Datos.
El procedimiento concreto de auditoría, que defina las características básicas sobre el proceso, se pondrá en conocimiento de la TGSS por parte del Auditor Delegado de la HFN antes del inicio de la auditoría mensual que proceda.
1. La HFN, de acuerdo con lo recogido en la Cláusula Undécima, cuarto punto, del Convenio designará a sus usuarios-administradores mediante designación expresa, comunicada formalmente por la persona titular de la misma a la TGSS, respecto a las transacciones afectadas, respetando en todo caso la imposibilidad de que coincidan en la misma persona los cargos de Administrador SILCON y Auditor.
2. La TGSS, de acuerdo con lo recogido en la Cláusula Undécima, cuarto punto, del Convenio designará a su/s usuarios-administrador/es, mediante designación expresa comunicada formalmente por la persona titular del organismo a la HFN, respetando en todo caso la imposibilidad de que coincidan en la misma persona los cargos de administrador y auditor.
Nombre y apellidos:
D.N.I:
Unidad de adscripción:
Por el presente documento,
COMUNICA
Que, de conformidad con lo dispuesto en la normativa vigente en materia de protección de datos personales y seguridad en el tratamiento de la información y en la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso, dará lugar a la exigencia de responsabilidades administrativas, así como a responsabilidades de cualquier otra naturaleza, incluso penales.
………………………………………., a ………… de …………………………… de 2……
Nota: la firma podrá ser sustituida por una declaración de haber leído y aceptado el documento a través de un formulario web cuyo acceso requiera autenticación.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
