Agencia Estatal Boletín Oficial del Estado
La directora general de la Agencia Estatal de Administración Tributaria, la directora general del Instituto Nacional de la Seguridad Social y la presidenta de la Autoridad Independiente de Responsabilidad Fiscal, A.A.I., han suscrito, con fecha de 17 de diciembre de 2025, una Adenda de modificación y prórroga del Convenio para la cesión de información relativa al Ingreso Mínimo Vital, que fue firmado el 26 de marzo de 2022.
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» de la referida adenda como anejo a la presente resolución.
Madrid, 16 de enero de 2026.–El Subsecretario de la Presidencia, Justicia y Relaciones con las Cortes, Alberto Herrera Rodríguez.
PARTES QUE INTERVIENEN
De una parte, doña Soledad Fernández Doctor, Directora General de la Agencia Estatal de Administración Tributaria, cargo para el que fue nombrada por Real Decreto 436/2022, de 8 de junio, actuando por delegación de firma conferida por el Presidente de la Agencia Estatal de Administración Tributaria mediante Resolución de 27 de noviembre de 2025 y en uso de las atribuciones que le confiere el artículo 103.tres.2 de la Ley 31/1990, de 27 de diciembre, de Presupuestos Generales del Estado para 1991.
De otra, doña María del Carmen Armesto González-Rosón, Directora General del Instituto Nacional de la Seguridad Social, cargo para el que fue nombrada por Real Decreto 131/2020, de 21 de enero, competente para la firma del presente convenio de acuerdo con lo dispuesto en el artículo 5 del Real Decreto 2583/1996, de 13 de diciembre (BOE de 3 de enero de 1997), de conformidad, asimismo, con lo señalado en el artículo 48.2 de la Ley 40/2015, de 1 octubre, de Régimen Jurídico del Sector Público.
Y de otra, doña Cristina Herrero Sánchez, Presidenta de la Autoridad Independiente de Responsabilidad Fiscal, A.A.I., nombrada por Real Decreto 439/2020, de 3 de marzo, y de conformidad con las competencias que le atribuyen el artículo 25 de la Ley Orgánica 6/2013, de 14 de noviembre, de creación de la Autoridad Independiente de Responsabilidad Fiscal y el artículo 25 del Estatuto Orgánico de la Autoridad Independiente de Responsabilidad Fiscal, aprobado por el Real Decreto 215/2014, de 28 de marzo.
Reconociéndose todas las partes la capacidad legal necesaria para formalizar la presente Adenda de modificación y prórroga al Convenio entre la Agencia Estatal de Administración Tributaria, el Instituto Nacional de la Seguridad Social y la Autoridad Independiente de Responsabilidad Fiscal, A.A.I., suscrito el 26 de marzo de 2022 (BOE núm. 102, de 29 de abril de 2022), realizan la siguiente
EXPOSICIÓN DE MOTIVOS
I
La Agencia Estatal de Administración Tributaria (en adelante, Agencia Tributaria) es la Entidad de Derecho Público encargada, en nombre y por cuenta del Estado, de la aplicación efectiva del sistema tributario estatal y del aduanero y de aquellos recursos de otras Administraciones y Entes Públicos nacionales o de la Unión Europea cuya gestión se le encomiende por ley o por convenio.
El Instituto Nacional de la Seguridad Social (en adelante, INSS) es una entidad gestora de la Seguridad Social, con personalidad jurídica propia, adscrita al Ministerio de Inclusión, Seguridad Social y Migraciones a través de la Secretaria de Estado de Seguridad Social y Pensiones, que tiene encomendada la gestión y administración de las prestaciones económicas del sistema de la Seguridad Social, con excepción de aquellas cuya gestión esté atribuida al Instituto de Mayores y Servicios Sociales (IMSERSO) o servicios competentes de las comunidades autónomas, así como el reconocimiento del derecho a la asistencia sanitaria.
Por su parte, la Autoridad Independiente de Responsabilidad Fiscal, A.A.I. (en adelante, AIReF), creada por la Ley Orgánica 6/2013, de 14 de noviembre, es una Autoridad Administrativa Independiente dotada de personalidad jurídica propia y plena capacidad pública y privada, que tiene por objeto garantizar el cumplimiento efectivo por las Administraciones Públicas del principio de estabilidad presupuestaria previsto en el artículo 135 de la Constitución Española, mediante la evaluación continua del ciclo presupuestario, del endeudamiento público, y el análisis de las previsiones económicas.
II
En el marco de la colaboración mutua que debe presidir las relaciones entre las Administraciones Públicas, de conformidad con lo dispuesto en los artículos 3.1.k), 140, 141 y 142 de la Ley de Régimen Jurídico del Sector Público (en adelante, LRJSP), los representantes de las partes establecieron, mediante la firma, en fecha 26 de marzo de 2022, de un Convenio entre la Agencia Estatal de Administración Tributaria, el Instituto Nacional de la Seguridad Social y la Autoridad Independiente de Responsabilidad Fiscal, A.A.I., un marco estable y periódico de cesión de información relativa al Ingreso Mínimo Vital.
Esta cesión de información se encuentra amparada por la Ley 58/2003, de 17 de diciembre, General Tributaria (en adelante, LGT), la Ley 19/2021, reguladora del Ingreso Mínimo Vital, el texto refundido de la Ley General de la Seguridad Social y la normativa de función estadística.
Concretamente el artículo 21.7 de la Ley 19/2021 señala que la verificación de los requisitos de ingreso y patrimonio para el acceso y mantenimiento del ingreso mínimo vital se realizará por la entidad gestora conforme a la información que se recabe por medios telemáticos de la Agencia Tributaria. En su solicitud, cada interesado autorizará expresamente a la administración que tramita su solicitud para que recabe sus datos tributarios de la Agencia Tributaria, conforme al artículo 95.1.k) de la LGT. Todo ello sin perjuicio de la cesión de datos tributarios legalmente prevista con ocasión de la colaboración en el descubrimiento de fraudes en la obtención y disfrute de prestaciones a la Seguridad Social de apartado 1.c) del citado artículo 95 de la LGT.
Por su parte, el artículo 23.1 de ese mismo texto legal establece adicionalmente que «En el suministro de información en relación con los datos de carácter personal que se deba efectuar a la Administración de la Seguridad Social para la gestión de esta prestación, será de aplicación lo previsto en los apartados 1 y 2 del artículo 71 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre. El suministro de información no requerirá el consentimiento previo del interesado, ni de las personas que formen parte de la unidad de convivencia, por ser un tratamiento de datos de los referidos en los artículos 6.1 e) y 9.2 h) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.»
Por otro lado, el artículo 31.3 de la Ley 19/2021 dispone que el resultado del ingreso mínimo vital y de las distintas estrategias y políticas de inclusión será evaluado anualmente por la Autoridad Independiente de Responsabilidad Fiscal. Con este fin, dicho organismo requiere determinada información anonimizada. Si bien la información está integrada en la base de datos del ingreso mínimo vital del Ministerio de Inclusión, Seguridad Social y Migraciones, es precisa la colaboración de la Agencia Tributaria para la realización de dicho encargo, con el objeto de evitar que los datos que en su momento se trasladaron al citado Ministerio de forma anonimizada puedan ver revertida su anonimización.
III
De acuerdo con la LRJSP, la cláusula undécima del convenio dispone su vigencia por un período de cuatro años desde su inscripción en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del sector público estatal, si bien los firmantes pueden acordar, antes del vencimiento del plazo, una prórroga expresa por un período de hasta cuatro años adicionales. Así, mediante la presente adenda, se acuerda prorrogar la vigencia del convenio, la cual, de conformidad con la cláusula undécima, finaliza el 28 de marzo de 2026.
Por otra parte, dado el tiempo transcurrido desde la firma del convenio, se han producido modificaciones normativas y se han adoptado mejoras en materia de protección de los datos suministrados y de tratamiento de los datos de carácter personal que permiten un enunciado de las cláusulas del convenio más adecuado a las normas vigentes, tanto europeas como nacionales, sobre protección de datos de carácter personal y sobre seguridad de la información, por lo que se introducen mediante esta adenda las modificaciones pertinentes.
IV
La tramitación de esta adenda ha cumplido los trámites preceptivos que preceden a su firma y, en particular, el informe previo del Servicio Jurídico de la Agencia Tributaria.
En consecuencia, siendo jurídicamente procedente la ampliación y prórroga del convenio a través de la presente adenda, ambas partes acuerdan las siguientes
CLÁUSULAS
Se modifica la cláusula sexta del convenio, relativa a la protección de los datos cedidos por la Agencia Estatal de Administración Tributaria, que queda redactada de la siguiente forma:
«Sexta. Protección de los datos cedidos por la Agencia Estatal de Administración Tributaria.
La Agencia Estatal de Administración Tributaria no suministrará datos que, a pesar de estar formalmente disociados, por sus especiales características, por el reducido volumen de datos o por cualquier otra circunstancia, pudieran ser atribuidos a una persona determinada teniendo en cuenta la información disponible y la capacidad para realizar tratamientos avanzados de datos por parte del cesionario, independientemente de que estuviera o no en el ánimo del cesionario realizar dicha identificación, y salvo que dicha cesión venga sustentada por la normativa europea. En estos casos, el dato dejaría de ser un dato disociado y pasaría a ser un dato sometido a seudonimización, siendo necesario que el cesionario comunique al cedente tal posibilidad de identificación y proceda a la eliminación y supresión de las copias de que disponga de los datos susceptibles de identificación.»
Se modifica la cláusula séptima del convenio, relativa al tratamiento de los datos personales, que queda redactada de la siguiente forma:
«Séptima. Tratamiento de los datos personales.
En el caso de los datos cedidos por el Instituto Nacional de la Seguridad Social para su anonimización a que se refiere la cláusula quinta, el tratamiento de los mismos deberá respetar lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
A efectos del citado Reglamento, la Agencia Estatal de Administración Tributaria actuará como encargado del tratamiento de anonimización por cuenta de la AIReF, por lo que cumplirá con las obligaciones y garantías previstas en el apartado 3 del artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales de acuerdo a lo establecido en el presente convenio. En particular, una vez efectuada la anonimización, la Agencia Tributaria suprimirá los datos cedidos por el Instituto Nacional de la Seguridad Social.
La Agencia Estatal de Administración Tributaria solo podrá ceder la información resultante de dicha anonimización a la Autoridad Independiente de Responsabilidad Fiscal, A.A.I.
Las partes se comprometen a cumplir el Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022, de 3 de mayo.
Asimismo, se comprometen a colaborar en la investigación y resolución de las incidencias de seguridad. En particular, en el caso de detectarse un riesgo inminente o una incidencia de seguridad que afecten significativamente a los intercambios de información, las partes podrán interrumpir temporalmente los suministros dando aviso a la contraparte y comunicándolo de inmediato a la Comisión Mixta de Coordinación y Seguimiento del convenio.
Asimismo, cuando se planteen dudas sobre la correcta custodia o utilización de la información cedida, incluida la posible reversibilidad de los datos anonimizados, el ente titular de la información se dirigirá a la cesionaria para que realice las comprobaciones y adopte las medidas que se estimen pertinentes. Si las dudas tienen carácter previo al suministro de la información, el mismo podrá suspenderse hasta que queden completamente aclaradas o se adopten las medidas que resulten procedentes.»
Se incorpora en la cláusula octava del convenio, relativa a la obligación de sigilo, un nuevo apartado tercero, quedando redactada dicha cláusula de la siguiente forma:
«Octava. Obligación de sigilo.
1. Cuantas autoridades, funcionarios y resto de personal tengan conocimiento de los datos o información suministrados en virtud de este convenio estarán obligados al más estricto y completo sigilo respecto de ellos. La violación de esta obligación implicará incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes.
2. El expediente para conocer de las posibles responsabilidades de cualquier índole que se pudieran derivar del acceso indebido o de la utilización incorrecta de la información suministrada en ejecución de este convenio deberá ser iniciado y concluido, así como la responsabilidad exigida, en su caso, por la Administración a la que pertenezca la autoridad, funcionario u otro tipo de personal responsable de dicha utilización indebida.
3. El acuerdo de confidencialidad continuará vigente incluso después de la extinción de este convenio, sea cual sea la causa de dicha extinción.»
Se incorpora una nueva cláusula novena en el convenio, relativa al control y seguridad de los datos suministrados, de forma que la anterior cláusula novena relativa a los efectos de los datos suministrados pasa a ser la cláusula décima y se renumeran el resto de cláusulas del convenio.
La nueva cláusula novena queda redactada de la siguiente forma:
«Novena. Control y seguridad de los datos suministrados.
1. El control y seguridad de los datos suministrados se regirá por lo dispuesto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y en la Política de Seguridad de la Información de la Agencia Tributaria y el INSS y la AIReF, respectivamente.
2. Las partes intervinientes serán responsables respecto de la utilización que sus usuarios realicen de la información recibida, en especial de la proporcionalidad, adecuación y pertinencia de los datos a los que se acceda.
3. Las partes intervinientes deberán garantizar que todos los usuarios autorizados para la utilización de los datos reciben acciones formativas y de concienciación en relación con los requisitos para poder hacer uso de estos tratamientos, y de buenas prácticas de seguridad para que estos tratamientos se realicen en unas condiciones adecuadas, evitando posibles incidencias de seguridad.
4. Se establecen los siguientes controles sobre la custodia y la utilización de la información suministrada al amparo de este convenio:
Las partes intervinientes del convenio realizarán controles sobre la custodia y utilización que de los datos recibidos realicen las autoridades, funcionarios o resto de personal dependientes de las mismas, informando a la Comisión Mixta de Coordinación y Seguimiento de los resultados obtenidos en dicho seguimiento.
Contarán con una política de seguridad de la información, un análisis y gestión de riesgos y una asignación explícita de responsabilidades en materia de seguridad adecuadas para su misión, objetivos y tamaño y deberá aplicar dichos mecanismos de seguridad a la información suministrada por el cedente.
Impedirán el acceso a la información suministrada por parte de personal no autorizado, estableciendo la trazabilidad de los accesos a la información suministrada y desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.
Adoptarán medidas específicas que eviten el riesgo de que la información pueda ser utilizada, incluso inadvertidamente, para otros propósitos o por personal en el que concurra algún conflicto de intereses, así como medidas que aseguren el cumplimiento de las condiciones que sustentan cada una de las cesiones.
Si como consecuencia de las labores de control se advirtiese la utilización de la información obtenida con fines distintos de los previstos en el presente convenio se abrirán diligencias informativas en orden a su esclarecimiento y, en su caso, a la exigencia por parte del órgano competente de las responsabilidades disciplinarias o administrativas que procedan según la normativa vigente, con traslado, si procede, a la autoridad judicial correspondiente.
Las partes intervinientes del convenio aplicarán los controles ordinarios derivados de su sistema de gestión de la seguridad de la información.
5. El suministro de información amparado por este convenio no tendrá otros efectos que los derivados del objeto y la finalidad para la que los datos fueron suministrados. En consecuencia, no originarán derechos ni expectativas de derechos en favor de los interesados o afectados por la información suministrada, ni interrumpirá la prescripción de los derechos u obligaciones a que puedan referirse los procedimientos para los que se obtuvo aquella. De igual modo, la información suministrada no afectará a lo que pudiera resultar de las actuaciones de comprobación o investigación o de la ulterior modificación de los datos suministrados.»
En virtud de la cláusula undécima del convenio y conforme al artículo 49 de la LRJSP, las partes firmantes acuerdan prorrogar por un periodo de cuatro años adicionales el Convenio entre la Agencia Estatal de Administración Tributaria, el Instituto Nacional de la Seguridad Social y la Autoridad Independiente de Responsabilidad Fiscal, A.A.I., de fecha 26 de marzo de 2022, para la cesión de información relativa al Ingreso Mínimo Vital, incluyendo las modificaciones incorporadas mediante la presente adenda.
Dicha prórroga comenzará a contar desde la finalización de la vigencia prevista en la cláusula undécima del convenio, el 28 de marzo de 2026, previo cumplimiento de las obligaciones legales exigibles, entre las que se encuentra la inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Asimismo, será publicada en el «Boletín Oficial del Estado».
Las modificaciones del convenio contenidas en la presente adenda serán de aplicación desde la fecha de su inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Asimismo, la adenda se publicará en el «Boletín Oficial del Estado».
En prueba de conformidad, las tres partes lo firman en el lugar indicado en el encabezamiento.–La Directora General de la Agencia Estatal de Administración Tributaria, Soledad Fernández Doctor.–La Directora General del Instituto Nacional de la Seguridad Social, María del Carmen Armesto González-Rosón.–La Presidenta de la Autoridad Independiente de Responsabilidad Fiscal, A.A.I., Cristina Herrero Sánchez.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
