Acerca de operadores lógicos
Anexo 7 bis desarrolla parcialmente el RD. 939/2005 -Reglamento General de Recaudacion-
ANEXO VII BIS. Condiciones de seguridad del sistema NRC
La seguridad del nuevo sistema de gestión del NRC online se basa en el contexto de confianza que se establece entre la Agencia Estatal de Administración Tributaria (en adelante Agencia Tributaria) y las entidades colaboradoras que solicitarán y consolidarán NRCs.
Este contexto de confianza se construye sobre la base del uso de sistemas de clave asimétrica y los certificados electrónicos que deben intercambiar entre todas las partes y autorizar convenientemente en sus infraestructuras tecnológicas, para garantizar que solo las entidades que forman parte del sistema NRC pueden hacer uso de los servicios web que ofrecerá la Agencia Tributaria para generar, consolidar, validar y anular un NRC.
Las condiciones de seguridad del sistema NRC regulan los criterios para establecer un procedimiento de gestión del ciclo de vida de los certificados electrónicos y las garantías de autenticidad, integridad y no repudio.
1. Certificados electrónicos y la gestión del ciclo de vida.
La Agencia Tributaria y las entidades colaboradoras serán responsables de gestionar y custodiar adecuadamente los certificados electrónicos que se autorizarán para solicitar y consolidar NRC. Los criterios para la gestión de estos certificados electrónicos son:
- Los certificados electrónicos admitidos en este servicio deberán ajustarse a los criterios recogidos en el artículo 9.2.a y 9.2.b de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
- Las entidades colaboradoras deberán solicitar a la Agencia Tributaria la autorización de sus certificados electrónicos en los servicios asociados al sistema de gestión de NRC.
- Para garantizar la continuidad del servicio en los procesos de renovación de los certificados electrónicos se podrán mantener varios certificados electrónicos autorizados a los mismos servicios.
- La entidad colaboradora es responsable de la custodia y de garantizar el uso correcto de los certificados electrónicos de los que solicite autorización para invocar los servicios del sistema NRC online. Para ello, las claves deben de estar bajo el control exclusivo de las entidades colaboradoras, que velarán por un uso correcto de las mismas y garantizarán su seguridad, para evitar su pérdida, revelación, alteración o uso no autorizado.
- Ante cualquier sospecha de utilización indebida de los certificados electrónicos se deberá proceder a su revocación y comunicar el incidente a la Agencia Tributaria, para que se tomen las medidas que se consideren oportunas. En esta comunicación se deberá facilitar toda la información necesaria para poder evaluar el alcance y el impacto del incidente. Para esta comunicación se utilizarán los canales que se establezcan oportunamente para gestionar las incidencias relativas al sistema de gestión de NRC.
2. Procedimiento para la gestión de la autorización de los certificados electrónicos.
La gestión de la autorización de los certificados electrónicos se realizará según el siguiente procedimiento:
- La gestión de la petición de la autorización de certificados electrónicos se realizará a través del registro electrónico donde se deberá adjuntar la clave pública del certificado electrónico.
- Para utilizar el registro electrónico, se habilitará un procedimiento administrativo para que las entidades colaboradoras puedan gestionar estas peticiones.
- La presentación de peticiones de autorización de certificados electrónicos, se podrá realizar por una persona autorizada por la entidad colaboradora, para lo que se podrá utilizar:
* Un certificado electrónico cualificado de representante de persona jurídica.
* Un certificado electrónico cualificado de persona física, en el caso de que la entidad colaboradora apodere a un empleado para realizar peticiones de autorización de certificados electrónicos.
- Una vez presentada la petición la Agencia Tributaria comprobará que cumple las condiciones para usar el servicio y se procederá a autorizar la clave pública de la entidad colaboradora que quedará asociada en los sistemas de la Agencia Tributaria a su Número de Identificación Fiscal.
- La comunicación de los cambios de certificado por renovación o revocación se realizarán utilizando el mismo procedimiento.
Por su parte, la Agencia Tributaria comunicará a las entidades colaboradoras los certificados electrónicos que utilizará en cada momento para ofrecer el servicio de NRC online, de forma que las entidades colaboradoras podrán autorizarlos en sus sistemas.
3. Garantías de seguridad del sistema.
- La entidad colaboradora es responsable de la veracidad y exactitud de la información presentada en el procedimiento de petición de autorización de certificados electrónicos para el sistema de gestión de NRC.
- La entidad colaboradora es responsable de la veracidad y exactitud de las operaciones sobre los NRC que realice mientras no haya comunicado cualquier cambio o incidencia que suponga la baja del sistema de gestión de NRC o la revocación de los certificados electrónicos autorizados a su NIF.
- Tanto la entidad colaboradora como la Agencia Tributaria quedarán identificados en el sistema NRC por los certificados electrónicos autorizados y activos en cada momento.
- Todas las comunicaciones asociadas al uso del sistema de gestión de NRC online se realizarán utilizando canales seguros basados en protocolos estándar de Internet, garantizando las condiciones suficientes de seguridad, según el estado de la tecnología.
- El sistema de gestión de NRC se ofrece en la Sede electrónica de la Agencia Tributaria con un nivel de disponibilidad 24x7 en las mismas condiciones que el resto de servicios que se ofrecen a los contribuyentes.
- Las garantías de integridad, no repudio y trazabilidad se basarán en los siguientes criterios:
* Todas las peticiones y respuestas asociadas al sistema de gestión de NRC quedarán registradas automáticamente en los sistemas de la Agencia Tributaria, garantizando la integridad y conservación de las mismas, así como de los metadatos asociados mediante medidas técnicas que aseguren su inalterabilidad.
* Todas las respuestas de la Agencia Tributaria incluirán un Código Único de Seguridad, que identificará unívocamente a cada petición y respuesta realizada por una entidad colaboradora realizada al sistema de gestión de NRC. Esté Código Único de Seguridad se almacenará de forma inalterable junto con el resto de metadatos que permitirán garantizar la integridad y no repudio de las peticiones y respuestas realizadas.
* Los metadatos mínimos que se registrarán de forma inalterable por cada petición y respuesta son el NIF de la entidad colaboradora, el certificado electrónico utilizado en cada petición, el resumen (HASH) de la petición/respuesta y el Código Único de Seguridad.
* El Código Único de Seguridad se utilizará para gestionar la trazabilidad de las peticiones y respuestas realizadas al sistema de gestión de NRC.
4. Gestión de incidencias que afecten a las condiciones de seguridad del sistema NRC online.
Las entidades colaboradoras y la Agencia Tributaria deberán comunicar cualquier incidencia que pueda afectar a las condiciones de seguridad del sistema de gestión de NRC. Para ello, se establecerán los canales de comunicación oportunos.
Esta comunicación deberá realizarse en el menor tiempo posible desde el momento que se conozca la incidencia para poder garantizar que se toman las medidas oportunas para limitar el impacto en el servicio y en las condiciones de seguridad del mismo.
5. Tratamiento de datos personales.
Los datos personales aportados por el obligado tributario en el cumplimiento de sus derechos y obligaciones tributarias serán tratados por la Agencia Estatal de Administración Tributaria con la finalidad de la aplicación del sistema tributario y aduanero. Este tratamiento se ajustará al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. En la Sede electrónica de la Agencia Tributaria se facilitará la información que exige el artículo 13 del Reglamento relativa a los posibles tratamientos y el ejercicio de los derechos sobre los mismos.
- Modificación realizada (Anexo XVII bis (se añade)) por Orden HFP/915/2021, de 1 de septiembre, por la que se modifican la Orden EHA/2027/2007, de 28 de junio, por la que se desarrolla parcialmente el Real Decreto 939/2005, de 29 de julio, por el que se aprueba el Reglamento General de Recaudación, en relación con las entidades de crédito que prestan el servicio de colaboración en la gestión recaudatoria de la Agencia Estatal de Administración Tributaria; la Orden EHA/1658/2009, de 12 de junio, por la que se establecen el procedimiento y las condiciones para la domiciliación del pago de determinadas deudas a través de cuentas abiertas en las entidades de crédito que prestan el servicio de colaboración en la gestión recaudatoria de la Agencia Estatal de Administración Tributaria; la Orden EHA/3316/2010, de 17 de diciembre, por la que se aprueban los modelos de autoliquidación 210, 211 y 213 del Impuesto sobre la Renta de No Residentes, que deben utilizarse para declarar las rentas obtenidas sin mediación de establecimiento permanente, la retención practicada en la adquisición de bienes inmuebles a no residentes sin establecimiento permanente y el gravamen especial sobre bienes inmuebles de entidades no residentes, y se establecen las condiciones generales y el procedimiento para su presentación y otras normas referentes a la tributación de no residentes; y la Orden de 4 de junio de 1998, por la que se regulan determinados aspectos de la gestión recaudatoria de las tasas que constituyen derechos de la Hacienda Pública.
(BOE de 03-09-2021) en vigor desde 04-09-2021 - Texto Original. Publicado el 09-07-2007 en vigor desde 04-09-2021