Articulo 5 de Convenio AEAT-FEMP en materia de intercambio de información tributaria y colaboración en la gestión recaudatoria con las EE.LL.

La información cedida por la Agencia Tributaria sólo podrá tener como destinatarios a los órganos de las Entidades Locales que tengan atribuidas las funciones que justifican la cesión, incluidos los órganos de fiscalización, en la medida en que, por su normativa participen en los procedimientos para los que se suministra la referida información. Igualmente podrán ser destinatarios los organismos o entidades de derecho público dependientes de las Entidades Locales que ejerzan funciones o instruyan los procedimientos para los que se suministran los datos. Todos ellos podrán ser destinatarios siempre que así lo hayan solicitado previamente en los términos previstos en la cláusula octava. En ningún caso podrán ser destinatarios órganos, organismos o entes que realicen funciones distintas de las que justifican el suministro.

La cesión se realizará con la estricta afectación de la información remitida por la Agencia Tributaria a los fines que la justifican y para los que se solicitó. En cualquier caso, el destinatario no podrá ceder a terceros la información remitida por la Agencia Tributaria.

Del mismo modo, la información cedida por las Entidades Locales a la Agencia Tributaria sólo podrá tener como destinatarios a los órganos de la misma que tengan atribuidas las funciones que justifican la cesión, sin que en ningún caso puedan ser destinatarios órganos que realicen funciones distintas de las que justifican el suministro.

En el caso de que el cesionario utilice infraestructuras de terceros en los términos previstos en la Resolución de 28 de junio de 2012, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Protocolos de intermediación de datos, para realizar sólo los tratamientos necesarios para la gestión del intercambio de los datos cedidos por la Agencia Tributaria, se responsabiliza de cumplir con las condiciones establecidas por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

En particular, garantiza que:

- Ha elegido a un encargado del tratamiento y formalizado un contrato o un acto jurídico con dicho encargado del tratamiento de conformidad con los requisitos y con el contenido mínimo exigidos en el artículo 28 del Reglamento General de Protección de Datos.

- Ha determinado, en dicho contrato o acto jurídico, las medidas concretas que debe implantar el encargado de tratamiento que garanticen la seguridad de los datos, de conformidad con el artículo 32 del Reglamento General de Protección de datos que, en el caso de las Administraciones Públicas, requiere el cumplimiento del Esquema Nacional de Seguridad.

- Se responsabiliza ante la Agencia Tributaria del uso que se realice de los datos suministrados respecto a las peticiones que se hagan en su nombre.

La mera adhesión al convenio no habilita a la entidad local cesionaria de la información a actuar como plataforma de intermediación por cuenta de terceros.