Articulo 8 y Convenio AEAT-FEMP en materia de intercambio de información tributaria y colaboración en la gestión recaudatoria con las EE.LL.

1. El control y seguridad de los datos suministrados se regirá por lo dispuesto en la normativa vigente en cada momento en materia de protección de datos y seguridad de la información y, en particular, en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y en la Política de Seguridad de la Información de la Agencia Tributaria y de la Entidad Local que se adhiera al presente convenio.

2. La Administración cesionaria será responsable respecto de la utilización que sus usuarios realicen de la información recibida, en especial de la proporcionalidad, adecuación y pertinencia de los datos a los que se acceda.

3. La Administración cesionaria deberá garantizar que todos los usuarios autorizados para realizar consultas reciben acciones formativas y de concienciación en relación con los requisitos para poder hacer uso de estas consultas, y de buenas prácticas de seguridad para que estas consultas se realicen en unas condiciones adecuadas, evitando posibles incidencias de seguridad.

4. Se establecen los siguientes controles sobre los accesos, la custodia y la utilización de la información suministrada al amparo de este convenio:

a) Control interno por parte del ente cesionario de la información.

Ambas partes realizarán controles sobre la custodia y utilización que de los datos recibidos realicen las autoridades, funcionarios o resto de personal dependientes de ella, informando a la Comisión Mixta de Coordinación y Seguimiento prevista en la cláusula decimocuarta del presente convenio de los resultados obtenidos en dicho seguimiento.

Contarán con una política de seguridad de la información, un análisis y gestión de riesgos y una asignación explícita de responsabilidades en materia de seguridad adecuadas para su misión, objetivos y tamaño y deberá aplicar dichos mecanismos de seguridad a la información suministrada.

Impedirán el acceso a la información suministrada por parte de personal no autorizado, estableciendo la trazabilidad de los accesos a la información suministrada y desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.

Adoptarán medidas específicas que eviten el riesgo de que la información pueda ser utilizada, incluso inadvertidamente, para otros propósitos o por personal en el que concurra algún conflicto de intereses. Así como medidas que aseguren el cumplimiento de las condiciones que sustentan cada una de las cesiones.

b) Control por el ente titular de la información cedida.

La Agencia Tributaria aplicará los controles ordinarios derivados de su sistema de gestión de la seguridad de la información. Este control se podrá extender a las actuaciones realizadas en el ámbito del convenio por los encargados de tratamiento, si los hubiere. En particular, las cesiones de información realizadas quedarán registradas en el sistema de control de accesos de la Agencia Tributaria. El Servicio de Auditoría Interna de la Agencia Tributaria podrá acordar otras actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.

Recíprocamente, podrán llevarse a cabo por parte de las Entidades Locales que dispongan de servicios de control interno, actuaciones de la misma naturaleza en relación con la información cedida a la Agencia Tributaria, previa comunicación a la misma en el seno de la Comisión Mixta de Coordinación y Seguimiento.

Cuando se planteen dudas sobre la custodia o la utilización de la información intercambiada, la Administración titular de la información podrá dirigirse a la cesionaria para que realice las comprobaciones y adopte las medidas que estime pertinentes.

La Agencia Tributaria podrá interrumpir temporalmente los suministros de información ante la ocurrencia de una brecha o incidente de seguridad, poniéndolo en conocimiento inmediato de los responsables de seguridad de las Entidades Locales.

5. Las partes se comprometen a colaborar en la investigación y resolución de las incidencias de seguridad que puedan surgir.

6. En cada Entidad Local se designará a una persona encargada del control y la seguridad de los datos suministrados a efectos de la verificación del uso adecuado del total de los suministros de información efectuados. Cuando sea necesario se designarán dos personas, una para la verificación de los suministros para finalidades tributarias y otra para la de los de finalidades no tributarias.