La Agencia Tributaria va a reforzar la seguridad de sus ficheros y el acceso a datos de carácter personal, según la nueva política de seguridad de la información aprobada por el organismo y que este jueves publica el Boletín Oficial del Estado (BOE).

El nuevo protocolo de seguridad, que se aplicará en todos los órganos y unidades centrales y territoriales de la Agencia Tributaria, en todos sus sistemas de información y por todo el personal de dichos órganos, contempla como parte de sus principios básicos que la seguridad de la información debe considerarse como operativa habitual del organismo, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

Asimismo, se contempla el análisis y la gestión de riesgos, que será parte esencial del proceso de seguridad. La Agencia Tributaria añade que la gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables y, para ello, se desplegarán las medidas de seguridad que se crean necesarias.

El organismo tributario indica que el establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos, al valor de la información en cuestión y a los servicios afectados. También se destaca que las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.

En virtud de esta nueva política de seguridad, los activos de información de la Agencia Tributaria se encontrarán inventariados y categorizados y estarán asociados a un responsable, al tiempo que se implantarán los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a esta información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos datos.

Control de acceso físico

Con la misma finalidad, los datos serán emplazados en áreas seguras, protegidas por controles de accesos físicos adecuados al nivel de importancia de la información. Además, estos sistemas estarán "suficientemente protegidos" frente a amenazas físicas o ambientales.

También se recoge en la nueva política de seguridad que la información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad, mediante mecanismos que garanticen su seguridad.

En cuanto al control de acceso a la información, la Agencia Tributaria limitará el acceso a los datos por parte de usuarios, procesos y otros sistemas de información mediante la implantación de mecanismos de identificación, autenticación y autorización acordes a la importancia de cada información. Además, quedará registrada la utilización del sistema, con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado.

En cuanto a la protección de datos de carácter personal, la legislación en esta materia establece que el director de la Agencia Tributaria es el máximo responsable del fichero que contiene datos personales, los directores de los departamentos y servicios del organismo asumen las funciones de responsables de los tratamientos que se efectúen en sus ámbitos de actuación y el administrador de seguridad del Departamento de Informática Tributaria es el responsable de seguridad. Así, el documento de seguridad de los datos de carácter personal deberá ser aprobado por la Dirección General de la Agencia Tributaria, conforme a su función de responsable del fichero.

Finalmente, la nueva política establece que el director del Departamento de Informática Tributaria ejercerá las funciones de responsable del sistema de seguridad y la Comisión de Seguridad y Control de Informática Tributaria será el órgano colegiado encargado de analizar y evaluar los riesgos, de establecer y mantener actualizados los criterios y directrices generales sobre seguridad y de acordar y hacer operativas medidas para mejorar y reforzar los sistemas de seguridad y control.