LEXNAVARRA
DECRETO FORAL 317/1996, DE 9 DE SEPTIEMBRE, POR EL QUE SE REGULA EL ACCESO A LOS FICHEROS AUTOMATIZADOS DE LA DIRECCIÓN GENERAL DE HACIENDA Y LA UTILIZACIÓN DE LA INFORMACIÓN CONTENIDA EN LOS MISMOS
BON N.º 117 - 25/09/1996
- Preámbulo
- Artículo 1. Ámbito de aplicación.
- Artículo 2. Comisión de Seguridad Informática Fiscal.
- Artículo 3. Responsable y Administración de Seguridad.
- Artículo 4. Control de Seguridad Informática.
- Artículo 5. Personal facultado para acceder a los ficheros.
- Artículo 6. Condiciones de acceso a los ficheros.
- Artículo 7. Gestión de usuarios.
- Artículo 8. Control de accesos a los ficheros.
- Artículo 9. Comunicación de anomalías.
- Artículo 10. Confidencialidad de la información tributaria.
- Artículo 11. Responsabilidades.
- Disposición Adicional Única
- Disposición Transitoria Única
- Disposición Final Única
La Constitución Española, en su artículo 18.4 , establece que “la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. En desarrollo de dicho precepto, la Ley Orgánica 5/1992, de 29 de octubre, regula el tratamiento automatizado de los datos de carácter personal . La referida Ley Orgánica se nuclea en torno a lo que denomina ficheros de datos, establece los mecanismos cautelares que prevengan las violaciones a la privacidad que pudiera resultar del tratamiento de la información, consagra el principio de que los datos sólo pueden ser usados cuando lo justifique la finalidad para la que han sido recabados y atribuye a la Administración la potestad sancionadora por las infracciones a las normas contenidas en la misma.
Por su parte, la aprobación de la Ley 25/1995, de 20 de julio, de modificación de la Ley General Tributaria consagra el carácter reservado de toda la información que los contribuyentes hayan facilitado a la Administración Tributaria, salvo lo referente a la investigación o persecución de los delitos publicos y los deberes de colaboración entre Administraciones Públicas.
Mediante Decreto Foral 143/1994, de 26 de julio, se regulan los ficheros informatizados con datos de carácter personal, dependientes de los órganos de la Administración de la Comunidad Foral de Navarra y de sus Organismos Autónomos , en cumplimiento de la citada Ley Orgánica 5/1992, de 29 de octubre , siendo preciso en este momento complementar dicha actuación con la regulación del acceso a los datos e informaciones de carácter fiscal y tributario.
La existencia de este marco normativo, junto con, de un lado, la potenciación del uso de los medios informáticos en la Administración Tributaria de la Comunidad Foral con objeto de mejorar la eficacia y eficiencia de la gestión de los tributos cuya exacción tiene encomendada y, de otro, la preocupación permanente de esta Administración por una correcta utilización de la información con trascendencia tributaria que garantice en todo caso el secreto de la misma y el respeto absoluto a la intimidad de los ciudadanos, exige establecer una normativa que regule los accesos a los ficheros y bases de datos que contengan esa información, el modo de utilización de la información en ellas contenida y otros aspectos que garanticen la seguridad de la misma, que, necesariamente, deben ser compatibles con su uso adecuado para los fines encomendados a la Administración Tributaria.
Finalmente, resulta preciso armonizar la atribución de funciones en materia fiscal y en materia de gestión y protección de la información dentro de la Administración de la Comunidad Foral, lo que obliga a establecer los pertinentes mecanismos de coordinación entre los órganos administrativos que ostentan la responsabilidad de autorizar el acceso a los datos e informaciones y los que tienen atribuida la administración de la seguridad y gestión de el sistema informático, en orden a la consecución de óptimos resultados.
En consecuencia, a propuesta de los Consejeros de Presidencia y de Economía y Hacienda, y de conformidad con el Acuerdo adoptado por el Gobierno de Navarra en sesión celebrada el día nueve de septiembre de mil novecientos noventa y seis, decreto:
Artículo 1. Ámbito de aplicación.
1. Las presentes disposiciones resultarán de aplicación general a toda la información contenida en los ficheros automatizados, organizados en forma de base de datos o bajo cualquier otra modalidad, cuyo responsable sea la Dirección General de Hacienda, siempre que contengan cualquier información concerniente a personas físicas identificadas o identificables, así como los datos relativos a personas jurídicas o a entidades que, careciendo de personalidad jurídica, constituyan una unidad económica o un patrimonio separado susceptible de ser considerado sujeto pasivo de cualquier tributo.
2. El personal adscrito a la Dirección General de Hacienda, sea funcionario o contratado laboral, así como al resto de personal de la Administración de la Comunidad Foral de Navarra que tenga acceso a los ficheros automatizados responsabilidad de la Dirección General de Hacienda se encontrará sometido al cumplimiento de las disposiciones contenidas en el presente Decreto Foral.
Los accesos a los ficheros automatizados de la Dirección General de Hacienda por personal ajeno a la Administración de la Comunidad Foral de Navarra se regirán por los principios contenidos en estas disposiciones y se instrumentarán por la referida Dirección General en base a las directrices que se establezcan por la Comisión de Seguridad Informática Fiscal a que se refiere el artículo 2, de forma que se asegure el mismo nivel de control sobre los accesos de dichos usuarios que sobre los de la Administración de la Comunidad Foral, no concediéndose autorización de acceso si la Administración, Institución o Ente al que se halle adscrito el usuario no dispone de disposiciones similares a las presentes.
Artículo 2. Comisión de Seguridad Informática Fiscal.
1. A fin de conseguir la adecuada coordinación en materia de seguridad en los accesos a los ficheros automatizados se crea una Comisión de Seguridad Informática Fiscal, integrada por cuatro representantes designados dos de ellos por el Director General de Hacienda y otros dos por el Director General de Función Pública y Organización.
2. Esta Comisión fijará y mantendrá actualizados de forma permanente los criterios y directrices generales sobre seguridad informática fiscal, estableciendo anualmente un plan de actuaciones en la materia.
Artículo 3. Responsable y Administración de Seguridad.
1. El Director de el Servicio de Gestión de Hacienda del Departamento de Economía y Hacienda tendrá la consideración de Responsable en la concesión de autorizaciones de acceso a los ficheros automatizados contemplados en el presente Decreto Foral, siendo el competente para establecer las normas, controles, niveles de acceso y usuarios que estime necesario.
El Director del Servicio de Gestión de Hacienda será el responsable de la aplicación de las disposiciones contenidas en el presente Decreto Foral y de las demás que lo desarrollen, así como de los planes de actuación que se establezcan en la materia.
2. El Servicio de Producción y Desarrollo Informático del Departamento de Presidencia tendrá la consideración de Administrador de Seguridad, siendo el responsable de la puesta en servicio de los medios informáticos y técnicos necesarios y de velar por la seguridad y confidencialidad de la información.
Asimismo, tendrá encomendada la gestión y control de los accesos, mediante la implantación de un registro automático, informando de las anomalías y violaciones que pudieran producirse.
Artículo 4. Control de Seguridad Informática.
1. La responsabilidad del cumplimiento de este Decreto Foral y de las demás que se dicten en su desarrollo en materia de seguridad, corresponderá a los inmediatos superiores jerárquicos de los usuarios en sus diferentes niveles, quienes autorizarán el acceso del personal a su cargo.
2. La autorización de los accesos del personal de otras Administraciones, Instituciones o Entes se realizará por sus órganos directivos bajo la supervisión del Servicio de Gestión de Hacienda.
Artículo 5. Personal facultado para acceder a los ficheros.
1. En las condiciones establecidas con carácter general en este Decreto Foral, cada uno de los Servicios adscritos a la Dirección General de Hacienda, en colaboración con el Servicio de Gestión de Hacienda, determinará, en función de las tareas desarrolladas y la organización del trabajo, la relación de solicitudes de autorización necesarias para el personal de ellos dependiente, y el alcance y contenido de las mismas.
2. Respecto del restante personal de la Administración de la Comunidad Foral de Navarra y de otras Administraciones, Instituciones o Entes, el Director General de Hacienda determinará, en atención a las funciones encomendadas y al cumplimiento del deber de colaboración entre Administraciones, el alcance de las autorizaciones a conceder.
Artículo 6. Condiciones de acceso a los ficheros.
1. Para acceder a cualquier aplicación informática que implique el acceso a un fichero automatizado será necesaria una clave de acceso, compuesta por un “código de usuario” y una “palabra de control” asociada.
2. Para cada usuario se registrará el “código de usuario”, las aplicaciones a las que pueda acceder y el directivo que haya promovido la autorización.
No existirán códigos de usuarios no personalizados que permitan el acceso a los ficheros a que se refiere el artículo 1.1 .
Para el personal no adscrito a la Dirección General de Hacienda el “código de usuario” tendrá una vigencia máxima de doce meses, debiendo ser expresamente renovado una vez transcurrido dicho periodo y, en cualquier caso, al iniciarse el año natural, a instancia del órgano en que preste servicio el usuario.
3. La “palabra de control” se generará automáticamente por el sistema informático al dar de alta el código de usuario, obligando a éste a su renovación al producirse el primer acceso. Esta palabra caducará automáticamente cada mes, debiendo el usuario generar otra distinta. El usuario podrá generar una nueva palabra de control en cualquier momento.
El sistema informático registrará la palabra de control de forma criptografiada de tal manera que no sea posible su lectura.
4. El sistema informático que facilita el código de usuario proporcionará información de las diferentes autorizaciones de cada una de las aplicaciones a que tiene acceso cada usuario, así como el uso de las mismas.
5. Un código de usuario será dado automáticamente de baja por el transcurso de 90 días consecutivos sin hacer uso del mismo.
Artículo 7. Gestión de usuarios.
1. Las altas, bajas y modificaciones de códigos de usuario se autorizarán por el Director del Servicio de Gestión de Hacienda.
2. El cese de un usuario en el puesto de trabajo, cualquiera que sea su causa, determinará su cese automático como tal usuario, a cuyo efecto tan pronto como se produzca el cese en su puesto, el Jefe de la Unidad a la que se encuentre adscrito lo comunicará al Director del Servicio de Gestión de Hacienda para que éste proceda a dar la baja como usuario.
Artículo 8. Control de accesos a los ficheros.
1. Todas las aplicaciones informáticas o utilidades que supongan accesos a los ficheros preverán el registro automático de éstos y de las circunstancias en que se realizaron en un fichero que se destinará al control de accesos.
2. El control de accesos se efectuará, con carácter general, mensualmente, pudiendo establecerse periodos diferentes para controles específicos o grupos de usuarios concretos.
3. El control de accesos alcanzará a todo el personal y se efectuará por el inmediato superior jerárquico del usuario. A tal fin, el Administrador de Seguridad facilitará la información o el acceso a las aplicaciones informáticas para la gestión y control de usuarios.
En el caso de accesos efectuados por usuarios no adscritos a la Dirección General de Hacienda, el Director del Servicio de Gestión de Hacienda remitirá la información relativa a los mismos al Jefe de la Unidad u órgano que corresponda, a los efectos de que pueda efectuar el control y verificar la justificación de los accesos.
4. Con objeto de que el usuario pueda recordar la causa del acceso cuando, en su caso, se exija su justificación, siempre que se acceda a la información de un contribuyente desde cualquier aplicación, el sistema exigirá la grabación del “motivo” del acceso, grabación que será obligatoria para el usuario y quedará registrada. A tal efecto se emitirán criterios generales para su cumplimentación.
Sin perjuicio de lo dispuesto en el párrafo anterior, este motivo podrá ser generado automáticamente cuando el acceso a la información vaya unido o sea consustancial con la función u operación concreta que el usuario realice en el sistema informático.
Artículo 9. Comunicación de anomalías.
Los responsables del control de accesos comunicarán de inmediato cualquier anomalía o irregularidad que observen en la utilización por los usuarios de los ficheros automatizados al Director del Servicio correspondiente, que iniciará, en su caso, las actuaciones que procedan para investigar y corregir aquellas, dando traslado al Director del Servicio de Gestión de Hacienda del resultado de las actuaciones y de las medidas adoptadas o a adoptar, tanto técnicas como disciplinarias.
En caso de usuarios que no se encuentren adscritos a la Dirección General de Hacienda los resultados de las actuaciones y las medidas adoptadas en caso de anomalías o irregularidades se comunicarán al Director del Servicio de Gestión de Hacienda.
Artículo 10. Confidencialidad de la información tributaria.
1. Los datos e informaciones contenidos en los archivos, registros y bases de datos responsabilidad de la Dirección General de Hacienda, cualquiera que sea su soporte, derivados de declaraciones, actas, actuaciones de investigación, expedientes, denuncias y, en general, de cualquier clase de documentos, sean éstos personales, económicos o estrictamente fiscales, tanto si afectan a personas físicas o jurídicas, o a las entidades sin personalidad jurídica que constituyan un patrimonio separado o una unidad económica susceptible de ser considerado sujeto pasivo de cualquier tributo, serán de uso exclusivamente reservado para el cumplimiento de los fines que el ordenamiento jurídico atribuye a la Administración Tributaria, sin perjuicio de las cesiones de datos previstas en el artículo 19 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal y en el artículo 113 de la Ley General Tributaria en la redacción dada por la Ley 25/1995, de 20 de julio.
2. Las autoridades, funcionarios públicos y demás personal adscrito a la Dirección General de Hacienda, así como de la Administración de la Comunidad Foral de Navarra, de las restantes Administraciones Públicas, Instituciones o Entes, que por razón de su cargo o función, tuviesen conocimiento de los datos o informaciones a que se refiere el número anterior, están obligados a guardar sigilo riguroso y observar estricto secreto respecto de los mismos.
3. Únicamente el personal autorizado podrá tener acceso a la información a que se refieren los artículos anteriores de este Decreto Foral.
4. El personal autorizado sólo deberá acceder a los ficheros automatizados cuando deba conocer determinada información por razones del servicio, debiendo abstenerse de hacerlo por cualquier otra motivación.
En ningún caso deberá facilitarse el “código de usuario” ni la “palabra de control” a otra persona, ni deberá accederse a los ficheros automatizados utilizando códigos o palabras de control ajenas, incluso mediando el indebido consentimiento del usuario titular de las mismas.
Artículo 11. Responsabilidades.
1. El acceso indebido a la información de naturaleza tributaria contenida en los archivos automatizados o la utilización inadecuada de la misma por los funcionarios dependientes de las Administraciones Públicas de Navarra se calificará:
a) Como falta leve, a tenor de lo establecido en el artículo 5, letras e) y f), del Reglamento de Régimen Disciplinario, aprobado por Decreto Foral 117/1985, de 12 de junio , que tipifica como tales “el descuido en la conservación de la documentación de los servicios” y “la negligencia o descuido en el cumplimiento de los deberes que no causen perjuicio a la Administración o a los ciudadanos”.
b) Como falta grave, de acuerdo con lo establecido en el artículo 6, letra j) , del Reglamento de Régimen Disciplinario, que tipifica como tal “el incumplimiento del deber de secreto profesional”.
c) Como falta muy grave, la infracción del deber de sigilo que incumbe a cuantas autoridades y funcionarios tengan conocimiento de los datos, informes o antecedentes obtenidos por la Administración Tributaria en el desempeño de sus funciones, de conformidad con lo previsto en el artículo 7, letra p) , del Reglamento de Régimen Disciplinario, que considera como tal “las conductas realizadas en el ejercicio de la función pública que sean constitutivas de delito doloso”.
2. El personal laboral dependiente de las Administraciones Públicas de Navarra, en cuanto a lo previsto en el número anterior, se regirá por lo dispuesto en el vigente Convenio Colectivo supraempresarial del personal laboral al servicio de la Administración de la Comunidad Foral de Navarra y de los Organismos Autónomos dependientes de la misma.
Lo previsto en el presente Decreto Foral resultará igualmente de aplicación respecto de la información con trascendencia tributaria obrante en ficheros automatizados que no sean responsabilidad de la Dirección General de Hacienda y sobre los que se disponga de acceso en función del principio de colaboración y asistencia en materia tributaria.
La Comisión de Seguridad Informática Fiscal, elaborará de forma inmediata las directrices oportunas para que pueda resultar de aplicación lo previsto en los artículos 6 y 8.4 del presente Decreto Foral, debiendo encontrarse efectivamente en funcionamiento las aplicaciones informáticas que regulen las condiciones de acceso en el plazo de tres meses a contar desde la fecha de entrada en vigor del presente Decreto Foral.
El presente Decreto Foral entrará en vigor el día siguiente al de su publicación en el BOLETÍN OFICIAL de Navarra.
