16.05.2017 - 18:28
Requereix mesures correctores a l’ATC en la conservació de dades i gestió de contrasenyes
BARCELONA, 16 (EUROPA PRESS)
L’Autoritat Catalana de Protecció de Dades (APDCat) ha conclòs que l’Agència Tributària de Catalunya (ATC) “no tracta dades identificatives, ni de caràcter tributari, que hagin estat obtingudes de manera irregular o il·legal”.
Així es desprèn de l’auditoria encarregada a l’APDCat per part de la Conselleria de Vicepresidència i d’Economia i Hisenda de la Generalitat després de les declaracions de l’exsenador Santi Vidal relacionades amb el fet que l’ATC podria disposar de dades fiscals dels contribuents i que aquestes podrien haver-se obtingut de forma il·legal, ha informat la Generalitat en un comunicat.
L’auditoria afegeix que l’ATC disposa d’aquestes dades “exclusivament per a l’exercici de les seves funcions”, i no les utilitza per a finalitats incompatibles o funcions que no tingui atribuïdes, d’acord amb l’article 4.2 de la Llei orgànica 15/1999 del 13 de desembre de protecció de dades de caràcter personal.
No obstant això, l’APDCat precisa que existeixen algunes circumstàncies relacionades amb el tractament de dades personals que realitza l’agència que “no s’adeqüen” a allò que preveu la normativa de protecció de dades, per la qual cosa li demana mesures correctores en alguns camps.
En concret, i quant a l’entrega per part de l’ATC a l’Agència Estatal de l’Administració Tributària (Aeat) de les dades de famílies nombroses o de persones amb discapacitats a càrrec per realitzar les deduccions en l’IRPF, l’Autoritat considera que s’hauria de regular “específicament” el paper de l’ATC en el tractament d’aquestes dades que fa a petició de l’Aeat.
Per això, l’ATC signarà amb la Conselleria de Treball, Assumptes Socials i Famílies un acord per encàrrec de tractament que especificarà clarament la funció de l’agència tributària catalana en el tractament d’aquesta informació.
Quant a la conservació i disponibilitat de les dades fiscals relacionades amb l’IRPF dels exercicis 2013 i 2014 proporcionades pels ciutadans durant la campanya ‘Declara’t a Catalunya’, l’APDCat precisa que si bé aquestes dades no són accessibles per a la gestió tributària ordinària de l’ATC, és recomanable “la supressió de la informació que no sigui necessària per a l’exercici de les funcions de l’ATC”.
L’Agència ha afirmat que les dades en suport informàtic ja han estat destruïdes, i quant a les que estan en paper el director de l’ATC, Eduard Vilà, ja ha donat les instruccions per a la seva cancel·lació i supressió.
Respecte a la gestió de les contrasenyes d’accés al sistema G@udi, l’Autoritat Catalana sosté que si bé els mecanismes de control d’accés implantats per l’ATC protegeixen adequadament les dades de caràcter personal responsabilitat de l’Agència, aquesta hauria d'”aplicar les mesures tècniques i organitzatives adequades” quant a les contrasenyes dels usuaris.
Així, l’ATC ha assegurat estar treballant per incorporar el G@udi al sistema corporatiu de gestió d’identitats Gicar, i es preveu que estigui implementat abans de finalitzar aquest 2017.
4 MESOS DE TREBALLS
Per obtenir aquestes conclusions, l’APDCat ha realitzat durant quatre mesos comprovacions dels sistemes d’informació amb els quals opera l’ATC –G@udi i e-SPRIU– i amb les unitats d’emmagatzematge de la xarxa d’àrea local de l’agència, que és on es guarden els fitxers ofimàtics i d’usuari.
L’organisme també ha analitzat les dades externes a les quals l’ATC té accés i que són fruit de convenis signats amb altres administracions, com l’Aeat, la Direcció general de trànsit, la Tresoreria General de la Seguretat Social i la Diputació de Barcelona, la de Tarragona, la de Lleida i la de Girona.
Així mateix, s’han realitzat entrevistes a diversos professionals, com personal tecnològic, gestors, responsables d’àrees i usuaris, de diferents nivells de l’ATC i “no s’han detectat incoherències o contradiccions en la informació proporcionada”.
