Protección de Datos expedienta a la Agencia Tributaria y abre expediente a Tecnocom por el agujero informático

AGENCIA TRIBUTARIA

Facua Sevilla ha informado de que la Agencia Española de Protección de Datos (AEPD) ha iniciado un procedimiento de declaración de infracción de administraciones públicas a la Agencia Tributaria de Sevilla por “no proteger los datos de los ciudadanos”, como consecuencia de la denuncia presentada por esta organización y otra de Ciudadanos en el mismo sentido, a la par que abre expediente sancionador a la empresa que gestiona su web, Tecnocom, después de las incidencias registradas en la oficina virtual en el verano de 2015, cuando quedaron al descubierto datos de usuarios “con tan sólo introducir el DNI”.

A través de un comunicado, Facua indica que, tras la investigación llevada a cabo sobre el caso, Protección de Datos considera que la entidad municipal ha cometido “dos infracciones, una leve y otra grave”. Sin embargo, señala que el expediente no derivará en una sanción por tratarse de un organismo público y estar, por tanto, acogido al régimen disciplinario de las Administraciones públicas, “que impide que una institución multe a otra”.

También hace referencia a otra resolución sobre el mismo caso, donde señala que la AEPD ha comunicado que inicia expediente sancionador a Tecnocom por una “infracción grave de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”, lo que podría suponer una multa para la empresa de entre 40.001 y 300.000 euros, tal como detalla Facua.

En este marco, la organización de defensa de los consumidores recuerda que en septiembre denunció que, “con tan sólo introducir el DNI de cualquier ciudadano en el enlace a la Oficina Virtual de la Agencia Tributaria de la ciudad”, se podían consultar, “sin ningún otro tipo de comprobación de seguridad (como un certificado digital), datos personales” como domicilio, número de cuenta bancaria, multas pendientes, si el usuario tiene deuda o embargos, matrícula del coche y si paga o no los impuestos municipales.

“Esta brecha en la seguridad de la web se mantuvo durante, al menos, varios meses, dado que el equipo municipal indicó que no habían modificado ni el contrato ni las condiciones de servicio de la web desde que había accedido al Gobierno local (al menos tres meses antes)”, agerga.

Así, tras la investigación de la AEPD, el organismo considera acreditado que el contrato que mantienen la Agencia Tributaria de Sevilla y Tecnocom para la realización de trabajos de mantenimiento del Sistema Integrado de Gestión Tributaria y de Recaudación del Ayuntamiento de Sevilla “no se ajusta a las previsiones de seguridad de los ficheros establecidas en la Ley Orgánica de Protección de Datos (artículo 12.2)”. “Esto es que dicho contrato no contempla las medidas de seguridad que llevarán a cabo tanto la Agencia como Tecnocom para proteger el fichero de datos que manejan”, incide.

Según agrega Facua, esto derivaría en dos infracciones, como son una leve, “tipificada en el artículo 44.2.d. y que señala la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley”; además de otra grave, recogida en el artículo 44.3.h, como sería “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

De este modo, además del procedimiento de infracción a la Agencia Tributaria de Sevilla, asegura que la denuncia de Facua también ha motivado la apertura de un expediente sancionador a Tecnocom, la empresa que gestiona la web del organismo.

“La Agencia de Protección de Datos considera que la empresa no tomó las medidas de seguridad necesarias para garantizar la privacidad de los datos personales que manejaban a través de la web de la Agencia Tributaria de Sevilla”, agrega.

En este sentido, explica que la resolución de la AEPD apunta a que el artículo 9.1. de la Ley Orgánica de Protección de Datos refleja que “el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal”.

Por ello, la vulneración de este artículo supone “una infracción grave, según se indica en el artículo 44.3.h de la citada norma”, que considera como tal “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Esto podría suponer una sanción de entre 40.001 y 300.000 euros, según indica la propia Agencia en su resolución.

DIPUTACIÓN DE SEVILLA

Anuncios