Protección de Datos considera que el organismo ha cometido una infracción grave y otra leve por permitir que quedasen al descubierto datos privados en su web con tan sólo introducir un número de DNI.
La Agencia Española de Protección de Datos (AEPD) ha resuelto que la Agencia Tributaria de Sevilla ha cometido una infracción grave y otra leve por no proteger debidamente los datos especialmente protegidos de los ciudadanos. El organismo ha tomado esta decisión tras analizar una denuncia de FACUA Sevilla y otra en el mismo sentido del grupo municipal de Ciudadanos contra la Agencia Tributaria.
Sin embargo, el expediente no derivará en una sanción por tratarse de un organismo público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, que impide que una institución multe a otra.
En otra resolución sobre el mismo caso, la AEPD ha archivado la denuncia contra la empresa que gestiona el servicio web de la Agencia Tributaria de Sevilla, Tecnocom, al considerar que es la Gerencia de la Agencia Tributaria de Sevilla quien tiene la responsabilidad de asegurar la seguridad de la información del Ayuntamiento de Sevilla.
Datos personales al descubierto
FACUA Sevilla denunció en septiembre de 2015 que con tan sólo introducir el DNI de cualquier ciudadano en el enlace a la Oficina Virtual de la Agencia Tributaria de la ciudad se podían consultar, sin ningún otro tipo de comprobación de seguridad (como un certificado digital), datos personales como domicilio, número de cuenta bancaria, multas pendientes, si el usuario tiene deuda o embargos, matrícula del coche y si paga o no los impuestos municipales. Esta brecha en la seguridad de la web se mantuvo durante, al menos, varios meses, dado que el equipo municipal indicó que no habían modificado ni el contrato ni las condiciones de servicio de la web desde que había accedido al Gobierno local (al menos tres meses antes).
Tras la investigación llevada a cabo por la AEPD, el organismo considera acreditado que el contrato que mantienen la Agencia Tributaria de Sevilla y Tecnocom para la realización de trabajos de mantenimiento del Sistema Integrado de Gestión Tributaria y de Recaudación del Ayuntamiento de Sevilla no se ajusta a las previsiones de seguridad de los ficheros establecidas en la Ley Orgánica de Protección de Datos (artículo 12.2). Esto es, dicho contrato no contempla las medidas de seguridad que llevarán a cabo tanto la Agencia como Tecnocom para proteger el fichero de datos que manejan.
Además, Protección de Datos considera también que la Agencia Tributaria vulneró el «principio de seguridad de los datos» recogido en el artículo 9 de la citada ley, que dispone que «el responsable del fichero y, en su caso, el encargado de su tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal».
Esto deriva en dos infracciones: una leve, tipificada en el artículo 44.2.d. («son infracciones leves (…) la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley») y otra grave, recogida en el artículo 44.3.h («son infracciones graves (…) mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen»).
En su resolución, la AEPD también indica que la Agencia Tributaria de Sevilla ha adoptado las medidas necesarias para impedir que en el futuro pueda producirse una infracción como esta, a través de un contrato de acceso a datos de carácter personal firmado con la empresa gestora, Tecnocom, así como con medidas específicas para la identificación y autenticación de los ciudadanos que acceden a su sistema de información adecuadas.