• Imprimeix

L'Autoritat Catalana de Protecció de Dades constata que l'ATC obté les dades fiscals i en fa ús d'acord amb la legalitat

La Secretaria d’Hisenda rep les conclusions de l’auditoria que va sol•licitar, després de les declaracions de l’exsenador Vidal. L’informe d’auditoria també requereix mesures correctores a l’Agència catalana en tres qüestions de caràcter procedimental.

16/05/2017 16:05
Fotografia de l'ATC

El departament de la Vicepresidència i d’Economia i Hisenda ha rebut de l’Autoritat Catalana de Protecció de Dades (APDCat) les conclusions de l’auditoria que va sol·licitar, a petició pròpia i a través de la Secretaria d’Hisenda, després de les declaracions públiques de l’exsenador Santi Vidal, relacionades amb el fet que l’Agència Tributària de Catalunya (ATC) podria disposar de les dades fiscals dels contribuents catalans i que aquestes s’haurien obtingut de manera il·legal. 

D’acord amb l’auditoria de l’APDCat, “l’ATC no tracta dades identificatives, ni de caràcter tributari, que hagin estat obtingudes de manera irregular o il·legal”. Així mateix, afegeix, que l’Agència catalana utilitza les dades de les quals disposa “exclusivament per a l’exercici de les seves funcions, i no en fa cap tractament per a finalitats incompatibles o funcions que no tingui atribuïdes”, d’acord amb l’art. 4.2 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). 

Metodologia de treball 

Durant els 4 mesos que han durat els treballs d’auditoria, l’APDCat ha realitzat una sèrie de comprovacions en relació amb els sistemes d’informació amb els què opera l’ATC –G@UDI i e-SPRIU– i amb les unitats d’emmagatzematge de la xarxa d’àrea local de l’Agència, que és on habitualment es guarden els fitxers ofimàtics o d’usuari. 

Així mateix, l’Autoritat també ha analitzat les dades externes a les quals l’ATC té accés i que són resultat de convenis signats amb altres administracions com l’Agència Estatal d’Administració Tributària (AEAT), la Direcció General de Trànsit, la Tresoreria General de la Seguretat Social (TGSS) o les quatre diputacions catalanes. 

Aquestes comprovacions han anat acompanyades d’un seguit d’entrevistes a professionals (tecnològics, gestors, responsables d’àrees i usuaris) de diferents nivells i ubicacions dins de l’organigrama de l’ATC, “entre les quals no s’han detectat incoherències o contradiccions en la informació proporcionada”.

 

Mesures correctores de l’auditoria 

En el seu informe, l’APDCat també considera que hi ha “algunes circumstàncies” relacionades amb el tractament de dades personals que realitza l’ATC “que no s’adeqüen al que preveu la normativa de protecció de dades”, i requereix a l’Agència que prengui algunes mesures correctores en tres qüestions de caràcter procedimental: 

  1. La tramesa per part de l’ATC a l’AEAT de dades de famílies nombroses o de persones amb discapacitats a càrrec, a efectes de poder realitzar les corresponents deduccions a l’IRPF. 

L’ATC recull, a petició de l’Agència estatal, aquestes dades de les quals disposa el Departament de Treball, Afers Socials i Famílies. L’APDCat considera que caldria regular específicament quin és el paper de l’ATC pel que fa al tractament de dades que realitza a petició de l’AEAT, més enllà de les condicions generals establertes per a l’intercanvi d’informació entre ambdues administracions. 

En les properes setmanes, l’ATC signarà amb el Departament de Treball, Afers socials i Famílies un acord d’encàrrec de tractament que especificarà quina és la funció de l’ATC en el tractament d’aquestes dades. 

  1. La conservació i disponibilitat de les dades fiscals relacionades amb l’IRPF dels exercicis 2013 i 2014 i proporcionades voluntàriament pels ciutadans durant la campanya “Declara’t a Catalunya”. 

Tal com recorda l’auditoria, en aquesta iniciativa no promoguda per l’ATC, els contribuents podien presentar de manera voluntària, telemàticament o presencialment, la seva declaració de la renda a les oficines de l’Agència catalana. Aquestes dades es troben guardades i perfectament custodiades per empreses externes. En aquest sentit, tot i que l’APDCat  afirma que “tal i com es conserva el conjunt de dades fiscals lliurades voluntàriament per part dels ciutadans, aquestes no són accessibles per a la gestió tributària ordinària de l’ATC”, també recomana “la supressió de la informació que no sigui necessària per a l’exercici de les funcions de l’ATC”. 

Les dades en suport informàtic ja han estat destruïdes. Pel que fa a la informació en paper, el director de l’ATC, Eduard Vilà, ja ha donat les instruccions necessàries per a la seva cancel·lació i supressió. 

  1. La gestió de les contrasenyes d’accés al sistema G@UDI. 

En aquest sentit, l’APDCat remarca que “si bé els mecanismes de control d’accés implantats per l’ATC protegeixen adequadament les dades de caràcter personal responsabilitat de l’ATC”, l’Agència hauria “d’aplicar les mesures tècniques i/o organitzatives adequades” en relació amb les contrasenyes dels usuaris. 

L’ATC ja està treballant per incorporar el G@UDI al sistema corporatiu de gestió d’identitats GICAR. La previsió és que estigui implementat abans de final d’any.