La Agencia Española de Protección de Datos ha iniciado un procedimiento de declaración de infracción de administraciones públicas a la Agencia Tributaria local por "no proteger los datos de los ciudadanos" tras los dos agujeros de seguridad que permitían consultar datos fiscales que deberían estar protegidos. Considera que ha cometido dos infracciones, una leve y otra grave.

La leve se fundamenta en que la Hacienda local no ha acreditado la formalización del contrato con Tecnocom (empresa que gestiona la web) para la realización de los trabajos de mantenimiento del portal en un documento que se ajuste a las previsiones establecidas en la LOPD y su normativa de desarrollo. La Agencia estima que esto podría suponer una infracción del artículo 12.2, que establece lo siguiente: "La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma (...) que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los utilizará con fin distinto al que figure en dicho contrato, ni los comunicará".

La Delegación de Hacienda argumenta que los motivos se circunscriben principalmente una falta de adecuación de los pliegos de adjudicación y del contrato firmado posteriormente con la empresa en el año 2013 a la Ley de Protección de Datos. "Cuando detectamos estas carencias en el contrato, nos pusimos inmediatamente a trabajar para subsanarlas y de hecho ya se han resuelto. En cualquier caso, en 2017 cuando se licite el nuevo contrato, se incorporarán todas las exigencias de la Ley de Protección de Datos como no se hizo en 2013", explicó Joaquín Castillo.

La grave se basa en que, a través de la oficina virtual de la Agencia Tributaria, terceros pudieran acceder a información relativa a otros contribuyentes, lo que podría suponer una infracción del artículo 9.1 según el cual "el responsable del fichero deberán de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, perdida o acceso no autorizado".

Los dos expedientes no derivarán en sanción por tratarse de un organismo público y estar acogido al régimen disciplinario de las administraciones públicas que impide que una administración multa a otra. La comunicación de la Agencia confirma que los dos fallos informáticos tienen su origen en medidas adoptadas en 2014 y 2015. El primer problema de seguridad derivó de un cambio en la autenticación del acceso a los datos realizado el 8 de marzo de 2015, mientras que el segundo se remonta a agosto de 2014. "Este gobierno ha actuado asumiendo con rigor, seriedad y transparencia, asumiendo la gravedad de los hechos, aunque afortunadamente de acuerdo con las investigaciones llevadas a cabo por los servicios municipales, por la empresa adjudicataria y por la propia Agencia de Protección de Datos la incidencia y el alcance de estos fallos han sido mínimos", apuntó Castillo.

A la empresa que gestiona la web municipal, la Agencia le abre expediente sancionador ya que considera que "no tomó las medidas de seguridad necesarias para garantizar la privacidad de los datos personales que se manejaban en la web". La infracción podría suponer una sanción de hasta 300.000 euros.