Informe interno: Las autoridades tributarias no pueden resolver las violaciones de privacidad con el enfoque actual


Las autoridades fiscales siguen sin cumplir con los aspectos más básicos de la Ley de Privacidad, más de cinco años después de su introducción. El enfoque actual también hace imposible cumplir con esa legislación a partir de 2027 como estaba previsto. Un equipo de investigación interno de las Autoridades Tributarias lo constató en una evaluación en manos de NRC.

Desde mayo de 2018, todas las organizaciones y empresas holandesas deben cumplir con el Reglamento General de Protección de Datos (GDPR), más conocido como Ley de Privacidad. Esto estipula que las agencias deben ser transparentes sobre exactamente qué datos almacenan y con qué propósito. Estos datos deben ser correctos y estar actualizados, no debe haber más información de la estrictamente necesaria y las organizaciones deben eliminar la información tan pronto como ya no sea necesaria.

En la evaluación, que data del pasado mes de julio, un equipo de empleados concluyó, después de seis meses de investigación, que las autoridades fiscales todavía tienen muy poco control sobre los datos que utilizan sobre los ciudadanos. Por ejemplo, para la mayoría de los procesos de trabajo no se sabe exactamente qué datos personales se procesan, lo que constituye “la base para el cumplimiento”. [voldoen aan de privacywetgeving] Está perdido. No existe una política para reconocer y corregir errores en los datos personales utilizados. Los datos obsoletos a menudo no se archivan ni se destruyen a tiempo.

Las autoridades fiscales tampoco realizan un seguimiento de exactamente qué empleados tienen acceso a determinadas aplicaciones. Como resultado, el servicio viola el ‘necesito saber“principio” de la ley de privacidad, según la evaluación interna. Miles de empleados pueden acceder a datos personales que no necesitan para su trabajo, como por ejemplo la dirección particular de famosos holandeses. Múltiples fuentes dentro del servicio lo confirman. Que el uso de los sistemas informáticos no sea registrado (seguido), Reconocido El Secretario de Estado Marnix van Rij (CDA, Impuestos) a finales del año pasado tras una publicación en NRC. Esto demostró que funcionarios corruptos transmitían información a delincuentes debido a esta falta. Inicio sesión Fue difícil de rastrear.

Según el documento interno, las autoridades fiscales también tienen muy poco en cuenta los derechos de privacidad de los ciudadanos, incluido el derecho a inspeccionar, corregir y eliminar datos. La NRC informó anteriormente que las autoridades fiscales responden con demasiada lentitud a más de la mitad de las solicitudes de acceso de los ciudadanos.

Las nuevas aplicaciones tampoco están diseñadas de tal manera que cumplan con las reglas de privacidad, aunque Van Rij ha pedido a la Cámara de Representantes que así lo haga. reportado.

Informacion delicada

Las conclusiones internas son dolorosas. De todos los servicios gubernamentales, las autoridades fiscales tienen los datos personales más sensibles de los ciudadanos holandeses. No sólo datos financieros, como ingresos, deudas y activos, sino también información sobre, por ejemplo, relaciones familiares, antecedentes penales, salud, religión, afiliación sindical, propiedades (casas, barcos, vehículos de motor, etc.), posible cuidado de niños. , quiebras, indemnizaciones por despido, país de origen, etc. el nombre de usuario al jugar online.

Es lógico que muchos empleados tengan acceso a esa información. Un ciudadano que llama a la Línea de Impuestos espera que todos los detalles relevantes de su expediente estén disponibles de inmediato. Debido a la complejidad de la legislación fiscal, también se requiere mucha información diferente para auditar las declaraciones de impuestos.

Lea también: Las autoridades fiscales se convirtieron así en perpetradores frecuentes del mal uso de datos personales.

En el pasado, el servicio cometió muchos errores a este respecto, siendo el escándalo de los beneficios el ejemplo más conocido. Basándose en información a menudo incorrecta y en análisis de datos descuidados, el servicio registró a los padres como posibles estafadores, tras lo cual sus beneficios fueron suspendidos y reclamados. Como resultado, miles de familias se vieron en graves problemas. La Autoridad Holandesa de Protección de Datos (AP) intervino 2021 y 2022 multas históricamente altas. La gestión de la información ahora de acuerdo a las propias Autoridades Tributarias “la máxima prioridad”.

Sin embargo, parece haber grandes dudas dentro del servicio sobre el plan actual para cumplir plenamente con el RGPD a partir de 2027. Van Rij quiere todos los 791 procesos comerciales antes de finales de 2024 pruebas sobre la base de las llamadas listas de verificación y luego resolver las deficiencias de privacidad por proceso.

Según la evaluación interna, ese enfoque no funcionará. Las listas de verificación están incompletas, no se abordan todos los aspectos de la ley de privacidad y no se identifican los mayores riesgos. “No hay un cumplimiento total si se implementa la lista de verificación”, afirma la evaluación. Además, existen dudas sobre la planificación: según información interna del servicio, hasta el momento sólo se han probado cuarenta procesos, a pesar de que el proyecto ya lleva tres años en funcionamiento.

Función de vista previa

“Es una información impactante y rara vez uso esa palabra”, dice José van Dijck, profesor universitario de medios y sociedad digital en Utrecht, en respuesta a los documentos internos. Al parecer, afirma, las autoridades fiscales no tienen “las cuestiones más básicas” en orden. “Una idea de qué datos tienes, quién puede acceder a ellos y cómo organizarlos correctamente”.

Mientras que, según ella, la Autoridad Tributaria tiene una función ejemplar: “Tiene acceso a la mayor y más confidencial información de prácticamente toda la población. Eso genera una obligación social de tener mucho cuidado”.

Bart Jacobs, profesor de seguridad, privacidad e identidad en la Universidad Radboud de Nijmegen: “Es una situación que te deprime el corazón. Me siento tentado a decir: hay que rediseñar todo para cumplir con el RGPD. Al mismo tiempo, veo que algo así no es realista: el negocio tiene que seguir funcionando y costaría una enorme cantidad de dinero”.

Según el Ministerio de Finanzas, la NRC cita un “borrador de documento de discusión interno”, que no contiene “ninguna posición oficial sobre los avances de las autoridades fiscales”. “La pieza muestra que las Autoridades Tributarias han estado trabajando en los últimos meses para mapear los procesos e identificar riesgos y acciones de mejora. Se tienen en cuenta diferentes perspectivas del servicio”, respondió el ministerio.

Según el Ministerio de Hacienda, cumplir con el RGPD es “complejo” y “consiste en algo más que probar los procesos de negocio”. Esto es lo que obtienen los empleados conciencia-cursos sobre el uso de datos personales. “Es cierto que el cumplimiento del RGPD es un proceso extenso que requiere tiempo y capacidad y, por lo tanto, también exige mucho de la organización que está aprendiendo esto. Las autoridades fiscales sienten la urgencia de poner esto en orden lo más rápido posible, además de realizar todos los trabajos habituales”.

El ministerio cuestiona que Van Rij haya informado incorrectamente a la Cámara sobre nuevos sistemas que ya cumplirían con las reglas de privacidad. “Lo tenemos en cuenta desde 2015, pero la implementación de sistemas lleva tiempo. Por lo tanto, eso no significa que ya se haya aplicado en todas partes”.



ttn-es-33