Seguridad de Impuestos 101: Cumbre de Seguridad les recuerda a preparadores de impuestos profesionales sobre requisitos de plan de seguridad de datos

IR-2018-175SP, 28 de agosto de 2018

WASHINGTON  — El Servicio de Impuestos Internos y los socios de la Cumbre de Seguridad les recordaron a los profesionales de impuestos que proteger la información de los contribuyentes no es solo bueno para los clientes y para los negocios – también es ley.

Los socios de la Cumbre instan a los profesionales de impuestos a estar conscientes de sus obligaciones de proteger los datos de los clientes y a cooperar con toda investigación del IRS relacionada al robo de datos. 

El IRS tiene una serie de publicaciones para ayudar a los profesionales de impuestos a navegar por las reglas y reglamentaciones relacionadas con la protección de datos. Además, el IRS, las agencias de impuestos estatales y la industria tributaria recordaron hoy a los preparadores de impuestos que una ley de 1999 les requiere crear e implementar un plan de seguridad de datos.

Este es el octavo de una serie llamada "Proteja a sus clientes; protéjase a sí mismo: Seguridad de Impuestos 101”. La campaña de concienciación de la Cumbre de Seguridad tiene como objetivo proporcionar a los profesionales de impuestos la información básica que necesitan para proteger mejor los datos de los contribuyentes y ayudar a prevenir la presentación de declaraciones de impuestos fraudulentas.

Aunque la Cumbre de Seguridad progresa en sus esfuerzos contra el robo de identidad relacionado con los impuestos, los delincuentes cibernéticos continúan evolucionando y los robos de datos en las oficinas de profesionales de impuestos continúan en aumento. Los ladrones usan datos robados de los profesionales de impuestos para crear declaraciones fraudulentas que son más difíciles de detectar.

La Ley de Modernización de Servicios Financieros de 1999, también conocida como la Ley Gramm-Leach-Bliley (GLB), otorga a la Comisión Federal de Comercio (FTC, por sus siglas en inglés), la autoridad para establecer reglamentos de protección de la información para diversas entidades, incluidos los preparadores de declaraciones de impuestos profesionales.

De acuerdo con la Regla de Protección de la FTC (en inglés), los preparadores de declaraciones de impuestos deben crear y promulgar planes de seguridad para proteger los datos de los clientes. No hacerlo, puede resultar en una investigación de la FTC. El IRS también puede tratar una violación a la Regla de Protección de la FTC como una violación al Procedimiento Administrativo Tributario 2007-40 (en inglés) del IRS, que establece las reglas para los profesionales de impuestos que participan como Proveedores Autorizados de e-file del IRS.

Además, los miembros del Comité Asesor de la Administración Tributaria Electrónica del IRS (ETAAC, por sus siglas en inglés), señalaron en junio que creen que “mucho menos de la mitad de los profesionales de impuestos están conscientes de sus responsabilidades según la Regla de Protección de la FTC y que aún menos profesionales… han implementado las prácticas de seguridad requeridas.”

El plan de seguridad de información requerido por la FTC debe ser apropiado para el tamaño y la complejidad de la compañía, la naturaleza y el alcance de sus actividades y la sensibilidad de la información del cliente que maneja. Según la FTC, cada empresa, como parte de su plan, debe:

  • Designar uno o más empleados para coordinar su programa de seguridad de información;
  • Identificar y evaluar los riesgos a la información del cliente en cada área relevante de la operación de la compañía y evaluar la efectividad de las protecciones actuales para controlar estos riesgos;
  • Diseñar e implementar un programa de protección, monitorizarlo y probarlo regularmente;
  • Seleccionar proveedores de servicios que pueden mantener las protecciones apropiadas, asegurarse de que su contrato les exija mantener protecciones y supervisar su manejo de la información del cliente; y
  • Evaluar y ajustar el programa según las circunstancias pertinentes, incluidos los cambios en el negocio o las operaciones de la empresa, o los resultados de las pruebas de seguridad y monitorización.

La FTC dice que los requisitos están diseñados para ser flexibles de modo que las compañías puedan implementar las protecciones adecuadas a sus propias circunstancias. La Regla de Protección requiere que las compañías evalúen y aborden los riesgos para la información de los clientes en todas las áreas de sus operaciones.

El IRS ha revisado la Publicación 4557, Protección de los datos del cliente (PDF, en inglés) para detallar las medidas fundamentales de seguridad que todos los profesionales de impuestos deberían establecer. La publicación también incluye información acerca de cómo cumplir con la Regla de Protección de la FTC, e incluye una lista de elementos para un posible plan de seguridad de datos.

El IRS y ciertas secciones del Código de Impuestos Internos (IRC, por sus siglas en inglés), también se enfocan en la protección de la información de los contribuyentes y los requisitos de los profesionales de impuestos. Los siguientes son algunos ejemplos:

Publicación 3112 del IRS,  La solicitud y participación de e-file del IRS establece: La protección de e-file del IRS contra el fraude y el abuso, es la responsabilidad compartida del IRS y los Proveedores Autorizados de e-file. Los proveedores deben ser diligentes en reconocer el fraude y el abuso, informarlos al IRS y evitarlos cuando sea posible. Los proveedores también deben cooperar con las investigaciones del IRS poniendo a disposición del IRS, cuando le sea solicitado, la información y documentos relacionados con las declaraciones de impuestos con posibles fraudes o abusos.

Sección 7216 del IRC – Esta disposición impone multas penales a cualquier persona que participe en el negocio de preparar o prestar servicios en relación con la preparación de declaraciones de impuestos, que a sabiendas o imprudentemente, haga divulgaciones o usos no autorizados de la información proporcionada a ellos en relación con la preparación de una declaración de impuestos sobre los ingresos. 

Sección 6713 del IRC – Esta disposición impone multas monetarias a las divulgaciones o usos no autorizados de la información sobre los contribuyentes por cualquier persona que se dedique al negocio de preparar o prestar servicios en relación con la preparación de declaraciones de impuestos.

Procedimiento Administrativo Tributario 2007-40 – Este procedimiento requiere que los proveedores autorizados de e-File del IRS dispongan de sistemas de seguridad para evitar el acceso no autorizado a las cuentas e información personal de los contribuyentes por parte de terceros. También especifica que las violaciones a la ley GLB y a las reglas y reglamentos de implementación promulgadas por la FTC, así como las violaciones a las reglas de no divulgación contenidas en las secciones 6713 y 7216 del IRC o las reglamentaciones promulgadas en virtud de esa ley, se consideran violaciones al Procedimiento Administrativo Tributario 2007-40, y están sujetas a las multas o sanciones especificadas en el Procedimiento Administrativo Tributario.

Muchas leyes estatales gobiernan o se relacionan con la confidencialidad y la seguridad de los datos financieros, que incluye los datos de los contribuyentes. Amplían los derechos y los recursos a los consumidores al requerir que los individuos y los negocios que ofrecen servicios financieros protejan la información personal no pública. Para obtener más información acerca de las leyes estatales que su negocio debe seguir, consulte las leyes y reglamentos estatales.

En algunos estados, los robos de datos se deben informar a varias autoridades. Para ayudar a los profesionales de impuestos a encontrar dónde informar los incidentes de seguridad de datos a nivel estatal, la Federación de Administradores de Impuestos ha creado una página especial (en inglés), con listas por estado. Para notificar al IRS en caso de robo de datos, comuníquese con su Enlace local de partes interesadas (en inglés).

Los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad en la Publicación 4557 (PDF, en inglés) del IRS, y la Información de Seguridad para Pequeños Negocios: Lo Básico (PDF, en inglés), del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293, Guía de recursos de seguridad de datos para los profesionales de impuestos (PDF, en inglés), recopila la información de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben permanecer conectados con el IRS a través de suscripciones a e-News para profesionales de impuestos (en inglés), Alertas rápidas (en inglés) y las redes sociales.

Para mejorar la concienciación acerca de la seguridad de datos por parte de todos los profesionales de impuestos, el IRS realizará un seminario en línea el 26 de septiembre de 2018. El enfoque será en los mismos temas que esta serie: Proteja a sus Clientes; protéjase a sí mismo: Seguridad de Impuestos 101”. Aunque los preparadores de impuestos serán elegibles para un crédito de CPE, otros que trabajen con asuntos tributarios del IRS pueden asistir. Proteger la información del contribuyente es trabajo de todos.