Seguridad de Impuestos 2.0 – Lista de verificación "Impuestos-Seguridad-Unidos" – Paso 2

IRS y socios de la Cumbre de Seguridad les recuerdan a profesionales de impuestos que deben crear plan de seguridad de información por escrito para proteger a clientes

IR-2019-131SP, 23 de julio de 2019

WASHINGTON — El IRS, las agencias tributarias estatales y la industria tributaria de la nación, hoy les recordaron a todos los "preparadores de impuestos profesionales" que la ley federal les exige crear un plan de seguridad de información por escrito para proteger los datos de sus clientes.

El recordatorio se produjo cuando el IRS y sus socios de la Cumbre de Seguridad instaron a los profesionales de impuestos a dedicar un tiempo este verano para revisar sus protecciones de seguridad de datos. Para ayudarles en esta compleja tarea, la Cumbre creó una Lista de Verificación "Impuestos-Seguridad-Unidos" como punto de partida.

“Proteger los datos de los contribuyentes no solo es buena práctica para el negocio, es la ley para los profesionales de impuestos”, dijo Chuck Rettig, Comisionado del IRS. “Crear un plan de seguridad de información por escrito e implementarlo es crítico para proteger sus clientes y su negocio”.

La creación de un plan de seguridad de datos es el segundo elemento en la Lista de verificación "Impuestos-Seguridad-Unidos". El primer paso para los profesionales de impuestos fue la implementación de los "Seis pasos de seguridad" para proteger las computadoras y correos electrónicos.

Aunque la Cumbre de Seguridad -- una asociación entre el IRS, los estados y la comunidad tributaria del sector privado - progresa contra el robo de identidad relacionado con los impuestos, los criminales cibernéticos continúan evolucionando, y los robos de datos en las oficinas de los profesionales de impuestos siguen siendo una amenaza mayor. Los ladrones usan datos robados de los profesionales de impuestos para crear declaraciones fraudulentas que pueden ser más difíciles de detectar por los socios del IRS y de la Cumbre.

Crear un plan de seguridad de datos bajo la ley federal

Los socios de la Cumbre de Seguridad señalaron que muchos en la comunidad profesional de impuestos no se dan cuenta de que están obligados por la ley federal a tener un plan de seguridad de datos.

La Ley de Modernización de los Servicios Financieros de 1999, también conocida como la Ley Gramm-Leach-Bliley (GLB), otorga a la Comisión Federal de Comercio (FTC) la autoridad para establecer reglamentos de protección de la información para diversas entidades, incluidos los preparadores de declaraciones de impuestos profesionales. De acuerdo con la Regla de Protección de la FTC, los preparadores de declaraciones de impuestos deben crear y promulgar planes de seguridad para proteger los datos de los clientes. Si no lo hacen, puede resultar en una investigación de la FTC. El IRS también puede tratar una violación de la Regla de Protección de la FTC como una violación del Procedimiento Administrativo Tributario del IRS 2007-40, que establece las reglas para los profesionales de impuestos que participan como Proveedores Autorizados de e-file del IRS.

El plan de seguridad de información requerido por la FTC debe ser apropiado para el tamaño y la complejidad de la empresa, la naturaleza y el alcance de sus actividades y la sensibilidad de la información del cliente que maneja. Según la FTC, cada empresa, como parte de su plan, debe:

  • Designar uno o más empleados para coordinar su programa de seguridad de información
  • Identificar y evaluar los riesgos a la información del cliente en cada área relevante de la operación de la compañía y evaluar la efectividad de las protecciones actuales para controlar estos riesgos;
  • Diseñar e implementar un programa de seguridad y monitorizarlo y probarlo regularmente;
  • Seleccionar proveedores de servicios que pueden mantener las protecciones apropiadas, asegurarse de que su contrato les exija mantener protecciones y supervisar su manejo de la información del cliente; y
  • Evaluar y ajustar el programa según las circunstancias pertinentes, incluidos los cambios en el negocio o las operaciones de la empresa, o los resultados de las pruebas de seguridad y monitorización.

La FTC dice que los requisitos están diseñados para ser flexibles de modo que las compañías puedan implementar las protecciones adecuadas a sus propias circunstancias. La Regla de Protección requiere que las compañías evalúen y aborden los riesgos para la información de los clientes en todas las áreas de sus operaciones.

Tenga en cuenta: La FTC está reevaluando la Regla de Protección y ha propuesto nuevos reglamentos. Esté alerta a cualquier cambio en la Regla de Protección y su efecto en la comunidad de preparación de impuestos.

La Publicación 4557 del IRS, Protección de los datos del contribuyente (PDF, en inglés), detalla las medidas de seguridad críticas que todos los profesionales de impuestos deben promulgar. La publicación también incluye información acerca de cómo cumplir con la Regla de Protección de la FTC, incluida una lista de verificación de los elementos para un plan prospectivo de seguridad de datos. Se pide a los profesionales de impuestos que se concentren en áreas claves como la administración de los empleados y la formación; sistemas de información; y la detección y administración de fallos del sistema.

Pueden aplicarse disposiciones adicionales de protección de datos

El IRS y ciertas secciones del Código de Impuestos Internos (IRC, por sus siglas en inglés) también se enfocan en la protección de la información de los contribuyentes y los requisitos de los profesionales de impuestos. Estos son algunos ejemplos:

  • Publicación 3112 del IRS – La solicitud y participación de e-file del IRS, establece: La protección de e-file del IRS contra el fraude y el abuso, es responsabilidad compartida del IRS y los Proveedores Autorizados de e-file. Los proveedores deben ser diligentes en reconocer el fraude y el abuso, informarlos al IRS y evitarlos cuando sea posible. Los proveedores también deben cooperar con las investigaciones del IRS poniendo a disposición del IRS, cuando le sea solicitado, información y documentos relacionados con declaraciones de impuestos con posibles fraudes o abusos.
  • Sección 7216 del IRC – Esta disposición impone multas penales a cualquier persona que participe en el negocio de preparar o prestar servicios en relación con la preparación de declaraciones de impuestos, que a sabiendas o imprudentemente, haga divulgaciones o usos no autorizados de la información proporcionada a ellos en relación con la preparación de una declaración de impuestos sobre los ingresos. 
  • Sección 6713 del IRC – Esta disposición impone multas monetarias a las divulgaciones o usos no autorizados de la información sobre los contribuyentes por cualquier persona que se dedique al negocio de preparar o prestar servicios en relación con la preparación de declaraciones de impuestos.
  • Procedimiento de Ingresos del IRS 2007-40 – Estas directrices legales requieren que los proveedores autorizados de e-File del IRS dispongan de sistemas de seguridad para evitar el acceso no autorizado a las cuentas e información personal de los contribuyentes por parte de terceros. También especifica que las violaciones a la Ley GLB y a las reglas y reglamentos de implementación promulgadas por la FTC, así como las violaciones a las reglas de no divulgación contenidas en las secciones 6713 y 7216 del IRC o las reglamentaciones promulgadas en virtud de esa ley, se consideran violaciones al Procedimiento de Ingresos 2007-40, y están sujetas a las multas o sanciones especificadas en el Procedimiento de Ingresos.

Muchas leyes estatales gobiernan o se relacionan con la confidencialidad y la seguridad de los datos financieros, que incluye los datos de los contribuyentes. Amplían los derechos y los recursos a los consumidores al requerir que los individuos y los negocios que ofrecen servicios financieros protejan la información personal no pública. Para obtener más información acerca de las leyes estatales que su negocio debe seguir, consulte las leyes y reglamentos estatales.

Dónde reportar el robo de datos con el IRS, estados

Para notificar al IRS en caso de robo de datos, comuníquese con su Enlace local de partes interesadas (en inglés).

En algunos estados, los robos de datos deben reportarse a varias autoridades. Envíe un correo electrónico a la Federación de Administradores de Impuestos al StateAlert@taxadmin.org para obtener información acerca de cómo reportar información de las víctimas a los estados.

Recursos adicionales

Los profesionales de impuestos también pueden obtener ayuda con las recomendaciones de seguridad revisando la recientemente revisada Publicación 4557, Protegiendo los Datos del Contribuyente (PDF, en inglés) y la Información de Seguridad para Pequeñas Empresas: Lo Básico (PDF, en inglés) del Instituto Nacional de Estándares y Tecnología.

La Publicación 5293 (SP), Guía de recursos de seguridad de datos para los profesionales de impuestos (PDF), recopila la información de robo de datos disponible en IRS.gov. Además, los profesionales de impuestos deben permanecer conectados con el IRS a través de suscripciones a e-News para profesionales de impuestos (en inglés) y las redes sociales.

Lista de Verificación Impuestos-Seguridad-Unidos

Durante esta serie especial de la Cumbre de Seguridad, la lista de verificación destaca estas áreas claves para los profesionales de impuestos: