Anexo 2

Conducta infractora respecto de:

• la cumplimentación de las declaraciones aduaneras, incluida la comisión de errores en los apartados de clasificación, valoración u
  origen;
• el uso de los procedimientos aduaneros;
• la normativa fiscal;
• la aplicación de medidas relacionadas con prohibiciones y restricciones, la política comercial;
• la introducción de las mercancías en el territorio aduanero de la Unión, etc.

Una conducta de infracción en el pasado eleva la posibilidad de que futuras normas y reglamentos se pasen por alto o se infrinjan.
Conocimiento insuficiente de las infracciones contra los requisitos aduaneros.

Política de cumplimiento activo por el operador, en el sentido de que este haya establecido y aplique unas normas internas de cumplimiento.
Se prefieren instrucciones operativas escritas en lo que respecta a las responsabilidades relativas a la realización de controles de precisión, exhaustividad y oportunidad de las operaciones y a la comunicación de irregularidades y errores, incluida la sospecha de actividad delictiva, a las
autoridades aduaneras.
Procedimientos para investigar y comunicar los errores detectados y de revisión y mejora de los procesos.
Identificación clara de la persona competente o responsable en la empresa y establecimiento del régimen de vacaciones y otros tipos de ausencia.

Aplicación de medidas internas de cumplimiento; utilización de los recursos de auditoría para comprobar y garantizar que los procedimientos se aplican correctamente.
Instrucciones internas y programas de formación para garantizar que el personal conozca los requisitos aduaneros.

Designación de una persona responsable de la calidad y encargada de los procedimientos y los controles internos de la empresa.
Plena conciencia, por cada jefe de departamento, de los controles internos de su respectivo departamento.
Registro de las fechas de los controles internos y las auditorías y corrección de las deficiencias detectadas mediante correctivas.
Notificación a las autoridades aduaneras de los casos de fraude o actividad no autorizada o ilegal que se detecten.
Puesta a disposición del personal competente de los procedimientos de control internos pertinentes.
Creación de una carpeta o archivo en el que cada tipo de mercancía se vincule a su respectiva información aduanera (código arancelario, tipos de los derechos aduaneros, origen y régimen aduanero).
Designación de la persona o personas encargadas de gestionar y actualizar la normativa sobre aduanas aplicable (inventario de reglamentos); p. ej., actualización de los datos en la planificación de recursos empresariales (PRE), liquidación de cuentas, software.
Información y formación del personal en relación con las inexactitudes y sobre cómo se puede evitar que se presenten.

Establecimiento de procedimientos para registrar y corregir los errores y las transacciones en marcha.

Utilización inadmisible de los procedimientos.
Declaraciones aduaneras incompletas e incorrectas e información igualmente incompleta e incorrecta acerca de otras actividades aduaneras.
Utilización de datos permanentes (números de artículo, códigos aduaneros) incorrectos o no actualizados.

• Clasificación incorrecta de las mercancías.
• Código arancelario incorrecto.
• Valor en aduana incorrecto.

Ausencia de procedimientos para informar a las autoridades aduaneras de las irregularidades identificadas, de conformidad con los requisitos aduaneros pertinentes.
Actualmente, la información arancelaria vinculante (IAV) también es obligatoria para el titular de la IAV. La declaración en aduana ha de hacer referencia a la IAV (artículo 33 del CAU).

Adopción de procedimientos formales para la gestión y el seguimiento de cada actividad aduanera y formalización de determinados clientes (clasificación de mercancías, origen, valor, etc.). Con estos procedimientos se pretende garantizar la continuidad del departamento aduanero en caso de ausencia de personal asignado.
Utilización de la IAV que establece los derechos e impuestos de importación y la normativa aplicable (sanitaria, técnica, medidas de política comercial, etc.).
Utilización de la IAV que proporciona el asesoramiento de la Administración respecto de:

• El origen del producto que usted desea importar o exportar, sobre todo cuando diversas fases de la producción han tenido lugar en diferentes países.
• La posibilidad de obtener o no un trato preferencial con arreglo a un convenio o un acuerdo internacional.
  Establecimiento de procedimientos formales para la determinación y la declaración del valor en aduana (método de valoración, cálculo, casillas que deben cumplimentarse en la declaración y documentación que debe aportarse).

Aplicación de procedimientos para la notificación de irregularidades a las autoridades aduaneras.

Procedimientos normalizados de registro de licencias.

Controles internos periódicos de las licencias vigentes y registro de las mismas.
Segregación de tareas entre el registro y los controles internos.
Normas sobre comunicación de irregularidades.
Procedimientos para garantizar que la utilización de mercancías sea conforme con la licencia.

Incapacidad de emprender oportunamente una auditoría debido a la pérdida de información o a deficiencias en los archivos.

Falta de procedimientos relativos a la copia de seguridad.
Ausencia de procedimientos satisfactorios para el archivo de los registros y la información del solicitante.
Destrucción deliberada o pérdida de información importante.

Presentación de un certificado ISO 27001 que demuestre unos estándares elevados en el ámbito de la seguridad de las TI.
Procedimientos de copia de seguridad, recuperación y protección de datos frente a daños o pérdidas.
Planes de emergencia en caso de perturbación o fallo de los sistemas.

Procedimientos de comprobación de las copias de seguridad y la recuperación.
Conservación de los archivos aduaneros y los documentos mercantiles en instalaciones seguras.
Establecimiento de un de clasificación.
Cumplimiento de los plazos legales de archivo.
Las copias de seguridad han de ser diarias, de carácter incremental o completas. Se han de hacer copias de seguridad completas al menos una vez por semana. En todo momento deben estar disponibles como mínimo las tres últimas copias de seguridad consecutivas. Es preferible que las copias de seguridad se realicen de manera remota, mediante un método seguro desde el punto de vista electrónico, en una instalación de almacenamiento situada a una distancia mínima de 300 metros. También se ha de hacer una copia de seguridad de la clave de cifrado, que se guardará lejos de la instalación de almacenamiento.

Adopción y puesta a disposición del personal de una política de seguridad, procedimientos y normas en materia de TI.
Presentación de un certificado ISO 27001 que demuestre estándares elevados en el ámbito de la seguridad de las TI.
Establecimiento de una política de seguridad de la información.
Designación de un responsable de la seguridad de la información. - Evaluación de la seguridad de la información e identificación de cuestiones asociadas al riesgo en el ámbito de las TI.
Procedimientos para la concesión de derechos de acceso a personas autorizadas; los derechos de acceso deben retirarse inmediatamente en caso de transferencia de obligaciones o cese de empleo.

• Acceso a datos en la medida necesaria.
  Utilización de programas de cifrado, cuando convenga.

Cortafuegos.
Protección contra virus.
Protección mediante contraseña de todos los ordenadores personales y, si es posible, de los programas importantes.
Si los empleados dejan el puesto de trabajo, el ordenador se debe proteger siempre con una palabra clave.
La contraseña debe estar formada por un mínimo de ocho caracteres, con una mezcla de dos o más letras mayúsculas y minúsculas, números y otros caracteres. Cuanto más larga sea la contraseña, más segura será. Los nombres de usuario y las contraseñas nunca se deben compartir.
Realización de pruebas sobre accesos no autorizados.
Limitación del acceso a salas de servidores a las personas autorizadas.
Pruebas de intrusión a intervalos periódicos; las pruebas de intrusión se han de registrar.
Ejecución de procedimientos para el tratamiento de los incidentes.

Formulación de instrucciones y procedimientos sobre la utilización de llaves a disposición del personal pertinente.
Únicamente el personal autorizado puede acceder a las llaves de los dispositivos de cierre empleados en edificios, instalaciones, salas, áreas de seguridad, archivos, cajas de seguridad, vehículos, maquinaria y carga aérea.

Elaboración de inventarios periódicos de llaves y dispositivos de cierre.
Registro de los intentos de acceso no autorizado y comprobación periódica de esta información.
Las puertas y ventanas se deben cerrar con llave cuando no haya nadie trabajando en la sala u oficina de que se trate.