La AEAT y la protección de datos personales ante el despliegue de la inteligencia artificial

Mercedes Navarro Egea

Catedrática de Derecho Financiero y Tributario

Universidad de Murcia

(España)

https://orcid.org/0000-0001-7441-209X

Revista Técnica Tributaria, Nº 148, Sección Estudios, Primer trimestre de 2025

1. Introducción (1)

La automatización de las actuaciones y procedimientos administrativos, también en el ámbito de la aplicación de los tributos, implica el tratamiento de cuantiosos datos de personas físicas, extendiéndose a categorías especiales de datos de carácter personal, incluidos datos penales y sanciones administrativas.

Aunque es escasa la información que llega a la ciudadanía sobre los medios tecnológicos a disposición de la Agencia Tributaria, algunos de los documentos elaborados por esta institución se hacen eco del uso intensivo de tecnologías avanzadas. Así, por ejemplo, el Informe de Evaluación TADAT (2) , realizado en 2020, destaca la alta valoración asignada a la base de datos de la Agencia Tributaria, señalando como principales características: i) que se trata de una base de datos única, centralizada y computarizada; ii) que pivota sobre el Número de Identificación Fiscal (NIF) de cada contribuyente; iii) y que incluye datos de todo tipo (identificación, relaciones, representantes, vinculaciones con otros contribuyentes, pago de impuestos, comunicaciones e imputaciones) y procedentes de diversas fuentes. Esta base de datos puede ser consultada por los funcionarios a través de una intranet y está interconectada con otras aplicaciones informáticas, ofreciendo una visión global de los contribuyentes (3) , pero también permite el acceso a los obligados tributarios para generar declaraciones y consultar los datos fiscales.

Tan sofisticado mecanismo conlleva un tratamiento de datos, con su inevitable incidencia en los derechos, libertades e intereses de los contribuyentes. Esta realidad plantea innumerables cuestiones, como así queda constatado en la abundante literatura jurídica sobre la materia, y pone de manifiesto la necesaria revisión del marco normativo tributario y de la actividad desarrollada por este sector de la Administración Pública. Abundando en esta idea, las páginas siguientes dirigen la atención a la planificación estratégica de la Agencia Tributaria para 2024-2027 (4) , incluida la Estrategia de Inteligencia Artificial 2024 (5) , para reflexionar sobre si la hoja de ruta trazada en estos documentos se adecúa de modo satisfactorio a los requerimientos de las normas específicas en materia de protección de datos de carácter personal, fundamentalmente, al Reglamento general de protección de datos (6) (en adelante, RGPD), de plena aplicación desde el 25 de mayo de 2018, y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Este planteamiento adquiere especial interés ante la reciente aprobación, el 13 de marzo de 2024, del Reglamento del Parlamento Europeo y del Consejo relativo a las normas armonizadas en materia de inteligencia artificial (en adelante, RIA o AI Act) (7) , que será de plena aplicación a partir del 2 de agosto de 2026, pues esta norma supranacional impone obligaciones de valoración de riesgos para la protección de los derechos fundamentales y libertades referidos a un segmento de la tecnología subsumible en la definición de «inteligencia artificial» (IA).

Si consideramos que la LGT (8) y el RGAT (9) (arts. 96 y 100.2 LGT y 84, 85 y 107.7 RGAT) (10) constituyen la base de legitimación del tratamiento automatizado de datos personales por parte de la Administración tributaria —donde se ha de incluir la IA— las preguntas se acumulan: ¿el tratamiento de datos realizado por la Administración tributaria, sea o no IA, se adecua al principio de responsabilidad proactiva y de protección de datos desde el diseño y por defecto (art. 25 RGPD)?, ¿hasta qué punto queda garantizado el cumplimiento de los principios del art. 5.1 RGPD (licitud, lealtad y transparencia; limitación de finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad)?, ¿podría ser requerida la Administración tributaria por la autoridad de control en materia de protección de datos (Agencia Estatal de Protección de Datos)?, ¿qué consecuencias tendría para la Administración un eventual incumplimiento de la normativa de protección de datos?

Veamos en los apartados siguientes si es posible dar respuesta a estos interrogantes.

2. Definición y categorización de la IA: un enfoque basado en el riesgo

La Agencia Tributaria viene subrayando la importancia de la distinción entre el uso de la IA y el uso de otro tipo de tecnologías que, pudiendo ser novedosas, no impliquen el uso de técnicas o herramientas específicas de IA.

Con esta distinción se traza una línea divisoria entre la IA que se prevé impulsar en los próximos años (11) y las tecnologías emergentes utilizadas en la actualidad por esta organización. Lo que significa que los recursos tecnológicos que hasta ahora se catalogaban como IA, han dejado de serlo con arreglo a esta nueva conceptualización (12) .

La IA —se dice en los documentos de planificación estratégica de la AAT— ha de ser entendida como «los sistemas capaces de funcionar con ciertos niveles de autonomía para alcanzar determinados objetivos y generar información en forma de predicciones, recomendaciones o decisiones a partir de datos y aplicando para ello estrategias de aprendizaje automático o estrategias basadas en la lógica y el conocimiento». Esta concepción de la IA apunta al futuro, pues la tecnología existente (tratamiento masivo de datos, análisis de redes o grafos, o sistemas de análisis de riesgos), calificada como «determinista» para distinguirla de la tecnología «generativa», está conformada por herramientas cuyo funcionamiento se basa en reglas fijadas por humanos, sin que se haga uso de las capacidades analíticas, predictivas o generativas propias de los sistemas de Inteligencia Artificial (13) .

Este planteamiento conceptual persigue catalogar las herramientas tecnológicas según la definición de IA acotada por el RIA; sin embargo, cabe otra lectura, que la Administración tributaria no se vea concernida —o apremiada— por las obligaciones impuestas por el Reglamento europeo, dado que su tecnología se encuentra fuera del ámbito de aplicación de la norma europea.

El RIA aborda de forma decidida la protección de los derechos y libertades fundamentales que pueden verse amenazados por el desarrollo de la IA (14) con un enfoque basado en el riesgo. Esta visión de la tecnología le ha permitido acotar una definición de IA (15) que atiende fundamentalmente a la autonomía y capacidad de adaptación de los sistemas (16) . A partir de este concepto armonizado, se identifican cuatro categorías de riesgo: i) los sistemas prohibidos; ii) los sistemas de alto riesgo que pueden afectar significativamente a los derechos fundamentales y que se recogen en el Anexo III del RIA; iii) los sistemas que representan un riesgo limitado (enumerados en el Anexo III, pero que no suponen un alto riesgo), sujetos a obligaciones de transparencia y registro (17) ; y iv) los sistemas de bajo riesgo, que ni están prohibidos ni son de alto riesgo.

Ante esta redefinición de los medios tecnológicos (18) , la Agencia Tributaria anuncia en su Estrategia de IA 2024 que no realizará prácticas que reciban la calificación de «prohibidas», comprometiéndose a establecer los requisitos necesarios de gobernanza y seguridad en el desarrollo y uso del resto de los sistemas de IA que podrán ser catalogados dentro de las restantes categorías identificadas en la norma europea.

Sea o no IA, y sea cual sea el nivel de riesgo, esta realidad tecnológica queda sometida a las obligaciones que se derivan del RIA y, en concreto, a la necesidad de llevar a cabo una evaluación del impacto que la utilización de dicha tecnología puede tener en los derechos fundamentales (entre ellos, la privacidad, la protección de datos, la no discriminación y el acceso a la justicia).

Aunque la tecnología analítica de la Administración tributaria quede fuera de la definición de sistemas de IA de alto riesgo que resulta del RIA, ello no excluye la aplicación de este cuerpo legislativo por parte de los responsables de estos componentes, pues se incentiva el cumplimiento voluntario en el caso de los sistemas de IA que no sean de alto riesgo. Y, a todas luces, parece razonable que la autoridad pública abandere los objetivos perseguidos por el RIA y los proyecte en todos sus desarrollos tecnológicos, garantizando así la protección de la esencia de los derechos y libertades fundamentales de los ciudadanos.

Pues bien, con arreglo a lo previsto en el art. 27 del RIA (19) , el despliegue de un sistema de IA de alto riesgo de los contemplados en el art. 6.2 del RIA, esto es, los enumerados en su Anexo III (entre otros, los referidos a servicios públicos y a la administración de justicia (20) ), y, en todo caso, los que efectúen la elaboración de perfiles de personas físicas, conlleva la necesidad de llevar a cabo una «evaluación de impacto en los derechos fundamentales» previa a su puesta en funcionamiento. El precepto, en su apartado 4 (21) , aligera esta obligación en la medida en que, siendo tratamientos de datos de carácter personal, se entiende que este requerimiento queda cubierto por las exigencias del RGPD, esto es mediante la evaluación de impacto realizada con arreglo al art. 35 de este último. Con ello se evitan solapamientos y cargas adicionales (22) .

El RIA, con esta llamada a la normativa en materia de protección de datos, refuerza el necesario cumplimiento del RGPD, por lo que cabe volver sobre algunas preguntas ya planteadas por los estudiosos de la materia: ¿cumple la Agencia Tributaria con la normativa en materia de protección de datos?, ¿es satisfactoria la supervisión de la AEPD?

3. La responsabilidad proactiva en el tratamiento de los datos

Los instrumentos informáticos utilizados por la Agencia Tributaria, generativos y deterministas, se nutren de datos personales proporcionados por los contribuyentes, así como por terceros cercanos a estos y los datos recabados de fuentes abiertas de manera masiva. Piénsese, por ejemplo, en la existencia de sistemas de análisis del comportamiento de los contribuyentes —una actuación automatizada con efectos en personas físicas— de la que hace gala esta Administración (23) . Tampoco se puede obviar que estos soportes tecnológicos están interrelacionados, conformando un ecosistema de alto impacto para los intereses de los ciudadanos. Todos estos desarrollos tecnológicos son tratamientos de datos (24) sometidos a las exigencias del RGPD, bajo la supervisión de la Agencia Estatal de Protección de Datos (AEPD) (25) , y, en última instancia, sujetos al control de jueces y tribunales, a quienes corresponde la misión de expulsar del ordenamiento jurídico cualquier norma o acto administrativo contrario a la ley y al Derecho.

Es sabido que la normativa de protección de datos impone un régimen de responsabilidad proactiva (accountability) (26) que, como se explicita en la Exposición de motivos de la LOPDGDD, exige «una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan».

Para llevar a cabo este modelo de gestión de riesgos, más garantista y que minimiza el impacto de las medidas correctivas por incumplimiento de la normativa en materia de protección de datos, el responsable del tratamiento de datos (en lo que aquí interesa, la Agencia Tributaria) dispone de los instrumentos regulados en el Reglamento europeo: el registro de actividades de tratamiento, el análisis de riesgos y, «en su caso», la evaluación de impacto en la protección de datos personales (en adelante, EIPD).

En relación con este último, la EIPD, el art. 35.1 del RGPD establece la obligación del responsable del tratamiento de llevar a cabo una evaluación de impacto para la protección de datos «cuando sea probable» que un tipo de tratamiento, en particular si se utilizan nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades debido a su alcance, contexto o fines (27) . Y, a efectos de clarificar qué se ha de entender por tratamiento de alto riesgo, el apartado 4 señala que la autoridad de control «establecerá y publicará» una lista de los tipos de operaciones que requieran una EIPD, que será comunicada al Comité Europeo sobre Protección de Datos (en lo sucesivo, CEPD). Pues bien, entre los supuestos recogidos en el listado de la AEPD (28) se pueden reconocer algunas de las actividades que viene realizando la Administración tributaria: el perfilado o valoración de sujetos; la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones; la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones, etc.; la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos; la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas; etc.

Nótese que el perfilado, la captación de datos abiertos, la interacción entre bases de datos, las actuaciones automatizadas, esto es, las operaciones que quedan fuera de la IA generativa, aunque no sean IA de alto riesgo en el sentido del RIA (no tengan autonomía o carezcan de capacidad adaptativa), son tratamientos de datos de alto riesgo con arreglo al RGPD, pues todos ellos suponen un tratamiento masivo e intensivo de datos de carácter personal, que incluye el análisis probabilístico automatizado, y, en consecuencia, todos estos desarrollos tecnológicos requieren de una EIPD (29) , que puede ser independiente para cada tratamiento, o bien una única evaluación para varias operaciones de tratamiento similares que entrañen riesgos similares. Precisamente, esta tarea es importante en materia tributaria toda vez que este proceso valorativo no se ha producido en la fase de elaboración de las normas que dan cobertura a estas herramientas. No se puede obviar que se trata de una regulación cronológicamente anterior a la aprobación del RGPD y concebida para un contexto fundamentalmente analógico.

En efecto, la responsabilidad proactiva implica que se ha de actuar desde el momento mismo del diseño de la norma, instrumentando la EIPD en el marco de la Memoria de Análisis de Impacto Normativo (MAIN) (30) , y en este sentido se viene manifestando la AEPD en algunos de los informes recientes (p.ej., informe 85/2023, relativo al anteproyecto de ley de medidas de eficiencia digital del servicio público de justicia) (31) . En el caso de tratamientos basados en fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la EIPD, incluso cuando se trata de tratamientos de alto riesgo, en la medida en que la base reguladora de esas operaciones de tratamiento ya haya sido objeto de una evaluación de impacto general en el contexto de su elaboración (32) . Esta previsión parece lógica; sin embargo, no siempre la base legal de tratamiento aborda todos los extremos relativos a los presupuestos y condiciones de las operaciones de tratamiento de datos.

Las normas tributarias vigentes que hacen referencia a los usos de la tecnología son bastante ambiguas, insuficientes para las dimensiones que presenta el fenómeno tecnológico y los riesgos que supone para los derechos y libertades de los ciudadanos. En términos generales, el art. 96 de la LGT da cobertura legal a los medios tecnológicos «necesarios para el desarrollo de su actividad y el ejercicio de sus competencias», poniendo como freno a la actuación administrativa «las limitaciones que la Constitución y las leyes establezcan». Y, en cuanto al tratamiento de los datos, el art. 95 garantiza el carácter reservado de los datos, informes o antecedentes obtenidos por la Administración tributaria en el desempeñado de sus funciones, ligando su uso a la efectiva aplicación de los tributos o de los recursos cuya gestión tenga encomendada y para la imposición de las sanciones que procedan». Un carácter reservado que también se establece para el plan de control tributario que la Administración ha de elaborar anualmente, del que, tal como se lee en el art. 116 de la LGT, «solo se harán públicos los criterios generales que lo informen», y que se extiende a las herramientas y tratamientos informáticos en el art. 170.7 del RGAT. Este último precepto, en relación con los medios informáticos de tratamiento de información y los demás sistemas de selección de los contribuyentes que vayan a ser objeto de actuaciones inspectoras, dispone que tendrán carácter reservado, que no serán objeto de publicidad o de comunicación ni se pondrán de manifiesto a los obligados tributarios o a órganos ajenos a la aplicación de los tributos.

La lectura de estos mandatos evidencia la necesidad de un cambio de perspectiva a la hora de afrontar nuevos desarrollos normativos en materia de tratamiento de datos, así como por parte de la Administración en el ejercicio de sus funciones. Esto es, es necesario un enfoque más coherente con la responsabilidad proactiva que demanda el derecho fundamental a la protección de datos de carácter personal. Como se ha dicho, la falta de una EIPD en la base legal de tratamiento implica que esta evaluación de impacto ha de ser realizada por la Administración tributaria antes de poner en marcha un tratamiento de datos de carácter personal. Y, a tal efecto, cabe recordar que el grupo especializado en materia de protección de datos (GT29) insiste en que, aunque un responsable descarte que el tratamiento de datos «entraña probablemente un alto riesgo», y no sea necesaria la evaluación, «el responsable debe justificar y documentar los motivos por los que no se realiza una EIPD e incluir/registrar las opiniones del delegado de protección de datos» (33) .

Es cierto que esto último es una simple recomendación, pero sería deseable que una organización administrativa se atuviera a estos postulados, pues le corresponde velar por la tutela de los derechos y libertades de la ciudadanía.

4. La evaluación de impacto en protección de datos (EIPD)

La información proporcionada por la Agencia tributaria en su portal web, dentro del apartado dedicado a la protección de datos, señala que la base de legitimación de las operaciones de tratamiento de datos personales es «el cumplimiento de una obligación legal» (34) , siendo la finalidad del tratamiento «la aplicación efectiva del sistema tributario y aduanero». En concreto, se dice lo siguiente: «La Agencia Tributaria, por ley, tiene encomendada la aplicación efectiva del sistema tributario estatal y aduanero. Por lo tanto, los tratamientos realizados en el cumplimiento de dichas obligaciones están legitimados, de acuerdo con los requisitos que exige el Reglamento UE 2016/679» (35) .

Especificada en estos términos la base de legitimación y la finalidad lícita del uso de los datos personales por parte de la autoridad administrativa, también se proporciona en la web un registro de las actividades de tratamiento y de las medidas adoptadas para que las personas interesadas puedan ejercitar sus derechos (acceso, rectificación, suspensión, oposición, limitación del tratamiento y portabilidad de los datos).

Ahora bien, ¿esta escueta información garantiza a los ciudadanos el control efectivo, en todo momento, sobre cómo van a ser utilizados sus datos personales por la Administración tributaria?

La información facilitada por la Administración tributaria hace referencia a un presunto análisis de riesgos (36) . Sin embargo, no resulta posible profundizar en estas cuestiones, ni tampoco existe constancia de la posible existencia de una o varias EIPD. La ausencia de información sobre estos aspectos tan relevantes —la simple referencia a que se ha llevado a cabo un análisis de riesgos— contrasta con lo que acontece en otros ordenamientos.

La situación descrita llama la atención a la vista de la evolución seguida en otros países (Francia, Alemania e Italia (37) ). En particular, las páginas siguientes centran su atención en lo acontecido en Italia, donde, con ocasión de una modificación legal introducida en la Ley de Presupuestos para 2020 por la que autoriza a la Administración tributaria para el tratamiento generalizado de los datos sobre cuentas financieras (archivio dei rapporti finanziari) para su tratamiento informático con otras bases de datos a efectos del análisis de riesgos y fenómenos de evasión y elusión fiscal, la norma impone expresamente a la Agencia tributaria (Agenzia delle entrate) que, antes de poner en marcha este modelo mediante el correspondiente decreto ministerial, se elabore una evaluación de impacto autorizada por la autoridad de control (Garante della privacy) (38) . Y, una vez alcanzada la valoración favorable por parte de la autoridad de control a la propuesta del decreto (39) , aunque no es una exigencia legal, sino una observación -a modo de recomendación- del Garante, la citada evaluación de impacto ha sido objeto de publicación parcial por parte de dicha organización administrativa, esto es, con omisión de los aspectos que pudieran comprometer la seguridad del sistema.

Sin perjuicio de las consideraciones que sobre esta medida se realicen en las páginas siguientes, esta aproximación a la realidad del país vecino muestra los diferentes enfoques de las autoridades tributarias de la UE a la hora de abordar las medidas encaminadas a que los ciudadanos puedan ejercer un control efectivo de sus datos personales en detrimento de una aplicación homogénea del RGPD, lo que sorprende si se tiene en cuenta que en el articulado de dicha norma europea se establecen mecanismos de coherencia mediante la cooperación entre las autoridades de control nacionales.

Pero en lo que aquí interesa, ¿en qué consiste la EIPD y en qué medida puede contribuir a generar un clima de confianza social en el uso de los medios tecnológicos por parte de la Administración tributaria?

El art. 35.7 del RGPD establece el contenido mínimo de la EIPD, a saber:

• a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
• b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
• c) Una evaluación de los riesgos para los derechos y libertades de los interesados.
• d) Las medidas previstas para afrontar los riesgos.

La EIPD se concibe como un proceso continuo que permite evaluar tanto el impacto que el tratamiento tiene sobre los derechos y libertades de las personas físicas afectadas por el mismo como el impacto social general que puede ocasionar, esto es, sobre el conjunto de los individuos o colectivos afectados. La función de esta herramienta es evaluar la necesidad y proporcionalidad del tratamiento, considerándose como una pieza importante para la rendición de cuentas y para demostrar que se han tomado las medidas oportunas para garantizar dicho cumplimiento.

Podría decirse que, en el modelo de responsabilidad proactiva que impone el RGPD, y que inspira la evaluación de riesgos en el RIA, el responsable del tratamiento —también la Administración tributaria— no solo ha de ser respetuoso con los datos de carácter personal, sino que ha de parecerlo.

Si esta es una buena razón para que el responsable, asesorado por el delegado de protección de datos, elabore una EIPD —puesto que puede ser única, integrando varias operaciones de tratamiento—, también lo es que esa evaluación, antes de poner en marcha el tratamiento, ha de ser sometida a una consulta ante la autoridad de control. Esto es, ante la AEPD.

De conformidad con lo dispuesto en el art. 36 del RGPD, este procedimiento de consulta previa permite a la autoridad de control asesorar al responsable del tratamiento sobre la adecuación de las medidas adoptadas para mitigar el riesgo que el tratamiento comporta para los derechos y libertades de las personas afectadas.

Es cierto que la publicación de la EIPD no constituye un requisito establecido por el RGPD (40) , pero también lo es que se trata de una decisión del responsable del tratamiento. La publicación de este documento al menos contribuye a generar confianza en el tratamiento de datos efectuados, además de explicitar la responsabilidad proactiva y la transparencia en las operaciones de tratamiento; se trata, en definitiva, de una práctica deseable en el ámbito de la Administración Pública.

Este es el planteamiento seguido en Italia, donde en la web institucional de la Agenzia delle entrate, según lo indicado por la autoridad de control de dicho país, se publica un extracto del Documento di Valutazione di Impatto sulla Protezione dei Dati de la Agencia tributaria italiana en relación con el tratamiento relativo al análisis de riesgos y fenómenos evasivos/elusivos mediante la utilización de datos contenidos en el archivo de relaciones financieras y el cruce de dichos datos con otras bases de datos a disposición de dicha entidad administrativa (41) .

En esta lógica, el anuncio por parte de la Agencia Tributaria española de la inminente puesta en marcha de tratamientos de datos personales con herramientas de inteligencia artificial implica una modificación sustancial que, a todas luces, requiere la realización de una EIPD o, en su caso, la actualización de la ya existente para los tratamientos de datos realizados por la Administración tributaria (42) .

Aunque la evaluación de impacto tiene un contenido organizativo y técnico significativo, la elaborada por las autoridades fiscales italianas, valorada positivamente por el Garante della privacy, merece especial atención en sus aspectos jurídicos a efectos de dar respuesta a las cuestiones planteadas en este estudio.

En nuestro ordenamiento jurídico-tributario no contamos con normas que expresamente requieran que los tratamientos de datos personales sean sometidos a una consulta previa por parte de la AEPD. Ello no debiera ser un obstáculo para que exista este diálogo entre la Administración tributaria, responsable del tratamiento de datos, y la autoridad de control en materia de protección de datos, dado que existe una injerencia en el derecho fundamental a la protección de datos personales (43) , siendo irrelevante a estos efectos «si la información tiene o no carácter sensible o si los afectados han sufrido algún tipo de inconveniente» (44) , lo que hace necesaria la elaboración de una EIPD que garantice el cumplimiento de los principios del art. 5 del RGPD, en particular, los aspectos relativos a la proporcionalidad de la limitación del citado derecho fundamental.

4.1. La identificación de la base jurídica legitimadora del tratamiento

Aunque la EIPD se centra en los riegos del tratamiento para los derechos y libertades, una de las primeras actuaciones que ha de llevar a cabo el responsable del tratamiento de los datos es transparentar la licitud y legitimidad de su actuación.

La LOPDGDD, en su art. 8, establece que el tratamiento de datos personales por obligación legal, interés público o ejercicio de poderes públicos (art. 6.1.c) y e) RGPD), solo se podrá considerar fundado cuando así lo prevea o se derive de una competencia atribuida por una norma de Derecho de la Unión o una norma con rango de ley (45) .

Para determinar si la norma —en el caso de una norma interna— cumple con los parámetros exigidos por la normativa de protección de datos se ha de atender al rango de esta y, a continuación, a los contenidos que deben quedar recogidos en dicho cuerpo legal.

Por lo que hace a la primera cuestión, es reiterada la doctrina del Tribunal Constitucional (STC 76/2019, de 22 de mayo, FJ 8) según la cual la reserva de ley no se limita a exigir una ley que habilite una medida restrictiva de derechos fundamentales. En esta lógica, con referencia a la STC 292/2000, de 30 de noviembre (FJ 15), concluye que la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, adicionalmente, esa norma «ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención» (STC 491999, FJ 4), precisando que «no solo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites» (46) . De lo que se trata es de que el ciudadano pueda conocer en todo momento quién dispone de sus datos y a qué usos los está sometiendo (para qué), garantizándole el poder oponerse a esa posesión y usos (FJ 7).

OLIVARES OLIVARES insiste en que «no es suficiente con incorporar remisiones genéricas a la normativa para acreditar su cumplimiento» (47) . Dicho esto, señala con razón el citado autor que no todos los contenidos del tratamiento han de quedar recogidos en la norma con rango de ley, sino que se puede dar cumplimiento al RGPD mediante desarrollos reglamentarios, poniendo de relieve las numerosísimas obligaciones de carácter formal para el suministro de información, incluso de las resoluciones publicadas en el portal web de la Agencia Tributaria. En estos casos, estas disposiciones garantizan publicidad y legitimidad, permitiendo que se pueda ponderar la transparencia y lealtad del tratamiento. En este sentido, sea la norma legal o reglamentaria, el art. 8 de la LOPDD, al referirse a la norma reguladora del tratamiento, indica los contenidos que pueden ser incorporados a dicha base de tratamiento, a saber: i) las condiciones generales del tratamiento y los tipos de datos objeto de mismo; ii) las cesiones que procedan como consecuencia del cumplimiento de la obligación, y iii) las condiciones especiales aplicables al tratamiento (medidas adicionales de seguridad u otras del cap. IV del RGPD).

No se puede obviar que también en aquellos supuestos en que el tratamiento se base en el interés público o en el ejercicio de poderes públicos, donde podrían tener cabida actuaciones automatizadas y elaboración de perfiles no publicados mediante resolución, será necesaria la elaboración de una EIPD antes de poner en marcha el tratamiento de datos, en la que habrá de identificarse igualmente la norma legal que regula la competencia del órgano que realiza el tratamiento de los datos personales.

4.2. La descripción de las operaciones y su finalidad

La EIPD ha de incorporar como parte de su contenido una descripción sistemática de los tratamientos, identificando las fases que permiten seguir el ciclo vital de los datos.

Esta tarea descriptiva implica ir más allá de una simple constatación de la existencia de medios tecnológicos. Sin embargo, no es lo que acontece en el ámbito de la aplicación de los tributos, donde la actividad comunicativa de la Administración tributaria española se reduce a constatar la existencia de tecnología avanzada a través de sus planes estratégicos, así como en los planes de control tributario publicados anualmente en el BOE. Para conocer algunos detalles de estos recursos hay que acudir a vías indirectas, como es el caso de los pliegos de licitación en los que se especifican las condiciones y requerimientos para la contratación de los servicios de mantenimiento de las herramientas informáticas (48) . En esta línea, resulta llamativo que el último plan estratégico publicado por la Agencia Tributaria, referido al período 2024-2027, así como en la estrategia de IA 2024, lejos de proporcionar una explicación sobre el funcionamiento del ecosistema tecnológico acorde con las exigencias de transparencia expuestas, centre la atención en subrayar que, en el momento actual, la Agencia Tributaria no utiliza inteligencia artificial porque todos sus recursos tecnológicos precisan de la intervención humana, limitándose a explicitar los postulados de buena gobernanza que inspirarán los futuros avances tecnológicos.

La experiencia italiana contrasta con la realidad descrita por nuestra Agencia Tributaria en dichos documentos. Y esta diferencia adquiere interés porque evidencia que los avances tecnológicos pueden realizarse con respeto a los derechos fundamentales. En Italia se ha conseguido proporcionar una descripción en términos comprensibles del uso de técnicas y modelos de análisis (deterministas (49) y/o estocásticos (50) ) que manejan grandes volúmenes de datos y que, dado que responden a estándares internacionales, dan una idea del tipo de tratamientos que pueden llevarse a cabo por parte las autoridades fiscales, y que incluyen desarrollos de inteligencia artificial.

El ejercicio de transparencia por parte de las autoridades italianas, sin duda impulsado por la acción vigilante de la autoridad de control en materia de protección de datos, permite comprobar la adecuación del tratamiento de los datos con la concreta finalidad del tratamiento, cual es la selección de los contribuyentes que serán sometidos a los procedimientos de control tradicionales y/o a los mecanismos de cumplimento espontáneo mediante el envío de cartas de invitación. Se trata de una formulación amplia de la finalidad del tratamiento, pero algo más concreta que la referencia abstracta a la lucha contra el fraude fiscal o a la eficaz aplicación del sistema tributario utilizada por la AEAT en la información sobre protección de datos suministrada a través de la web institucional.

La base legal de tratamiento demanda una delimitación clara de los fines para los que se pretende la recopilación, el almacenamiento, el uso o la comunicación de datos. Esta información debe ser proporcionada a los interesados (arts. 13 y 14 RGPD), recogiéndose en el registro de actividades de tratamiento. No se trata una mera formalidad, sino de dar cumplimiento al principio de finalidad mediante información que ha de ser «concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo».

A tal efecto, la Comisión Europea ha fijado el criterio SMART, según el cual habrá que valorar si los fines son: i) específicos (lo suficientemente precisos y concretos, como puede ser un objetivo de interés general reconocido por la Unión o la necesidad de proteger los derechos y libertades dentro de una sociedad democrática); ii) medibles (51) ; iii) alcanzables; iv) realistas; y v) delimitados en el tiempo.

Adicionalmente, esa finalidad debe ser definida con lealtad (arts. 5.1 RGPD y 6.1.a) LOPDGDD), de manera que el tratamiento responda a la finalidad declarada. Por lo que no se cumpliría tal requerimiento cuando el tratamiento no respondiera al fin declarado, sino a un propósito diferente. El problema se ha planteado, precisamente, con la información generada a partir del sistema de facturación electrónica para reducir la morosidad, pues tal finalidad específica impide que estos datos sean aprovechados por la Administración tributaria para monitorizar los ingresos y gastos de los contribuyentes. Salvo que se haya recogido expresamente tal fin en la norma específica que establece dicho sistema de facturación -lo que no se había previsto en la norma reguladora de este mecanismo-, los datos relativos a las personas físicas contenidos en las facturas no pueden ser tratados para fines fiscales. Tales prácticas supondrían una vulneración del derecho a la protección de datos personales.

La situación descrita explica el recorrido seguido con las modificaciones que, en materia de facturación electrónica, se han producido en la Ley de Medidas de Impulso de la Sociedad de la Información (Ley 56/2007, de 28 de diciembre). Como es sabido, la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas (la denominada «Ley Crea y Crece») (52) , introduce en la antedicha Ley de 2007 la obligatoriedad de la facturación electrónica para todos los empresarios, cualquiera que sea su forma jurídica, en sus relaciones con otros empresarios (operaciones conocidas por la expresión Business to Business, o por sus siglas B2B), con la concreta finalidad de mejorar la eficiencia empresarial, permitiendo el control de los plazos de pago a partir del dato del pago completo de las facturas (53) . Y, aunque se trata de una finalidad estrictamente mercantil, se faculta a la Agencia Tributaria para el desarrollo tecnológico de la «solución pública de facturación electrónica», concebida como una plataforma de intercambio de facturas en la sede electrónica para facilitar a las empresas la confección en línea y remisión de facturas electrónicas, integrando al mismo tiempo un sistema para el control de los pagos a partir de la información sobre el pago completo de las facturas. Este marco regulatorio es una base legal de tratamiento de datos con una finalidad concreta, pero que no legitima a la Administración tributaria para tratar los datos personales con fines fiscales. Pues bien, el escenario cambia radicalmente con una nueva modificación en la meritada Ley de Medidas de Impulso de la Sociedad de la Información por la disp. final duodécima de la Ley 7/2024, de 20 de diciembre (54) , puesto que se añade a la primigenia finalidad la posibilidad del uso de los datos por la Administración tributaria para la aplicación del sistema tributario y aduanero. Como se lee en su apartado 4, «los datos almacenados en la solución pública de facturación electrónica tendrán el carácter reservado y estarán sometidos a las medidas necesarias para garantizar su confidencialidad y uso adecuado previstas en el art. 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria para los datos con trascendencia tributaria. Solo podrán ser utilizados para los fines previstos en la presente ley, y para la efectiva aplicación del sistema tributario y aduanero, y la gestión de los demás recursos que tiene encomendada la Agencia Estatal de Administración Tributaria y, mediante la correspondiente cesión conforme al art. 95 de la Ley 58/2003, de 27 de diciembre, General Tributaria, para la efectiva aplicación de los tributos o recursos cuya gestión compete a las Administraciones tributarias de los Territorios Históricos de la Comunidad Autónoma del País Vasco y de la Comunidad Foral de Navarra y las demás Administraciones tributarias. Fuera del caso anterior, solo podrán ser cedidos o comunicados a terceros en los supuestos y con las condiciones previstas en el ar 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria».

En este caso, existe una base legal de tratamiento para la Agencia Tributaria, pero la amplitud de la finalidad del tratamiento, abierta a la aplicación del sistema tributario y aduanero, resulta difícil de conciliar con las exigencias del derecho fundamental a la protección de datos.

Nótese que las finalidades señaladas en esta norma no se pueden confundir con los fines perseguidos por los sistemas de suministro de información vigentes en materia fiscal, ni con las modificaciones proyectadas en el marco de la Directiva 2006/112/CE como consecuencia del proyecto VAT in the Digital Age (ViDA). Ello significa que habrá que estar a lo que dispongan estas normas tributarias a efectos de legitimar el uso de esta información por parte de la Agencia Tributaria.

En relación con el IVA, resulta de interés la polémica suscitada en Italia con ocasión del proyecto de ley que regulaba el sistema de facturación electrónica, en el que se autorizaba a la Administración tributaria al tratamiento de los datos contenidos en las facturas con fines fiscales, lo que fue reprobado por la autoridad de control, y dio lugar a que se limitara finalmente la finalidad del tratamiento realizado por la Administración tributaria a concretas actuaciones de control dirigidas a prevenir y combatir el fraude fiscal en el marco del Impuesto sobre el Valor Añadido, sin que pudiera extenderse al control sobre los consumidores finales, salvo algunos casos (p.ej., blanqueo de capitales). Piénsese que las facturas pueden contener datos personales relacionados con los gastos de estos colectivos de contribuyentes. susceptibles de ser utilizados por el algoritmo, y que pueden generar errores en la reconstrucción de la capacidad contributiva de las personas físicas (55) .

Lo ocurrido en el país vecino da una idea de la importancia que, para los derechos de los ciudadanos, tiene la determinación de la finalidad del tratamiento y, asimismo, de los riesgos que entraña el uso de fórmulas genéricas como las utilizadas por el legislador español en relación con el tratamiento de los datos personales almacenados en la solución pública de facturación electrónica.

4.3. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad

Uno de los contenidos de la EIPD exigido por el RGPD (art. 35.7) es que se realice «una evaluación de la necesidad y la proporcionalidad de las operaciones en cuanto a su finalidad». Para llevar a cabo tal actuación (56) es necesario adentrarse en el contenido jurídico del derecho fundamental a la protección de datos, sin olvidar que es un derecho concurrente con otros derechos y libertades fundamentales (57) , y, asimismo, analizar el tratamiento de datos que se pretende llevar a cabo desde los parámetros del principio de proporcionalidad.

Pues bien, es sabido que el derecho a la protección de datos, estrechamente ligado al derecho al respeto a la vida privada y familiar, proporciona a las personas físicas el control de sus datos, protegiéndolas ante el uso desviado de los mismos. A tal fin van dirigidos los derechos comprendidos en los arts. 13 a21 del RGPD (información y acceso, rectificación, supresión —derecho al olvido—, limitación de tratamiento, portabilidad y oposición), así como la prohibición general de las decisiones automatizadas contenida en el art. 22.1 de dicho cuerpo normativo (58) .

Si consideramos este contenido como el núcleo de este derecho fundamental, también se ha de tener en cuenta que la jurisprudencia, en sus distintos órdenes —internacional (59) , europeo (60) y constitucional (61) —, viene reiterando que los derechos fundamentales no son absolutos, y, por tanto, pueden verse sometidos a límites. El RGPD admite posibles limitaciones, incorporando la materia fiscal entre los supuestos que justifican la injerencia de la autoridad pública en el derecho fundamental. Ahora bien, también es claro el precepto en cuanto a que esas limitaciones deben venir establecidas mediante una norma legal, siempre que: i) dicha limitación responda a un interés general, ii) los requisitos y el alcance de la restricción estén suficientemente precisados en la ley, y iii) responda al principio de proporcionalidad.

Así pues, la previsión legal y la legitimidad del fin perseguido son requisitos necesarios, pero no suficientes para fundamentar la validez constitucional de una regulación del tratamiento de los datos. Desde este punto de vista, el tratamiento ha de ser necesario y proporcionado y, para cumplir con estas exigencias, la injerencia ha de ir acompañada de medidas que mitiguen los riesgos que dicha actuación puede suponer para los derechos y libertades de los ciudadanos.

La STC 76/2019 incide en la necesidad de adoptar «garantías adecuadas», lo que significa la adopción de medidas que «deben velar por que el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva».

El pronunciamiento del Tribunal Constitucional pone de manifiesto las carencias en el marco regulatorio de los tratamientos de datos en materia tributaria, habida cuenta que esas garantías «deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado» (62) .

Estas carencias resultan patentes a la vista de la regulación del tratamiento de datos personales generados por las facturas electrónicas por parte de la AEAT. En efecto, la disp.. adic. vigesimoprimera, introducida en la Ley de Medidas de Impulso de la Sociedad de la Información por la Ley 7/2024 (disp.. final duodécima), representa un nuevo modo de legislar, en el que —con más o menos acierto— se tienen en cuenta estas exigencias constitucionales; su apartado 6 dispone que la Agencia Tributaria «adoptará las garantías adecuadas para los derechos y libertades de los interesados», haciendo mención a las medidas para garantizar el principio de minimización de los datos personales atendidos los fines perseguidos por la solución pública de facturación electrónica, y la adopción de medidas de seguridad mediante restricciones del acceso y cesión de los datos.

Sin entrar ahora en la valoración de estas medidas, la norma citada marca el camino para el legislador tributario de cara a futuros desarrollos normativos. Dicho esto. la EIPD se muestra como una herramienta útil a efectos de proporcionar un tratamiento de datos acorde con las exigencias expresadas; es decir, garantizando que la medida restrictiva del derecho fundamental respeta su contenido esencial (63) y no queda vacío como consecuencia de su actuación en el tratamiento de los datos de carácter personal (64) . También en el ámbito tributario.

Si volvemos sobre la base de datos única utilizada por la Agencia Tributaria, la creación y alimentación de esta herramienta supone el tratamiento de ingentes cantidades de datos de los contribuyentes que tienen que ver con distintos aspectos de sus vidas (identidad, familiares, patrimoniales, financieros, etc.) procedentes de diversas fuentes internas y externas. En alguna hoja de licitación elaborada por dicha entidad se desliza, a título informativo, que «los sistemas de análisis de la información de la AEAT manejan datos de 10 ejercicios, con más de 200 conceptos, 30.000 dimensiones, 50 millones de contribuyentes, más de 5.000 millones de registros y 2 billones de celdas» (65)

El tratamiento de estos grandes volúmenes de datos exige, por un lado, ponderar si las limitaciones a los derechos de los ciudadanos respetan la esencia de los derechos y libertades fundamentales y constituyen una medida necesaria y proporcionada en una sociedad democrática (art. 23.1 RGPD). Y, por otro, valorar si las garantías adoptadas son adecuadas para prevenir abusos o el acceso y cesión ilícitos en relación con los riesgos que representa el tratamiento de datos (art. 23.2 RGPD), teniendo en cuenta que la Administración tributaria lleva a cabo una valoración sistemática y global de aspectos personales de los interesados, basada en tratamientos automáticos —supervisados o no por personas—, incluyendo el perfilado, sobre la cual se toman decisiones que tienen efectos jurídicos o inciden de modo análogo significativamente sobre las personas (art. 35.2.a) RGPD).

En particular, como se enfatiza en el considerado 71 del RGPD, cuando se incorporen tratamientos automatizados, y se adopten decisiones automatizadas (66) basadas en tal tratamiento, incluida la elaboración de perfiles, con fines de control y prevención del fraude y la evasión fiscal, dicho tratamiento «debe estar sujeto a garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión». Añadiendo que «tal medida no debe afectar a un menor».

En este contexto, ¿qué puede proporcionar la EIPD?

La evaluación de impacto ha de conseguir que, con arreglo a los principios de necesidad y proporcionalidad, se definan específicamente las limitaciones y la modalidad de ejercicio de los derechos atribuidos a los interesados en los arts. 15, 1718 y 21 del RGPD, de modo que su ejercicio no suponga un perjuicio para los objetivos de interés público perseguidos por la Administración tributaria. Y, asimismo, debe contemplar las medidas adecuadas para la tutela de los derechos y libertades de los interesados, incluidas las medidas de seguridad, y los controles de calidad de los datos y sobre la lógica utilizada por los modelos analíticos utilizados. En definitiva, la EIPD debe dar respuesta a estas cuestiones: ¿en qué consiste el tratamiento de datos?, ¿dónde se regula?, ¿qué derechos resultan limitados?, y ¿qué medidas se han adoptado para asegurar la esencia de los derechos y libertades de los interesados?

Para el ejercicio de los derechos de los interesados, como señala OLIVARES OLIVARES (67) , resulta fundamental el cumplimiento de los deberes de información establecidos en los arts. 13 y 14 del RGPD, y que son exigibles a cualquier tratamiento de datos personales subyacente a la toma de decisiones automatizadas y a la elaboración de perfiles, independientemente de si se trata de una decisión automatizada o no.

La experiencia italiana, no exenta de aspectos críticos en los que se ha de seguir avanzando (68) , abre camino en el desarrollo de buenas prácticas en el tratamiento de los datos por las administraciones tributarias. En concreto, la intervención del Garante per la protezione dei dati personali (del denominado Garante della privacy) permite apreciar la relevancia otorgada la evaluación que la autoridad tributaria debe desarrollar, en clave de necesidad y proporcionalidad, respecto de la calidad de los datos, la utilización de técnicas de inteligencia artificial, y las limitaciones de los derechos de los interesados (69) .

4.3.1. Calidad del dato

La calidad del dato obliga a establecer medidas que garanticen que sean tratados exclusivamente los datos personales indispensables, y que se lleven a cabo los tratamientos estrictamente necesarios para las finalidades del tratamiento, dando cumplimiento al principio de minimización de datos formulado en el art. 5.1.c) RGPD.

Para atender a esta exigencia, ya desde la fase temprana de recogida de los datos, sea cual sea la metodología seguida (70) , el responsable del tratamiento debe adoptar medidas para garantizar la exactitud y la trazabilidad de los datos, asegurando una actividad de supervisión de la calidad de los datos en los procesos informáticos que excluya el tratamiento de datos anómalos.

Bajo los parámetros de necesidad y proporcionalidad, se puede sostener que los riesgos del tratamiento para la protección del derecho fundamental en esta fase temprana del tratamiento se mitigan fijando un doble objetivo: por un lado, la identificación de aquellas situaciones que se pueden considerar de riesgo fiscal alto; y por otro, la exclusión de la selección de contribuyentes de aquellos individuos que presentan incongruencias susceptibles de ser explicadas ya en la fase de análisis de datos, o bien que no resultan significativas.

También se han de adoptar medidas encaminadas a evitar resultados discriminatorios respecto de determinados grupos de individuos identificados, directa o indirectamente, por características relacionas con la nacionalidad, orientación sexual, ideológica o religiosa, esto es, con las categorías especiales de datos a las que se refiere el art. 9 del RGPD. Ello implica, por ejemplo, que cuando se utilizan variables geográficas a partir de los datos censales de los contribuyentes (nacimiento, residencia, domicilio), en ningún caso se pueda tener en cuenta la nacionalidad. Igualmente, han de quedar excluidos los datos relativos a condenas penales y delitos (art. 10 RGPD) y, respecto de los datos de menores de edad, la mayor protección que imponen las normas reguladoras de la protección de datos implica la adopción de medidas que garanticen la seudonimización para que el tratamiento de datos no derive en una acción de control dirigida a dichos individuos.

Este enfoque en la depuración de la calidad de los datos objeto de análisis por las autoridades tributarias está presente en la evaluación de impacto italiana, aunque ya se había planteado con anterioridad a propósito de la regulación del sistema de facturación electrónica en este país. Siguiendo con lo ya avanzado en páginas anteriores, mediante la intervención de la autoridad de control en materia de protección de datos (Garante della privacy) se consiguió que la Administración tributaria excluyera el tratamiento de la información contenida en las facturas en relación con determinados datos relativos a los consumidores finales (naturaleza, calidad y cantidad de los bienes y servicios objeto de la operación y de la modalidad de pago). Siguiendo este precedente, la evaluación de impacto sienta como pauta general la exclusión en el tratamiento de aquellos datos no estrictamente necesarios para la finalidad a la que van dirigidos los modelos de análisis (71) .

Para asegurar que los datos son exactos, completos y actuales es fundamental que quede garantizada la intervención humana en los procesos de análisis. La evaluación de impacto de la Agencia tributaria italiana permite apreciar las distintas soluciones adoptadas en atención a la finalidad del tratamiento. Por ejemplo, en relación con el proceso de estímulo del cumplimiento espontáneo, la creación de la lista de contribuyentes destinatarios de las cartas de invitación precisa de la intervención del personal administrativo en tres fases: i) la individualización de los criterios de riesgo, ii) la verificación de la presencia del riesgo individualizado en una cohorte de contribuyentes, y iii) el control preventivo de los resultados de análisis.

Cuando se trata de la actividad de control, la otra finalidad a la que ha de servir la actividad de tratamiento de datos, la elaboración de la lista de contribuyentes se realiza por los servicios administrativos, esto es, existe una acción humana. En este tipo de actuaciones, las herramientas informáticas facilitan a los órganos administrativos la integración de la información recibida con aquella que ya tienen a su disposición a efectos de que, tras un proceso de análisis, se proceda a la selección de la muestra que ha de ser sometida a control. Ahora bien, también se evidencia en el caso italiano, que no basta con establecer un entorno que permita la supervisión humana, sino que también hay que asegurar que esta sea eficaz. Ello implica que se ha de contemplar la hipótesis de que los actuarios consideren más prudente no oponerse a los resultados algorítmicos, pues en tal escenario quedarían anuladas las medidas de supervisión. La evaluación de impacto debe tratar este eventual riesgo para la protección de datos y señalar garantías para mitigarlo, por ejemplo, asegurando que el personal implicado en estos procesos cuente con la formación adecuada para conocer la capacidad y los límites del componente tecnológico, así como para la debida monitorización de su funcionamiento a fin de identificar posibles anomalías o disfunciones que pudieran tener consecuencias en la toma de decisiones sobre situaciones individuales.

En último término, la calidad del dato, como contenido del principio de minimización, obliga a introducir límites en cuanto a la conservación de los datos. Ahora bien, la concreción de este aspecto temporal no está exenta de polémica, por un lado, a la hora de establecer el marco temporal en el que podrá ser tratada la información, y, por otra parte, porque este aspecto se conecta con el ejercicio del derecho de acceso que puedan ejercitar aquellos contribuyentes que no resultan destinatarios de la actividad de control, pues no podrán solicitar información una vez vencido el plazo indicado.

La limitación del plazo de conservación (art. 5.1.c) RGPD) (72) es otro de los aspectos críticos de los tratamientos de datos que realizan las administraciones tributarias. La intervención de autoridad de control italiana ha sido decisiva para rectificar el plazo de 10 años previsto inicialmente para estas operaciones en materia tributaria. La solución contemplada en la evaluación de impacto analizada permite advertir que la información contenida en su dataset se conserva hasta el segundo año sucesivo a la terminación del plazo para el ejercicio de su potestad impositiva y, asimismo, hasta el final de los eventuales procedimientos judiciales. También se deslizan algunas referencias a la adopción de medidas más concretas en función de la naturaleza de los datos tratados en el extracto publicado por la Agenzie delle entrate. Aunque no se puede profundizar en este aspecto, el ejemplo italiano es útil a los efectos que aquí interesan, pues contrasta con el déficit de información observada en el caso de la Agencia Tributaria.

En los estudios jurídicos utilizados para documentar estas páginas suele destacarse, por ser más garantista, el modelo seguido en algunos de los tratamientos de datos que se han puesto en marcha Francia, a veces a modo de proyecto experimental. En síntesis, en este país se adopta como pauta general la conservación de los datos tratados durante un plazo de 10 años, si bien existen parcelas en las que se reduce este marco temporal y, por ejemplo, para los datos recogidos de fuentes redes sociales y plataformas digitales, los plazos puede ser de treinta días, un año o hasta que termine el procedimiento (73) .

La Agencia Tributaria española, como se ha dicho, no proporciona una información clara y precisa sobre esta cuestión. En general, se limita a decir que «los datos recabados no se borrarán y permanecerán en las bases de datos de la Agencia Estatal de Administración Tributaria (AEAT) para poder dar cobertura a posibles requerimientos legales u otro tipo de reclamaciones que puedan surgir». Por vía indirecta, en los criterios publicados a efectos de licitación de los servicios de mantenimiento de sus herramientas, especifica que «los sistemas de análisis de la información de la AEAT manejan datos de 10 ejercicios». La falta de información sobre este aspecto impide la realización efectiva del derecho de los contribuyentes al control de sus datos. Parece lógico que se distinga entre los plazos de conservación de los datos y los de tratamiento de los mismos. Si los primeros han de atender al destino del dato (archivo, estadística o investigación), su tratamiento ha de ponerse en relación con las finalidades específicas definidas en la base de tratamiento y los plazos dados por el legislador para el ejercicio de las potestades administrativas para liquidar y recaudar (74) . En todo caso, se trata de una cuestión que, como bien apunta GARCÍA MARTÍNEZ (75) , no puede dejarse a la discrecionalidad administrativa ni debe quedar en el limbo jurídico de la falta de regulación expresa.

En este sentido, de nuevo se ha de mencionar la disp. adicional vigesimoprimera añadida a la Ley de Medidas de Impulso de la Sociedad de la Información, que, en relación con el tratamiento de los datos personales generados por la solución pública de facturación electrónica, establece en su apartado 5 que las facturas y la información relativa a las mismas, almacenadas en dicha solución tecnológica, se conservarán según lo previsto en la LGT, sin que en ningún caso el plazo pueda superar los doce años. La incorporación de este límite temporal —aunque no es suficiente— representa el cambio de rumbo del legislador tributario a la hora de afrontar el tratamiento masivo de datos personales.

4.3.2. Uso de técnicas de IA

Como ya se ha dicho, la Agencia Tributaria viene anunciando que en un futuro próximo utilizará herramientas de IA. Ante este escenario próximo, resulta igualmente útil la experiencia de la evaluación de impacto publicada por su homóloga, la Agenzia delle entrate, porque da una idea de lo que se puede esperar de cara a un uso razonable de la IA en la aplicación de los tributos.

La autoridad de control italiana ha confirmado que, dada la relevancia de la finalidad perseguida por la Agencia tributaria en su actividad de análisis, queda justificado el recurso a técnicas de IA para definir perfiles de elevado riesgo fiscal sobre los que dirigir las actuaciones de control y, en su caso, las medidas de estímulo del cumplimiento espontáneo de las obligaciones tributarias. Pero el uso de estas herramientas conlleva la adopción de medidas específicas y garantías para la tutela de los interesados, que incorporen tres principios básicos reconocidos jurisprudencialmente (76) :

a) El principio de conocimiento, en cuya virtud se reconoce al interesado el derecho a conocer la existencia de procesos decisionales basados en tratamientos automatizados y, en relación con ellos, a recibir una información significativa sobre la lógica utilizada en términos comprensibles.

2) El principio de no exclusividad de la decisión algorítmica, según el cual debe existir una intervención humana capaz de controlar, validar o desconocer la decisión automática.

3) El principio de no discriminación algorítmica, según el cual el titular del tratamiento debe incorporar las medidas técnicas y organizativas adecuadas para minimizar el riesgo de errores y para garantizar la seguridad de los datos personales.

En relación con la transparencia del tratamiento resulta de interés la posición del Garante della privacy porque, teniendo en cuenta las líneas del marco regulatorio de la IA y las recomendaciones de la OCDE para un desarrollo antropocéntrico de la IA (77) , pone el acento en el art. 35.9 del RGPD, que exige al responsable del tratamiento que, en el caso de tratamientos automatizados, recabe la opinión de los interesados o de sus representantes a efectos de que queden protegidos los intereses comerciales o públicos y la seguridad del tratamiento. En el caso de la Administración tributaria, esta consulta es especialmente relevante, dada la amplitud de los sujetos afectados por el tratamiento (tendencialmente universal), por lo que, con arreglo al principio de licitud, lealtad y transparencia (art. 5.1.a) RGPD), en relación con los principios de colaboración y buena fe reconocidos en el Estatuto de los derechos del contribuyente, realiza dos recomendaciones: 1) que se consulte a los sujetos interesados, a través de las asociaciones representativas y colegios profesionales, y se tenga en cuenta en la actualización de la evaluación de impacto; y 2) que se publique la evaluación de impacto sobre la protección de los datos como medida de buenas prácticas recomendada por el GT29 en sus orientaciones para la elaboración de la evaluación de impacto (78) .

Los argumentos del Garante italiano y las soluciones propuestas son perfectamente extrapolables a la realidad española, por lo que, ante el anuncio de la Agencia tributaria de la inminente puesta en marcha de herramientas de inteligencia artificial, sería deseable que se adoptaran estas medidas.

4.3.3. Salvaguardas

La EIPD, como se ha visto, es un instrumento útil para que se adopten medidas específicas ante el impacto de las técnicas de IA en los derechos y libertades de los ciudadanos.

Uno de los principales riesgos que presentan los modelos de análisis basados en técnicas de machine learning es la potencial opacidad en la fase de desarrollo del algoritmo, dando lugar a errores y distorsiones de distinta naturaleza. Estos sesgos son difíciles de identificar y corregir, debido a los grandes volúmenes de datos manejados, por lo que en el momento de la creación del dataset de análisis se deben adoptar medidas para mitigar el riesgo para los derechos y libertades de los interesados, lo que se consigue evidenciando en el sistema de cumplimiento las métricas seguidas para valorar el modelo de análisis utilizado, las comprobaciones realizadas para evitar la presencia de eventuales sesgos y las medidas correctivas establecidas.

Las medidas que pueden ser adoptadas son de variada naturaleza; entre otras, merecen especial interés las siguientes:

• — Que se traten exclusivamente los datos personales indispensables para efectuar las operaciones de tratamiento estrictamente necesarias en cumplimiento de las finalidades especificadas normativamente. Esto es, con respeto a los principios del art. 5 del RGPD.
• — La adopción de todas las medidas necesarias para excluir los datos personales inexactos o no actualizados en los tratamientos que comporten un análisis de riesgos fiscales.
• — La adopción de las medidas técnicas y organizativas idóneas para garantizar la confidencialidad, la integridad, la disponibilidad de los datos y la seguridad de los sistemas, asegurando que los datos utilizados son actuales, coherentes y completos en el sentido del art. 32 del RGPD.
• — La adopción de técnicas de seudonimización de los datos tratados a efectos de determinar posiciones de riesgo fiscal, limitando los riesgos de injerencia frente a contribuyentes que no presentan riesgo fiscal significativo, así como el riesgo de error en la representación de la capacidad económica de los interesados o de que sean utilizados para finalidades distintas.
• — La adopción de medidas para reducir el riesgo de accesos no autorizados, de modo que el acceso informático solo sea posible a las personas específicamente autorizadas. Y, a tal efecto, que se lleve a cabo un sistema de control de accesos que permite verificar, incluso a posterior, la trazabilidad de las operaciones realizadas.
• — Garantizar la correcta aplicación de los modelos de análisis y la coherencia de los resultados del tratamiento.
• — La revisión periódica y actualización de la EIPD en el sentido del art. 35 RGPD.

5. Mecanismos de reacción ante posibles vulneraciones de la normativa de protección de datos

La Administración tributaria, conforme al principio de responsabilidad proactiva, es responsable del cumplimiento del RGPD y la LOPDGDD, y debe demostrarlo, correspondiéndole la carga de la prueba (79) .

Pues bien, el art. 8.3 de la Carta de Derechos Fundamentales de la Unión Europea dispone que el respeto de las normas sobre protección de datos de carácter personal está sujeto al control de una autoridad independiente. Esta obligación derivada del Derecho primario implica que corresponde a la autoridad de control la supervisión de la aplicación del Reglamento y hacerlo aplicar (80) .

En particular, cuando el tratamiento de datos requiera una EIPD de acuerdo con lo previsto en el art. 35.1, 3 y 4 del RGPD, y el titular del tratamiento la lleve a cabo de forma incorrecta (art. 35. 2, 7, 8 y 9 y art. 73.t) LOPDGDD), o bien no consulte a la autoridad de control competente cuando sea necesario [art. 36.3.e) RGPD y art. 73.u) LOPDDGDD], tales incumplimientos pueden dar lugar a una multa administrativa.

Si, como se ha visto, no existe obligación de publicar la EIPD, de partida, será difícil que un afectado pueda identificar que sus datos personales están siendo tratados ilícitamente por parte de la Administración tributaria y, de manera fundada, formular una reclamación ante la AEPD (81) . Por otro lado, el RGPD faculta a los Estados miembros para que determinen si se puede, y en qué medida, imponer multas administrativas a las autoridades y organismos públicos de dicho Estado miembro, lo que en la LOPDGDD se concreta en que, de identificarse un incumplimiento, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido (art. 77.2).

5.1. Supervisión de oficio por la autoridad de control nacional

La autoridad de control, dentro de sus facultades, puede realizar informes, entre otras cuestiones, para responder a las consultas planteadas por los responsables del tratamiento (82) , así como llevar a cabo actuaciones de supervisión. Esta potestad supervisora responde en buena medida a la tramitación de las reclamaciones planteadas por los afectados. Aunque el número de entradas por este cauce presenta una tendencia creciente, lo cierto es que las operaciones de tratamiento de la Agencia Tributaria no representan un foco de conflictividad a la vista del análisis estadístico realizado por la autoridad de control (83) .

Aunque las reclamaciones son la vía más común para que un ciudadano pueda solicitar la intervención de la autoridad de control, cabe insistir en que las autoridades de control de los Estados miembros están facultadas para controlar la aplicación del RGPD y hacerlo aplicar [art. 57.1.a) de dicha norma europea]. Esto significa que, si el interesado no goza de un nivel de protección adecuado, dicha entidad supervisora está obligada, según el Derecho de la Unión, a reaccionar de modo apropiado con el fin de subsanar la insuficiencia detectada con independencia del origen o de la naturaleza de dicha insuficiencia, aplicando los poderes correctivos formulados en el art. 58.2 del RGPD.

Este precepto, como se advierte en la sentencia TJUE de 14 de marzo de 2024, C-46/2023, Budapest Föváros IV, a propósito de una controversia relacionada con el derecho de supresión (derecho al olvido), establece una distinción entre los poderes correctivos que pueden ejercitarse de oficio y aquellos que solo pueden activarse tras la solicitud presentada por el interesado para ejercer sus derechos.

El TJUE señala que, tal como está formulado el «derecho al olvido» en el art. 17 del Reglamento, se ha de admitir que hay situaciones en las que la autoridad de control puede intervenir porque el interesado «no ha sido informado de que están siendo tratados datos personales que le conciernen, de manera que el responsable del tratamiento es el único que puede comprobar la existencia de tal tratamiento». Eso ocurre precisamente cuando tales datos hayan sido tratados ilícitamente. En los apartados 39 y 40 de la sentencia, se insiste en que no se puede perder de vista que, con arreglo al art. 5 del Reglamento, el responsable del tratamiento «debe cercionarse, en particular, de la licitud del tratamiento de datos que efectúa», y que, como se desprende del considerando 129 del RGPD, la intervención de las autoridades de control nacionales garantiza la conformidad del tratamiento a lo dispuesto a dicho marco regulatorio.

Por lo que hace a las medidas correctivas, señala el Tribunal de Luxemburgo que corresponde a la autoridad de control la elección del medio adecuado y necesario, para lo que habrá de tomar en consideración todas las circunstancias del caso concreto. En este punto, en los apartados 41 y 42 de la sentencia, dejan claro que la autoridad de control está obligada a llevar a cabo con toda la diligencia exigible su misión de velar por el pleno cumplimiento del RGPD (84) . Por consiguiente, «cuando dicha autoridad considere, al finalizar su investigación, que ese tratamiento no cumple las exigencias del citado Reglamento, está obligada, según el Derecho de la Unión, a adoptar las medidas adecuadas para subsanar la infracción detectada, con independencia de la solicitud presentada por el interesado para ejercer sus derechos…».

A mayor abundamiento, el TJUE sostiene que una interpretación contraria a la expresada, en la que la acción de la autoridad de control quedara supeditada a la solicitud del afectado en ejercicio de sus derechos, pondría en peligro la consecución de los objetivos del marco regulatorio para la protección del derecho fundamental a la protección de los datos personales consagrado por el art. 8.1 de la Carta de Derechos Fundamentales y art. 16.1 del Tratado de Funcionamiento de la Unión Europea.

En el caso controvertido, la autoridad de control húngara, alertada por una denuncia, inició una investigación de oficio frente a la Administración de Újpest respecto de la base de datos creada para la concesión de una ayuda económica a los residentes que pertenecieran a alguna categoría de personas vulnerables a causa de la pandemia COVID-19. Como resultado de la investigación realizada pudo comprobar que los decretos que regulaban el programa de ayudas fijaban los criterios de admisibilidad para optar a la ayuda. Para verificar el cumplimiento de los requisitos fijados por la norma, los servicios administrativos acudieron al Tesoro Público Húngaro con el fin de obtener los datos personales necesarios, lo cuales fueron agregados a una base de datos diseñada para ejecutar dicho programa de ayudas, creando un identificador y un código de barras para cada conjunto de datos. Pues bien, la autoridad de control comprobó que la Administración regional no había informado a los interesados de las categorías de datos tratados, ni de los fines del tratamiento en cuestión, ni de los procedimientos mediante los cuales estas personas podían ejercer sus derechos a este respecto. En este caso, las medidas correctivas adoptadas consistieron en la supresión de los datos personales de las personas que habrían tenido derecho a la ayuda y que no la habían solicitado. Y, asimismo, se condenó a ambas entidades administrativas a una multa.

La sentencia es relevante en cuanto viene a fortalecer la posición de la autoridad de control ante los tratamientos de datos masivos que llevan a cabo las administraciones públicas, un espacio en el que los afectados no siempre disponen en la información adecuada sobre el alcance de los tratamientos de datos. Esto ocurre en el caso de la Administración tributaria y sin perjuicio de que la legalidad de su actuación tenga amparo en la misión de interés general desarrollada (la eficaz aplicación del sistema tributario y aduanero) y el secreto tributario en materia de datos que resulta del art. 95 de la LGT y art. 170.7 del RGAT.

Estos preceptos deben ser interpretados con arreglo a la normativa de protección de datos, teniendo en cuenta que el objetivo del RGPD es garantizar la aplicación uniforme y coherente en la UE en aras de la protección efectiva de un derecho fundamental (85) . Y, tal y como se ha visto a lo largo de estas páginas, Italia es la evidencia de que la Administración tributaria ha de probar que cumple con las exigencias de la normativa europea, y que la autoridad de control debe desarrollar un papel activo en la supervisión de la actividad realizada por aquella organización administrativa en aquellos despliegues tecnológicos que incorporan datos de carácter personal relativos a los potenciales contribuyentes.

5.2. Advertencias y apercibimientos

El Título VIII de la LOPDGDD, relativo a los «Procedimientos en caso de posible vulneración de la normativa de protección de datos», establece un régimen de sanciones o actuaciones correctivas que confiere un amplio margen de apreciación a la autoridad de control. Este mandato se ha poner en relación con el RGPD, cuyo art. 58, además de las sanciones —aspecto que se remite a lo dispuesto en las normas de los Estados miembros—, contempla la posibilidad de dirigir a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el Reglamento, o bien un apercibimiento cuando tales operaciones hayan infringido sus mandatos.

En puridad, el apercibimiento está pensado para situaciones en las que no procede la imposición de una sanción, entre otras razones, por la disminuida culpabilidad del responsable o encargado del tratamiento, o bien por el carácter extraordinario de la conducta. Dicho esto, se produce la paradoja de que el apercibimiento es la máxima medida prevista en nuestro ordenamiento jurídico para reaccionar ante incumplimiento de las normas de protección datos por parte las Administraciones Públicas. A diferencia de lo que ocurre en otros Estados miembros (86) , el art. 77.2 de la LOPDGDD excluye la aplicación de multas pecuniarias a las autoridades públicas.

Tras varios años de aplicación se podría considerar como un dato positivo el escaso número de reclamaciones por incumplimientos de la Agencia Tributaria que hayan concluido con un apercibimiento. Cabe, sin embargo, una lectura es distinta, y es que, probablemente, se debe a las dudas que plantea la efectividad de este modelo de revisión de la actuación del responsable de datos cuando se trata de la Administración: en primer lugar, por la dificultad para poder determinar el correcto tratamiento de los datos ante la escasa información que puede obtener una persona física que pretenda hacer valer sus derechos ante el responsable del tratamiento. Y, en segundo lugar, porque en el caso de que llegara a admitirse la reclamación, se daría traslado de esta al delegado de protección de datos del responsable del tratamiento para solucionar el problema, y solo en caso de que en esta fase no fuera suficiente para resolver el incumplimiento, podría entonces la AEPD plantearse el inicio de un procedimiento de apercibimiento. Llegados a este punto, tras este largo camino, este procedimiento concluiría con una resolución, cuyo contenido integraría las medidas concretas para que cese la conducta, una llamada para corregir los efectos de la infracción que se hubiese cometido y, asimismo, la aportación de medios acreditativos del cumplimiento de estos requerimientos.

Cabe apuntar que el art. 77.6 de la LOPDGDD prevé la publicación en su página web de las entidades que hayan cometido infracciones en materia de protección de datos, con expresa indicación de la identidad del responsable o encargado del tratamiento. Pues bien, la visita al sitio de la web de la AEPD en el que se da cumplimiento a dicho mandato permite apreciar que los incumplimientos afectan a algunas administraciones territoriales, por no atender a los requerimientos de la autoridad de control o a las resoluciones dictadas por esta en el curso de procedimientos sancionadores (87) .

Por las razones apuntadas, los afectados intentarán utilizar otras vías para reparar la lesión producida por el uso ilícito de sus datos. El ejemplo viene dado en la resolución de la AEPD, de 6 de octubre de 2023 (n. PS/00114/2023), dictada en una de las pocas reclamaciones que han derivado en un procedimiento sancionador contra la Agencia Tributaria por infracción de las normas de protección de datos. En este caso, la Administración actuante remitió una propuesta de liquidación provisional a quien era sobrino de la reclamante, por haber sido dado de alta como sucesor de aquella en el registro de sucesores. Tanto el receptor de la notificación, a título de representante, como la afectada comunicaron los hechos a la Agencia Tributaria, que, tras analizar los hechos y detectar el error (un fallo humano al dar de alta el DNI de los afectados en el registro de sucesores (88) ), procedió a la rectificación del acto administrativo tratado, anulando la liquidación objeto de impugnación y el procedimiento sancionador asociado a la misma. La paralela reclamación por el incumplimiento del RGPD concluye con una resolución en la que, a la vista de los hechos y lo acontecido en el expediente de investigación, la responsabilidad de la reclamada viene determinada por «no haberse adoptado medidas que eviten errores como el producido», lo que constituye una vulneración del principio de confidencialidad establecido en el art. 5 del RDPD y del art. 32 del RGPD, relativo a la seguridad del tratamiento, tipificadas en los arts. 83.5.a) y 83.4.a) del citado Reglamento, con sanción de apercibimiento para la Administración actuante.

A pesar de lo anecdótico de la cuestión planteada, y el hecho de que no pueda dar lugar a la imposición de multas pecuniarias, este tipo de reclamaciones se ha de considerar un cauce necesario y útil, propiciando avances en la mejora de los tratamientos de datos. Téngase en cuenta que, además del apercibimiento, el art. 58 del RGPD, en su apartado 2, letra d), establece que la autoridad de control podrá «ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo específico…».

En el caso concreto, la AEPD no ha utilizado esta posibilidad, dándose por satisfactoria la respuesta de la Agencia Tributaria: «el reclamado ha señalado que cuenta con análisis de riesgo TI que son revisados y actualizados constantemente, que las medidas técnicas y organizativas a aplicar son el resultado de proyectos anuales, los cuales se nutren, tanto del resultado del análisis y gestión de riesgos TI especificado, como de los Mapas de Riesgos de la organización». Tras esta mínima explicación sobre la metodología utilizada, sigue diciendo que, en el caso concreto, aunque la incidencia fue debida a un error humano, la Administración tributaria considera necesario incidir en la «concienciación para mitigar y evitar en lo posible» los riesgos, y para ello aporta un «Recordatorio de las consideraciones a tener en cuenta para evitar incidencias en el alta del Registro de Sucesores con las pautas a seguir antes de proceder al alta en el Registro». La reproducción literal de estos fragmentos de la respuesta dada por el responsable del tratamiento de datos, al margen de la opinión que merezca en cuanto a la claridad de sus términos o la valoración realizada por el supervisor, tiene interés porque abre una puerta para penetrar en el arcano del uso de la IA por parte de la Agencia Tributaria.

6. A modo de conclusión

Parece adecuado concluir estas páginas con la formulación de una respuesta breve para cada una las cuestiones planteadas en la introducción:

¿El tratamiento de datos realizado por la Administración tributaria, sea o no IA, se adecúa al principio de responsabilidad proactiva y de protección de datos desde el diseño y por defecto (art. 25 RGPD)?

No, existe un amplio margen de mejora.

¿Hasta qué punto queda garantizado el cumplimiento de los principios recogidos en el art. 5.1 del RGPD (licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad) por parte de la Agencia Tributaria?

Existe un importante déficit de información que impide a los ciudadanos conocer en qué medida la actividad desarrollada por la Administración tributaria en ejercicio de sus competencias puede ir más allá de lo necesario y, de esta manera, puede suponer una lesión para sus derechos y libertades. No se puede olvidar que el control de sus datos es el primer paso para garantizar el derecho a la intimidad y la no discriminación. Una mayor transparencia es fundamental para generar un clima de confianza en la ciudadanía.

¿Podría ser requerida la Administración tributaria por la autoridad de control en materia de protección de datos (Agencia Estatal de Protección de Datos)?

El sistema de reclamaciones ante la AEPD puede ser útil como una solución que complemente los mecanismos que garantizan al ciudadano la protección efectiva de sus datos personales.

No obstante, sería deseable una mayor interacción entre la AEPD y la Agencia Tributaria. Ello implica, entre otras cosas, una mejora de los mecanismos que operan en la fase de diseño del tratamiento (consultas previas), así como en el seguimiento periódico de las operaciones de tratamiento en el marco de los poderes de supervisión que el RGPD atribuye a las autoridades de control (advertencias).

¿Qué consecuencias tendría para la Administración un eventual incumplimiento de la normativa de protección de datos?

En caso de que un ciudadano formule una reclamación ante la AEPD, excluida la posibilidad de imponer multas pecuniarias a las autoridades públicas por disposición expresa de la LOPDGDD, el incumplimiento podría dar lugar a un apercibimiento en relación con los tratamientos de datos personales que no se adecúen a las previsiones de las normas de protección de datos.

Adicionalmente, se podrán establecer medidas para que cese la conducta, se corrijan los efectos de la infracción que se hubiese cometido y, en su caso, la actuación administrativa se adecúe a las exigencias contempladas en el artículo 6.1.a) del RGPD; exigiendo, asimismo, la aportación de medios acreditativos del cumplimiento de lo requerido.

Las respuestas dadas dejan entrever que hay que seguir avanzando y optimizando los mecanismos que sirven para que la Administración tributaria demuestre su responsabilidad proactiva en el cumplimiento de las normas de protección de datos, pues a ella le corresponde probarlo. Y, en esa línea, también le corresponde demostrar que su actuación contribuye a un cumplimiento uniforme y coherente del RGPD, alineándose con las mejores prácticas en materia de protección de datos dentro de la UE.

La responsabilidad proactiva que exige el RGPD es una buena hoja de ruta para afrontar el desarrollo de una IA para la aplicación de los tributos respetuosa con los derechos y libertades de los ciudadanos.

7. Bibliografía

AEAT (2024). Plan estratégico de la Agencia Tributaria, https://sede.agenciatributaria.gob.es/static_files/Sede/Agencia_Tributaria/Planificacion/Plan_estrategico_2024_2027/PlanEstrategico2024.pdf

AEAT (2024), Estrategia de Inteligencia Artificial, (https://sede.agenciatributaria.gob.es/static_files/AEAT_Intranet/Gabinete/Estrategia_IA.pdf).

AEAT (2024), Resumen Ejecutivo Plan Estratégico 2020-2023,https://sede.agenciatributaria.gob.es/static_files/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Planificacion/PlanEstrategico2020_2023/ResumenEjecutivoPEv5.pdf.

AEPD (2020), Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción,https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf.

AEPD (2023), Orientaciones para la realización de una evaluación de impacto para la protección de datos en el desarrollo normativo,https://www.aepd.es/guias/orientaciones-evaluacion-impacto-desarrollo-normativo.pdf

AEPD (2024), Memoria 2023, p. 19, memoria-aepd-2023.pdf

GT29 (2017), Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679, WP 248, revisadas el 4 de octubre de 2017, p. 9 (https://www.aepd.es/documento/wp248rev01-es.pdf).

FERNÁNDEZ HERNÁNDEZ, C. (2023) «Una reflexión sobre el concepto de inteligencia artificial desde el punto de vista jurídico (1)», Derecho Digital e Innovación, n. 17 (LA LEY 9342/2023).

GARCÍA MARTÍNEZ. A. (2022), «La captación automatizada de información en internet para la lucha contra el fraude fiscal y los derechos y garantías de los contribuyentes La inteligencia artificial en relación entre los obligados y la Administración tributaria, La Ley, pp. 191-213.

MORENO CORTE, M. (2022), «La inteligencia artificial al servicio de la lucha contra el fraude en Francia», La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, p. 359.

OCDE (2023), Administración tributaria 2023: Información comparativa sobre la OCDE y otras economías avanzadas y emergentes, París, https://doi.org/10.1787/900b6382-en.

OLIVARES OLIVARES, B. (2022), «La teoría de las garantías adecuadas en materia de protección de datos y sus implicaciones respecto de la toma de decisiones automatizadas en la Administración tributaria», La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, pp. 240-263.

ORTOLEVA, M. (2022), «Inteligencia artificial: una herramienta ‘peligrosa’ en manos de la administración fiscal italiana para luchar contra la explotación abusiva de las deducciones fiscales», Revista Técnica Tributaria, n. 139, https://revistatecnicatributaria.com/index.php/rtt/article/view/2329.

TOMO, A. (2022), «La perspectiva italiana», La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, pp. 358-380.

PÉREZ BERNABEU, B. (2023), «Decisiones automatizadas en la Administración Tributaria», La inteligencia artificial en la relación entre obligados y la Administración tributaria, La Ley, pp. 146-162.

VVAA (2022), La inteligencia artificial en relación entre los obligados y la Administración tributaria, La Ley.

(1)

Este trabajo se enmarca en los proyectos «La potestad sancionadora de las autoridades de control en materia de protección de datos: delimitación, garantías y efectos» (ref. PID2022-139265OB-I00), y «La protección de los derechos y garantías de los contribuyentes ante el uso de la inteligencia artificial por la Administración tributaria — Garantics UMA» (PID2022-136638OB-I00), financiados por el Ministerio de Ciencia e Innovación, en el marco del Plan Estatal de Investigación Científica, Técnica y de Innovación 2021-2023. Período de ejecución: 2023-2025.

Ver Texto

(2)

Se trata de un análisis de las mejores prácticas internacionales siguiendo la metodología TADAT (Tax Administration Diagnostic Assesssment Tool) promovida por el FMI. El informe se puede consultar en la dirección: https://sede.agenciatributaria.gob.es/static_files/Sede/Agencia_Tributaria/Planificacion/Plan_estrategico_2020_2023/TADAT_Informe.pdf

Ver Texto

(3)

En este sentido, se dice que a través de las herramientas Info-clases y ZÚJAR se puede obtener información de conjunto, por segmentos y colectivos.

Ver Texto

(4)

AEAT (2024), Plan estratégico de la Agencia Tributaria, https://sede.agenciatributaria.gob.es/static_files/Sede/Agencia_Tributaria/Planificacion/Plan_estrategico_2024_2027/PlanEstrategico2024.pdf

Ver Texto

(5)

AEAT (2024), Estrategia de Inteligencia Artificial, (https://sede.agenciatributaria.gob.es/static_files/AEAT_Intranet/Gabinete/Estrategia_IA.pdf).

Ver Texto

(6)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y por el que se deroga la Directiva 95/40/CE, publicado en el DOUE de 4 de abril de 2016 (https://www.boe.es/doue/2016/119/L00001-00088.pdf).

Ver Texto

(7)

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n^o 300/2008, (UE) n^o 167/2013, (UE) n1 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial), publicado en el DOUE de 12 de julio de 2024 (https://www.boe.es/buscar/doc.php?id=DOUE-L-2024-81079).

Ver Texto

(8)

Ley 58/2003, de 17 de diciembre, General Tributaria.

Ver Texto

(9)

Real Decreto 1065/2007, de 27 de julio, por el que se aprueba el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos.

Ver Texto

(10)

PÉREZ BERNABEU, B. (2023), «Decisiones automatizadas en la Administración Tributaria», La inteligencia artificial en la relación entre obligados y la Administración tributaria, La Ley, p.155.

Ver Texto

(11)

El plan estratégico 2024, que profundiza en la Estrategia Nacional de Inteligencia Nacional (ENIA) publicada en 2020, prevé la implantación de la IA en la Administración General del Estado mediante el proyecto «Gob Tech Lab», con el desarrollo de proyectos piloto y soluciones innovadoras para el sector público (https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/transformacion-digital-y-funcion-publica/Paginas/2024/ia-inteligencia-artificial-estrategia-espana.aspx).

Ver Texto

(12)

Esta depuración terminológica llama la atención si se tiene en cuenta que, según la OCDE, el 80% de las Administraciones tributarias utiliza big data en su trabajo y más del 50% emplea tecnología avanzada (IA) para los procesos de evaluación de riesgos [OCDE (2023), Administración tributaria 2023: Información comparativa sobre la OCDE y otras economías avanzadas y emergentes, París, https://doi.org/10.1787/900b6382-en]. En particular, España suele estar bien posicionada en estas mediciones, como queda reflejado en la abundante literatura jurídica que ha seguido el proceso de transformación digital de esta organización [VVAA (2022), La inteligencia artificial en relación entre los obligados y la Administración tributaria, La Ley].

Ver Texto

(13)

AEAT (2024), Plan Estratégico…, p. 57. En el mismo sentido, en AEAT (2024), Estrategia de Inteligencia Artificial, p. 4: «… es importante señalar que el alcance de esta estrategia se circunscribe al uso de la IA dentro de la Agencia Tributaria y no hace referencia al uso de otro tipo de tecnologías que, pudiendo ser novedosas, no impliquen el uso de técnicas o herramientas específicas de la Inteligencia Artificial. De este modo, quedarán fuera del ámbito objetivo del documento otros sistemas como pueden ser: el tratamiento masivo de datos, el análisis de redes o grafos, los sistemas de análisis de riesgos, la robotización o automatización de determinadas actuaciones,… etc., siempre y cuando dichos sistemas funcionen de manera determinista, basándose en reglas fijadas por humanos, y por lo tanto no estén haciendo uso de las capacidades analíticas, predictivas o generativas propias de sistemas de Inteligencia Artificial».

Ver Texto

(14)

En su cdo. 48 insiste en que la magnitud de las consecuencias adversas en un sistema de IA es especialmente importante a la hora de clasificar un sistema de IA como de alto riesgo. Entre los derechos que pueden verse afectados se incluyen el derecho a la dignidad humana, el respeto de la vida privada y familiar, la protección de datos de carácter personal, la libertad de expresión y de información, la libertad de reunión y de asociación, la no discriminación, el derecho a la educación, la protección de los consumidores, los derechos de los trabajadores, los derechos de las personas discapacitadas, la igualdad entre hombres y mujeres, los derechos de propiedad intelectual, el derecho a la tutela judicial efectiva y a un juez imparcial, los derechos de la defensa y la presunción de inocencia, y el derecho a una buena administración. Además de estos derechos, se han de tener en cuenta los derechos específicos de los menores, los que respecta a la salud de las personas, y también el derecho fundamental a un nivel elevado de protección del medio ambiente.

Ver Texto

(15)

El Reglamento ha acogido la definición dada por la OCDE en 2019 (AI Principles overview (https://oecd.ai/en/ai-principles). En un primer momento, la IA ha sido entendida como «un sistema basado en una máquina que puede, para un objetivo definido por el ser humano hacer predicciones, recomendación o decisiones que influyen en entornos reales o virtuales. Los sistemas de IA están diseñados para funcionar con distintos niveles de autonomía». La definición ha sido actualizada en 2023 a la vista de la evolución de estos modelos tecnológicos, quedando como sigue: «un sistema basado en máquinas que, para objetivos explícitos o implícitos, infiere, a partir de la información que recibe (input), cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales». Los distintos sistemas de IA varían en sus niveles de autonomía y adaptabilidad tras su despliegue». Para profundizar en la evolución de esta categoría conceptual, vid. FERNÁNDEZ HERNÁNDEZ, C. (2023), «Una reflexión sobre el concepto de inteligencia artificial desde el punto de vista jurídico (1)», Derecho Digital e Innovación, n. 17 (LA LEY 9342/2023).

Ver Texto

(16)

El cdo. 12 del RIA se refiere a estos dos elementos: por un lado, estos sistemas están diseñados para funcionar con distintos niveles de autonomía, lo que significa que pueden actuar con cierto grado de independencia con respecto a la actuación humana y tienen ciertas capacidades para funcionar sin intervención humana; y por otro, pueden mostrar capacidad adaptativa a través de las capacidades de autoaprendizaje mientras el sistema está en uso.

Ver Texto

(17)

El cdo. 53 del RIA subraya que pueden existir sistemas de IA señalados como de alto riesgo por estar referidos a ámbitos predefinidos especificados en el Anexo III del Reglamento que, sin embargo, no entrañan un riesgo considerable de causar un perjuicio a los intereses jurídicos cuando «no influyen sustancialmente en la toma de decisiones o no perjudican a dichos intereses sustancialmente». En concreto, se considera que un sistema de IA no influye sustancialmente en el resultado de la toma de decisiones cuando no afecta al fondo, ni por consiguiente al resultado, de la toma de decisiones, ya sea humana o automatizada. Podrán incluirse en este segmento aquellos sistemas de IA en los que se cumplan una o varias de las siguientes condiciones: i) que el sistema de IA esté destinado a realizar una tarea de procedimiento delimitada (transformar datos no estructurados en datos estructurados, clasificar en categorías los documentos recibidos, detectar duplicados entre un gran número de aplicaciones, etc.); ii) que la tarea realizada por el sistema de IA esté destinada a mejorar el resultado de una actividad previa llevada a cabo por un ser humano (p.ej., mejorar el lenguaje utilizado en documentos ya redactados para adaptarlo a un contexto profesional, académico o comercial); iii) que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones respecto de patrones de toma de decisiones anteriores (se utiliza tras una evaluación humana y no pretende sustituirla o influir en ella sin una revisión adecuada por parte de un ser humano); iv) que el sistema de IA esté destinado a realizar una tarea que solo sea preparatoria de cara a una evaluación pertinente (p.ej., soluciones inteligentes para la gestión de archivos, lo que incluye funciones diversas tales como indexación, la búsqueda, el tratamiento de texto y del habla o la vinculación de datos a otras fuentes de datos, o traducción de documentos iniciales). En todo caso, se considera que los sistemas de IA de alto riesgo presentan un riesgo significativo para los derechos fundamentales de las personas físicas si conllevan la elaboración de perfiles en el sentido del art. 4.4 RGPD, del art. 3.4 de la Directiva (UE) 2016/680 o del art. 3.5 del Reglamento (UE) 2018/1725.

Ver Texto

(18)

La definición acogida en este marco regulatorio no excluye que se pueda utilizar el concepto IA en el sentido expresado en el diccionario de la RAE, esto es, como la «disciplina científica que se ocupa de crear programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, como es el razonamiento o el aprendizaje lógico».

Ver Texto

(19)

El apartado 1 se redacta en los términos siguientes: «Antes de desplegar un sistema de IA de alto riesgo contemplado en el artículo 6, apartado 2, con excepción de los sistemas de IA de alto riesgo destinados a ser utilizados en el ámbito enumerado en el punto 2 del anexo III, los desplegadores que sean organismos de Derecho público o entidades privadas que presten servicios públicos, y los desplegadores de los sistemas de IA de alto riesgo contemplados en el anexo III, punto 5, letras b) y C), realizarán una evaluación de impacto de los derechos fundamentales que la utilización de dicho sistema pueda producir».

Ver Texto

(20)

El cdo. 59 del RIA aclara que «los sistemas de IA destinados específicamente para ser utilizados en procesos administrativos por autoridades fiscales y aduaneras y las unidades de inteligencia financiera que llevan a cabo tareas administrativas de análisis de información de conformidad con el Derecho de la Unión en materia de lucha contra el blanqueo de capitales no deben clasificarse como sistemas de IA de alto riesgo usados por las autoridades encargadas de la aplicación de la ley con el fin de prevenir, detectar, investigar y enjuiciar infracciones penales». Por tanto, con la excepción de los despliegues que operen en materia de blanqueo de capitales, se han de considerar como de alto riesgo los sistemas utilizados por las autoridades fiscales y aduaneras. En cuanto a la administración de justicia, se clasifican como sistemas de IA de alto riesgo «los que vayan a ser utilizados por una autoridad judicial o en su nombre para ayudar a las autoridades judiciales a investigar e interpretar los hechos y el Derecho y a aplicar la ley a unos hechos concretos». También deben considerarse de alto riesgo, según se especifica en el cdo. 61, «los sistemas de IA destinados a ser utilizados por los organismos de resolución alternativa de litigios con esos fines, cuando los resultados de los procedimientos de resolución alternativa de litigios surtan efectos jurídicos para las partes».

Ver Texto

(21)

El art. 27.4 del RIA establece lo siguiente: «Si ya se cumple cualquiera de las obligaciones establecidas en el presente artículo mediante la evaluación de impacto relativa a la protección de datos realizada con arreglo al artículo 35 del Reglamento (UE) 2016/679 o del art. 27 de la Directiva (UE) 2016/680, la evaluación de impacto relativa a los derechos fundamentales a que se refiere el apartado 1 del presente artículo complementará dicha evaluación de impacto relativa a la protección de datos».

Ver Texto

(22)

El cdo. 10 del RIA enfatiza que este marco regulatorio «no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos».

Ver Texto

(23)

El Resumen Ejecutivo Plan Estratégico 2020-2023 (https://sede.agenciatributaria.gob.es/static_files/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Planificacion/PlanEstrategico2020_2023/ResumenEjecutivoPEv5.pdf) destaca la utilidad de estos sistemas de análisis del comportamiento de los contribuyentes: «Para la Agencia Tributaria es fundamental realizar un seguimiento del cumplimiento de los contribuyentes sobre los que se actúa o se ha actuado en el pasado. Por un lado, se trata de medir el efecto derivado de las autoliquidaciones complementarias que directa o indirectamente hayan sido inducidas como consecuencia de la actividad de control. Por otro lado, se debe realizar el seguimiento del comportamiento posterior del contribuyente (o el entorno de este) después de las acciones de control. Como ya se expuso, este análisis se está efectuando respecto de los contribuyentes inspeccionados, pero no en el resto de casos, por lo que es un ámbito de actuación a potenciar. El seguimiento ha de referirse al propio obligado sujeto a control, al conjunto de personas que integran su entorno personal y familiar, a las entidades o personas relacionadas con él y que constituyen su entorno económico empresarial y, por último, también a su entorno sectorial o temático». Otro de los ámbitos en los que se realiza este análisis de comportamientos es la recaudación: «… en el caso de actuaciones de personación, el seguimiento ha de dirigirse a medir los efectos directos que tienen las actuaciones sobre los contribuyentes (con referencia al pago, a posteriores incumplimientos, a regularizaciones de su situación a través de solicitudes de aplazamientos o fraccionamientos y su cumplimiento, etc.) y, en la medida de lo posible, se analizará también el comportamiento inducido en otros contribuyentes del mismo sector o que pudieran estar relacionados con los deudores visitados».

Ver Texto

(24)

El Reglamento define como tratamiento «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».

Ver Texto

(25)

AEPD (2020), Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción (https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf).

Ver Texto

(26)

El art. 24 RGPD dispone lo siguiente: «Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario».

Ver Texto

(27)

El grupo especializado en protección de datos (GT29) recomienda que, incluso en aquellos casos en los que no esté claro si se requiere una EIPD, se realice una evaluación de impacto, ya que es un instrumento práctico para ayudar a los responsables del tratamiento a cumplir la legislación de protección de datos [GT29 (2017), Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679, WP 248, revisadas el 4 de octubre de 2017, p. 9, disponible en la dirección https://www.aepd.es/documento/wp248rev01-es.pdf).

Ver Texto

(28)

https://www.aepd.es/documento/listas-dpia-es-35-4.pdf

Ver Texto

(29)

Por si hubiera alguna duda, el modelo de informe de EIPD que proporciona la AEPD a las Administraciones Públicas insiste en que, por defecto, los tratamientos de datos que realizan las Administraciones obligan a realizar una evaluación de impacto (https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/evaluaciones-de-impacto).

Ver Texto

(30)

Nótese que el art. 36.4 del RPGD establece que «los Estados miembros garantizarán la consulta durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa que se refiera al tratamiento».

Ver Texto

(31)

También se ha elaborado una guía por parte de la autoridad de control. AEPD (2023), Orientaciones para la realización de una evaluación de impacto para la protección de datos en el desarrollo normativo,https://www.aepd.es/guias/orientaciones-evaluacion-impacto-desarrollo-normativo.pdf

Ver Texto

(32)

Anticipando lo que se expondrá en este comentario, ese juicio evaluativo ex ante debe identificar lo siguiente: las limitaciones y riesgos para los derechos y libertades de las personas físicas (protección de datos e intimidad, prohibición de discriminación y derecho a la tutela judicial efectiva); el respeto a la esencia del derecho fundamental de la protección de datos; la finalidad de la recopilación y tratamiento de los datos personales, y la proporcionalidad de esta injerencia en el derecho fundamental.

Ver Texto

(33)

GT29 (2017), Directrices sobre la evaluación de impacto…, cit., p. 13 https://www.aepd.es/documento/wp248rev01-es.pdf).

Ver Texto

(34)

En el caso de la Administración tributaria cabe señalar otra singularidad pues, a diferencia de lo que ocurre en las relaciones entre particulares, cuando el responsable del tratamiento de los datos personales es una entidad de Derecho público, el «consentimiento» del titular de los datos no puede servir como base de legitimación del tratamiento de la información, por lo que la legitimidad de la injerencia en el derecho fundamental de las personas físicas se localiza en la norma que establece el tratamiento de los datos, o bien cuando la Administración actúa en el marco de una misión de interés público o en el ejercicio de las competencias que le han sido atribuidas por la norma. Ello no obsta para que existan parcelas en las que la Administración ofrece servicios auxiliares o complementarios que requieran del consentimiento explícito del interesado (p.ej., cuando se pide el correo electrónico al contribuyente persona física para enviarle avisos sobre comunicaciones y notificaciones). En cuanto a las bases de legitimación de la Administración tributaria, cabe citar la doctrina sentada por el TS en su sentencia de 22 de noviembre de 2023 (rec. 5253/2022): «El artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el artículo 6.2 c) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que disponen que el tratamiento de datos personales será lícito, entre otros supuestos, cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, o cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, no se oponen a que la Agencia Estatal de Administración Tributaria, en el curso de la tramitación y resolución de un procedimiento de gestión, inspección o recaudación tributaria, utilice datos de carácter personal de terceras personas físicas, distintas al sujeto obligado tributario sometido al expediente administrativo, siempre y cuando el tratamiento de los datos se ampare en las facultades que se confieren a las autoridades tributarias para luchar contra el fraude fiscal, que la inclusión de los datos se limite a aquellos que se revelen adecuados, idóneos, pertinentes y necesarios para la determinación de los hechos y motivar las resoluciones que se adopten, y que sea proporcionada al fin legitimo perseguido para lo que son tratados».

Ver Texto

(35)

https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/datos-personales.html

Ver Texto

(36)

La AEPD dispone de guías y orientaciones sobre estos instrumentos. En particular, el análisis de riesgos a efectos de protección de datos debe dar respuesta a las siguientes: ¿se tratan datos sensibles?, ¿se incluyen datos de una gran cantidad de personas?, ¿incluye funciones de elaboración de perfiles?, ¿se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?, ¿se pretende utilizar los datos obtenidos para una finalidad para otros tipos de finalidades?, ¿se están tratando grandes cantidades de datos, incluida con técnicas de análisis masivo tipo big data?, ¿se utilizan técnicas invasivas para la privacidad? Cuanto mayor sea el número de respuestas afirmativas mayor será el riesgo que podría derivarse del tratamiento para los derechos y libertades de los afectados.

Ver Texto

(37)

VVAA, La inteligencia…, op. cit., p. 327 y ss.

Ver Texto

(38)

Articolo 1, comma 648, della legge 27 dicembre 2019.n. 160 (legge di bilancio per l’anno 2020), disponible en su web institucional: «nel rispetto del principio di responsabilizzazione, ai sensi dell’articolo 35 del regolamento (UE) 2016/679, il trattamento di cui al coma 682 è oggetto di una valutazione unitaria di impatto sulla protezione dei dati, effettuata dall’Agenzia delle entrate prima di iniziare il trattamento stesso, sentito il Garante per la protezione dei dati personali. Nella valutazione d’impatto sono indicate anche le misure necessarie e ragionevoli per assicurare la qualità dei dati» (https://www.agenziaentrate.gov.it/portale/web/guest/analisi-basate-sui-dati-archivio-dei-rapporti-finanziari).

Ver Texto

(39)

GPDP (2022), Valutazione di impatto sulla protezione dati relativa al trattamento «Analizzare rischi e fenomeni evasivi/elusivi tramite l’utilizzo dei dati contenuti nell’Archivio del rapporti finanziari e l’crocho degli stessi con le altre banche dati di cui dispone l’Agenzia delle entrate»— Articolo 1, comma 684, della legge 27 dicembre 2019, n. 160, 30 luglio 2022 (9808839).

Ver Texto

(40)

GT29 (2017), Directrices…, cit., p. 20, https://www.aepd.es/documento/wp248rev01-es.p

Ver Texto

(41)

https://www.agenziaentrate.gov.it/portale/documents/20143/5316839/Documento+di+Valutazione+di+Impatto+sulla+Protezione+dei+Dati+%28Stralcio%29.pdf/f8491e14-aaca-34f1-c157-65f964fbb0a3

Ver Texto

(42)

Cuando el tratamiento se haya iniciado con anterioridad a la EIPD y/o a la consulta previa y se estime necesaria esta, se incluirá una justificación objetivamente motivada acerca de las razones por las que inicialmente no fue necesaria la EIPD o la consulta previa y de las razones por las que posteriormente se estimaron necesarias, de acuerdo con el apartado X.C de la guía elaborada por la autoridad de control [AEPD (2021), Gestión del riesgo y evaluación de impacto en los tratamientos de datos personales (https://www.aepd.es/guia s/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf)].

Ver Texto

(43)

El TEDH ha concluido que el almacenamiento por parte de una autoridad pública de datos o informaciones relativas a la vida privada de una persona equivale a una limitación del derecho al respeto de su vida privada (Leander v. Suecia, ap. 48).

Ver Texto

(44)

STJUE de 8 de abril de 1984, Digital Rights Ireland, asuntos acumulados C-293/12 y C-594/12, ap. 33: «Para demostrar la existencia de una injerencia en el derecho fundamental al respeto de la vida privada, carece de relevancia que la información relativa a la vida privada de que se trata tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia (véase, en este sentido, la sentencia Österreichister Runfuk y otros, C-465/00, C-138/01 y C-139/01, ap. 75).

Ver Texto

(45)

La legitimidad del tratamiento de datos personales en el curso de un procedimiento inspector es analizada en la STS de 22 de noviembre de 2023, rec. 5352/2022.

Ver Texto

(46)

Resulta relevante la calidad de la ley respecto del contenido esencial del derecho. A tal fin, el Tribunal Constitucional declara que, en esa regulación, el legislador («obligado de forma primaria a ponderar los derechos e intereses en pugna») predetermine los supuestos, las condiciones y las garantías que han de concurrir en la adopción de las medidas restrictivas de derechos fundamentales. Esta predeterminación normativa sitúa en la fase preparatoria de la norma el juicio de proporcionalidad en relación con esa limitación del derecho fundamental («no puede quedar diferido a un ulterior desarrollo legal o reglamentario»).

Ver Texto

(47)

OLIVARES OLIVARES, B. (2022), «La teoría de las garantías adecuadas en materia de protección de datos y sus implicaciones respecto de la toma de decisiones automatizadas en la Administración tributaria», en La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, p. 242.

Ver Texto

(48)

https://contrataciondelestado.es/wps/wcm/connect/8f852d38-69ec-488f-b996-65088381e4d9/DOC20200826124636PLIEGO+DE+PRESCRIPCIONES+TECNICAS.pdf?MOD=AJPERES

Ver Texto

(49)

Este modelo permite identificar los contribuyentes con mayor riesgo fiscal a partir de un análisis integrado de datos es capaz de reconstruir el patrimonio y los flujos financieros de un contribuyente mediante una representación del ciclo renta-consumo-ahorro-inversiones, lo que permite evidenciar inconsistencias y, asimismo, generar datos estadísticos desde un doble punto de vista macro y microeconómico. La aplicación de estos modelos también detecta posiciones aparentemente virtuosas, en las que el perfil de gasto se concilia con el nivel de ingresos, pero existe una acumulación de ahorro incompatible con las rentas declaradas.

Ver Texto

(50)

Estos modelos van dirigidos a descubrir patrones en los contribuyentes asignándolos a determinados grupos o perfiles de riesgo. Estos sistemas de análisis probabilístico se realizan a través de técnicas de machine learning, que se pueden clasificar en supervisadas y no supervisadas.

Ver Texto

(51)

El carácter medible de los objetivos perseguidos (identificación del potencial fenómeno evasivo o elusivo perseguido) y su referencia a un marco temporal (dependiendo del carácter anual o plurianual de fenómeno que se pretende analizar) garantiza que no se establezca un tratamiento de datos masivo con la finalidad, en abstracto, de disminuir el fraude fiscal o mejorar la eficacia de la actuación administrativa en relación con la aplicación de los tributos.

Ver Texto

(52)

El art. 12 modifica el artículo 2 bis de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Ver Texto

(53)

Cabe recordar que los datos personales relativos al cobro de deudas son datos sensibles para la vida privada del interesado (Sentencia TJUE de 13 de mayo de 2014, C-131/12, Google Spain y Google, ap. 98.

Ver Texto

(54)

Ley 7/2024, de 20 de diciembre, por la que se establecen un Impuesto Complementario para garantizar un nivel mínimo global de imposición para los grupos multinacionales de gran magnitud, un Impuesto sobre el margen de intereses y comisiones de determinades entidades financieras y un Impuesto sobre los líquidos para cigarrillos electrónicos y otros productos relacionados con el tabaco, y se modifican otras normas tributarias.

Ver Texto

(55)

GPDG, provvedimento n. 454, 22 dicembre 2011, doc. web n. 9732234.

Ver Texto

(56)

Que no puede ser confundida con el análisis de cumplimiento que pueda llevar a cabo la organización, ni tampoco con el análisis realizado por el responsable del tratamiento a efectos de determinar si se ha de elaborar o no la EIPD.

Ver Texto

(57)

El TC (entre otras, en la sentencia 76/2019) sostiene que, no solo es un derecho fundamental autónomo, sino que se trata de un derecho instrumental ordenado a la protección de otros derechos fundamentales, y que así se desprende del último inciso del art. 18.4 CE («para garantizar… el pleno ejercicio de sus derechos»).

Ver Texto

(58)

STJUE de 7 de diciembre de 2023, C-634/21, ap. 52: «Dicha disposición establece una prohibición de principio cuya inobservancia no necesita ser invocada proactivamente por el interesado».

Ver Texto

(59)

STEDH Liberty y otros c. Reino Unido, de 1 de julio de 2008, núm. 58243/00.

Ver Texto

(60)

STJUE (Gran Sala) de 8 de abril de 2014, Digital Right Ireland, asuntos acumulados C-293/12 y C-594/12, ap. 54: «la normativa de la Unión de que se trate debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medidas en cuestión y establezcan una exigencias mínimas de modo que la personas cuyos datos su hayan conservado dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso y contra cualquier acceso a utilización ilícitos respecto por análisis». Igualmente, sentencia de 6 de octubre de 2020, C-623/17, Privacy International, ap. 65, y sentencia de 16 de julio de 2020, C-311/2020, Schrems 2, ap. 175.

Ver Texto

(61)

Entre otras, STC 292/2000, de 30 de noviembre.

Ver Texto

(62)

OLIVARES OLIVARES, a propósito de esta doctrina jurisprudencial, señala que el RGPD establece garantías mínimas, generales para todo tipo de tratamiento, sin llegar a regular un régimen específico para las categorías especiales de datos, lo que significa que las garantías constitucionalmente exigibles —esas «garantías adecuadas»— pueden variar en cada caso, en función del tipo de tratamiento, la naturaleza de los datos y la mayor o menor gravedad de los riesgos de abuso o utilización ilícita (Vid., «La teoría…», op. cit., p. 254).

Ver Texto

(63)

Recuérdese lo dicho en la STC 292/2000, de 30 de noviembre: «… el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión» (FJ7).

Ver Texto

(64)

El art. 52.1 de la Carta de los Derechos Fundamentales de la UE establece que la limitación debe respetar la esencia del derecho a la protección de datos para que sus elementos fundamentales no queden vacíos de contenido.

Ver Texto

(65)

https://contrataciondelestado.es/wps/wcm/connect/8f852d38-69ec-488f-b996-65088381e4d9/DOC20200826124636PLIEGO+DE+PRESCRIPCIONES+TECNICAS.pdf?MOD=AJPERES

Ver Texto

(66)

El TJUE insiste en el amplio alcance del concepto «decisión», que «puede incluir diversos actos con potencial para afectar al interesado de múltiples maneras» (sentencia SCHUFA, asunto C-634/21, apartados 46 y 60).

Ver Texto

(67)

OLIVARES OLIVARES, B., «La teoría…», op. cit., p. 254.

Ver Texto

(68)

Vid, TOMO, A. (2022), «La perspectiva italiana», La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, p. 358: ORTOLEVA, M. (2022), «Inteligencia artificial: una herramienta ‘peligrosa’ en manos de la administración fiscal italiana para luchar contra la explotación abusiva de las deducciones fiscales», Revista Técnica Tributaria, n. 139, https://revistatecnicatributaria.com/index.php/rtt/article/view/2329.

Ver Texto

(69)

La naturaleza de la actividad desarrollada por la Administración tributaria implica, como se especifica en el decreto ministerial italiano que: i) no se aplica el derecho a la cancelación (art. 17 RGPD), puesto que se trata de un tratamiento de datos en el ejercicio de poderes públicos atribuidos al titular del tratamiento; y ii) quedan excluidos el derecho a obtener una limitación del tratamiento (art. 18 RGPD), así como al de oponerse al mismo (art. 21 RGPD).

Ver Texto

(70)

De forma resumida, se describen como principales técnicas de análisis: a) los modelos deterministas, dirigidos a identificar incoherencias en las variaciones de renta declarada, consumo y ahorro; permiten detectar situaciones aparentemente virtuosas a la vista de la relación entre ingresos y gastos, pero con una acumulación de ahorro incompatible con las rentas declaradas; b) las técnicas de machine learning sujetas a supervisión humana, que asocian a los contribuyentes a partir de la información disponible a un perfil de riesgo en función de específicas variables fiscales, financieras, patrimoniales y declaraciones; en la fase predictiva, el modelo clasifica a los contribuyentes (riesgo o no riesgo) a partir del conocimiento adquirido en la fase de entrenamiento; y, c) los modelos de machine learning no supervisados, que no parten de un perfil conocido en el adiestramiento del algoritmo, sino que se orientan a identificar de forma autónoma eventuales esquemas recurrentes (posibles patrones de riesgo).

Ver Texto

(71)

Cabe recordar que el art. 17.1 del RGPD, en relación con el derecho de supresión («derecho al olvido»), dispone que «el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales», entre otras circunstancias, cuando «los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo».

Ver Texto

(72)

En relación con el factor tiempo, sostiene el AG Sr. Pritt Pikamäe que un tratamiento lícito de datos puede dejar de ser conforme con el RGPD con el tiempo cuando dichos datos no sean pertinentes o dejen de serlo, o sean excesivos en relación con la finalidad para la cual fueron recogidos (Conclusiones al asunto SCHUFA Holding AG, ap. 74). En este sentido, respecto de la inscripción en una base de datos de las resoluciones por exoneración de pasivo insatisfecho para determinar la solvencia de los afectados, pone de manifiesto la importancia de que se utilicen factores actualizados, y los datos personales relativos a la capacidad de pago de una persona que se remontan a hace un tiempo no proporcionan una información fiable. Estos planteamientos han dado lugar a que el TJUE en las sentencia de 7 de diciembre de 2023, asuntos acumulados C-26/22 y C-64/22, SCHUFA Holding AG (exoneración del pasivo insatisfecho), concluya que es ilícito un tratamiento consistente en conservar, en las propias bases de datos de una entidad comercial, información procedente de un registro público relativa a la concesión de una exoneración del pasivo insatisfecho en favor de personas físicas con el fin de poder proporcionar información sobre la solvencia de dichas personas, durante un período que exceda del de conservación de los datos en el registro público.

Ver Texto

(73)

Entre otros, MORENO CORTE, M. (2022), «La inteligencia artificial al servicio de la lucha contra el fraude en Francia», La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, p. 359.

Ver Texto

(74)

Resulta de interés la lectura de OLIVARES OLIVARES, B., ¿Hacia una conservación ilimitada de los datos personales por parte de la Administración tributaria?, Quincena Fiscal, n. 4/2021, BIB 2021,1003. Se ha de compartir con el autor que la tarea de fijar un plazo es complicada, pero ello no es óbice para que se fijen criterios que permitan determinar la proporcionalidad del tratamiento. En este punto, resulta de interés la sentencia del TS de 7 de junio de 2024, rec. 7974/2022, a propósito del alcance del principio de regularización íntegra por parte de la Administración tributaria en los procedimientos de control, pues permite ver los criterios que se han de seguir en el uso de los datos de ejercicios prescritos a efectos de la regularización de liquidaciones no prescritas y que, sin lugar a dudas, son relevantes a efectos de fijar criterios para el tratamiento de los datos en el ámbito que aquí interesa: «En síntesis, el derecho a comprobar e investigar (artículo 66 bis LGT) que, con carácter general, no se ve afectado por plazos de prescripción, está constreñido, en cambio, a un plazo de prescripción de 10 años cuando versa sobre las bases o cuotas compensadas o pendientes de compensación o sobre deducciones aplicadas o pendientes de aplicación… En consecuencia, la imposibilidad de regularizar, más allá del plazo de 4 años, situaciones tributarias prescritas o, desde su envés, la de rectificar el contribuyente sus autoliquidaciones, no obsta a que la Administración tributaria realice comprobaciones e investigaciones sobre los hechos, actos, elementos, actividades, explotaciones, negocios, valores y demás circunstancias determinantes de la obligación tributaria para verificar el correcto cumplimiento de las normas aplicables ( art. 115LGT) sobre ejercicios prescritos, en cuanto puedan tener incidencia sobre los no prescritos».

Ver Texto

(75)

GARCÍA MARTÍNEZ. A. (2022), «La captación automatizada de información en internet para la lucha contra el fraude fiscal y los derechos y garantías de los contribuyentes», La inteligencia artificial en la relación entre los obligados y la Administración tributaria, La Ley, p. 211.

Ver Texto

(76)

En concreto, las sentencias del Consejo de Estado —órgano jurisdiccional equivalente a nuestro Tribunal Supremo—, n. 2270/2019, 8472/2019, 8473/2019, 8474/2019; 881/2020, y 1206/2021.

Ver Texto

(77)

OCDE (2019), Recomendación sobre inteligencia artificial, actualizada en mayo de 2023, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

Ver Texto

(78)

En efecto, la guía orientativa especifica lo siguiente: «La publicación de una EIPD no representa un requisito jurídico del RGPD, ya que es una decisión que corresponde al responsable del tratamiento. Sin embargo, los responsables deben considerar al menos la publicación de algunas partes, como un resumen o una conclusión de su EIPD. El fin de dicho proceso sería ayudar a fomentar la confianza en las operaciones de tratamiento del responsable, y demostrar responsabilidad proactiva y transparencia. Cuando las personas se ven afectadas por la operación de tratamiento, la publicación de una EIPD supone una práctica particularmente positiva. Este podría ser en concreto el caso cuando una autoridad pública lleva a cabo una EIPD» (https://www.aepd.es/documento/wp248rev01-es.pdf).

Ver Texto

(79)

SSTJUE de 4 mayo de 2023, Bundesrepublick Deutschland (buzón electrónico digital), C-69/22, ap. 53; 20 octubre de 2022, Digi, C-77/21, ap. 24.

Ver Texto

(80)

En relación con el papel desempeñado por las autoridades de control, resulta de interés el análisis realizado por las Conclusiones del Abogado General Sr. Pritt Pikamäe, presentadas el 16 de marzo de 2023, en los asuntos acumulados C-26/22 y C-64/22, SCHUFA Holding AG (exoneración del pasivo insatisfecho).

Ver Texto

(81)

El art. 77 del RGPD establece que, sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control si considera que el tratamiento de los datos personales que le conciernen infringe el presente Reglamento.

Ver Texto

(82)

En la Memoria de la AEPD de 2023 se puede advertir que no son numerosas las actuaciones llevadas a cabo en relación con las operaciones de tratamiento de la Administración tributaria estatal. Destaca, por ejemplo, el Informe 70/2023 a propósito de una consulta conjunta formulada por los Delegados de Protección de Datos del Banco de España (BE) y la Agencia Estatal de la Administración Tributaria (AEAT), referida a la posibilidad de que en el procedimiento de recaudación —y en concreto ejerciendo la posibilidad del aplazamiento o fraccionamiento— instruido por la AEAT pueda solicitar al BE el informe de la Central de Información de Riesgos del Banco de España, CIRBE, que haga referencia al obligado al pago en dicho procedimiento, en relación a cuál sería la base jurídica de legitimación de dicho tratamiento de datos (AEPD (2024), Memoria 2023, p. 19, memoria-aepd-2023.pdf),

Ver Texto

(83)

En 2023 se han incrementado un 42% respecto del año anterior (Ibidem, p. 78).

Ver Texto

(84)

Con remisión a la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/2018, ap. 112.

Ver Texto

(85)

En este sentido, cabe recordar lo dicho por el TS en la sentencia de 25 de enero de 2023 (RC 465/2021), en relación con las actuaciones de las autoridades competentes en materia tributaria que inciden en el derecho a la privacidad, como es la incorporación de datos personales a un listado de morosos: «Consideramos que no haría falta insistir sobre una cuestión que es obvia, pero que en la búsqueda de una interpretación normativa que sea conforme con los derechos fundamentales y evitar intromisiones ilegítimas de los poderes públicos en la esfera más sensible de la personalidad —o en este caso tratándose de una Administración Pública, poniendo en entredicho los deberes constitucionales y legales llamada a atender, resultando demoledor para una buena imagen pública—, no está de más abundar sobre este aspecto…».

Ver Texto

(86)

Así se puede ver en la sentencia del TJUE comentada supra, en la que resultan de aplicación las normas húngaras sobre protección de datos. No es algo extraño, baste citar como ejemplo Italia o Portugal. En el primer caso, así lo establece el art. 106.4 del Codice della privacy (D.lgs, 30 giugno 2003, n.196): «Il procedimento per l’adozione dei provvedimente e dele sanzioni inidcati al comma 3 può essere avviato, nei confronti sia di soggeti privati, sia di autorità pubbliche ed organismis pubblici…»); y, en Portugal, el art. 44.1 de la lei n. 58/2019, de 8 de agosto: «As coimas previstas no RGPD e na presente lei aplicamse de igual modo às entidades públicas e privadas».

Ver Texto

(87)

https://www.aepd.es/areas-de-actuacion/administraciones-publicas/administraciones-publicas-sancionadas

Ver Texto

(88)

El fallo se debía a que el sobrino había sido dado de alta en el registro de sucesores, siguiendo el protocolo interno, por la relación entre el tercero involucrado y la reclamante (tía del tercero involucrado), en lugar de entre este y la madre fallecida de la contribuyente (abuela del reclamado), al confundirse el DNI de la madre fallecida con el de la hija.