| Informe | 2022-0080 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD sobre el proyecto de modernización fiscal (Expediente 2022-0080)**
El **Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD)** ha emitido un informe crítico sobre el **proyecto de modernización de la gestión fiscal** (basado en el art. 29.2.j) de la Ley General Tributaria), que busca estandarizar sistemas informáticos para facturación y gestión tributaria, incluyendo la prohibición de *»software de supresión»*.
#### **1. Contexto y objetivos del proyecto**
El proyecto, desarrollado en el marco de la **Ley 11/2021**, exige a empresarios y profesionales que sus sistemas contables y de facturación garanticen **integridad, conservación, inalterabilidad y trazabilidad de los registros**, evitando manipulaciones. Su finalidad es **simplificar la gestión tributaria** y reducir costes para la Administración y los contribuyentes.
Sin embargo, **estos sistemas procesan datos personales** (como nombres, DNI/NIF, direcciones o incluso datos sensibles, como facturas médicas), quedando sujetos al **RGPD** y a la **LOPDGDD**.
#### **2. Principales deficiencias en protección de datos**
La AEPD identifica **tres problemas principales**:
– **Falta de evaluación de impacto (EIPD)**:
– El **Real Decreto 311/2022** exige que los sistemas que traten datos personales realicen un **análisis de riesgos** (art. 24 RGPD) y una **evaluación de impacto** (art. 35 RGPD) si el tratamiento puede suponer un alto riesgo.
– El proyecto **no incluye ninguna referencia** a estas evaluaciones ni en el texto normativo ni en la **Memoria de Análisis de Impacto Normativo (MAIN)**.
– La AEPD recomienda que el **propio órgano proponente** (el legislador) realice una **EIPD** como parte del proceso normativo, para evitar que los responsables deban hacerlo después. Esto se justifica en el **art. 35.10 RGPD**, que permite eximir de la obligación si se realiza en la fase de creación de la norma.
– **Delegación en Órdenes Ministeriales (OM) de aspectos clave sobre datos personales**:
– El proyecto remite a futuras Órdenes Ministeriales la regulación detallada de **qué datos personales** (especialmente en facturas médicas u otros sensibles) **deben incluirse**, así como su **formato, diseño y características**.
– La AEPD considera esto **inconstitucional**, pues **el derecho a la protección de datos es un derecho fundamental** que requiere que su regulación **derivada directamente de una ley** (según la **STC 76/2019** y el **TJUE**). Delegar en normas de rango inferior **vulnera la reserva de ley** y el **principio de seguridad jurídica**.
– **Falta de mención a la normativa de protección de datos en el proyecto**:
– El texto no incluye una **cláusula explícita** que indique que los tratamientos de datos en estos sistemas estarán sujetos al **RGPD** y la **LOPDGDD**.
– Aunque técnicamente se aplicarían igual, la AEPD recomienda añadirla para **dar certeza jurídica** y **reconocer los derechos de los interesados**.
#### **3. Riesgos y responsabilidades**
– **Cesión voluntaria de facturas a la AEAT**: El proyecto permite que los receptores de facturas **soliciten voluntariamente** incluir información en un código QR, pero esto constituye un **tratamiento de datos** que debe cumplir con el **art. 13 RGPD** (información a los interesados).
– **Principio de responsabilidad proactiva (art. 24 RGPD)**: Los responsables deben implementar **medidas técnicas y organizativas** desde el diseño de los sistemas para garantizar la protección de datos.
– **Proporcionalidad**: La normativa debe definir con claridad los **límites de los tratamientos** (según jurisprudencia del **TJUE** y el **TC**), evitando injerencias desproporcionadas.
#### **4. Conclusiones y recomendaciones de la AEPD**
La AEPD **recomienda**:
1. **Incluir en la MAIN y en el proyecto normativo** un **análisis de riesgos** (art. 24 RGPD) y una **evaluación de impacto** (art. 3