| Informe | 2023-0070 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Expediente 2023-0070)
Asunto: Base jurídica para el tratamiento de datos personales por parte de la Agencia Estatal de Administración Tributaria (AEAT) al acceder a la información de la Central de Información de Riesgos (CIRBE) del Banco de España en procedimientos de aplazamiento o fraccionamiento de pagos tributarios.
Fundamentos normativos y principios aplicables
El informe analiza si la AEAT puede acceder legítimamente a los datos del CIRBE en el marco de un procedimiento de aplazamiento o fraccionamiento de una deuda tributaria, evaluando si la base jurídica del tratamiento se sustenta en el consentimiento del interesado (art. 6.1.a RGPD) o en el cumplimiento de una obligación legal/ejercicio de poderes públicos (art. 6.1.c y e RGPD, junto con el art. 8.2 LOPDGDD).
El tratamiento de datos personales debe cumplir los principios del art. 5.1 del RGPD, especialmente el de licitud, lealtad y transparencia, y adaptarse a las bases jurídicas previstas en el art. 6 del RGPD:
Consentimiento (art. 6.1.a): Requiere libertad en su otorgamiento (Considerando 43 RGPD), lo que dificulta su validez en relaciones administración-ciudadano por el desequilibrio de poder.
Obligación legal (art. 6.1.c):Solo si una ley concreta impone al responsable del tratamiento (AEAT) la obligación de tratar datos de esta forma.
Interés público/ejercicio de poderes públicos (art. 6.1.e): Aplicable en actuaciones administrativas reguladas por ley, como la gestión tributaria.
Evaluación de las bases jurídicas propuestas
A. Consentimiento del interesado (art. 6.1.a RGPD)
La AEAT propuso como primera opción que el titular de los datos consintiera expresamente el acceso a la información del CIRBE. Sin embargo, el informe desestima esta opción por varias razones:
Falta de libertad real en el consentimiento:
La relación entre la Administración y el ciudadano es de sujeción, donde el interesado depende de la decisión de la AEAT (aplazamiento o fraccionamiento).
Si el ciudadano no consiente, podría sufrir perjuicios (ej.: denegación del aplazamiento), lo que invalida el carácter «libre» del consentimiento (Considerando 42 RGPD).
Aunque la aportación de documentos es «voluntaria» en el procedimiento, esta voluntariedad es superficial, ya que no existe alternativa real: el tributo es una obligación coactiva (art. 2 y 3 LGT).
Normativa específica (LOSSEC) no aplica al CIRBE:
El art. 82.3.a de la Ley 10/2014 (LOSSEC) solo permite la difusión de datos bancarios cuando el interesado consienta, pero esta ley se centra en el secreto bancario en supervisión financiera, no en el CIRBE, cuyas normas específicas (arts. 59-65 LMRSF) no incluyen este caso.
Incoherencia interna:
No sería lógico que solo para los documentos que el interesado aporta libremente (ej.: avales) se requiriera consentimiento, mientras que la AEAT pueda tratar otros datos sin esta base.
Conclusión: El consentimiento no es una base jurídica válida para este tratamiento.
B. Cumplimiento de una obligación legal (art. 6.1.c RGPD) en relación con el art. 28.2 LPACAP
La AEPD evalúa si el acceso a la CIRBE podría basarse en una obligación legal concreta de la AEAT. Sin embargo:
El art. 28.2 de la LPACAP (dispensas en la aportación de documentos) regula la potestad de verificación de la Administración, que se fundamenta en el art. 6.1.e RGPD (misión de interés público), no en el cumplimiento de una obligación legal específica.
La AEAT debe actuar dentro de sus competencias (art. 103.3 Ley 31/1990), pero la CIRBE tiene una finalidad exclusiva de supervisión financiera (arts. 59 LMRSF), no de control tributario. Acceder a estos datos para otros fines requeriría una ley expresa (art. 6.4 RGPD), lo que no ocurre aquí.
Conclusión: Tampoco aplica esta base jurídica, salvo que una norma específica autorice expresamente el acceso a la CIRBE para estos fines.
C. Ejercicio de poderes públicos/misión de interés público (art. 6.1.e RGPD)
El informe considera que el tratamiento podría legitimarse si se enmarca en el ejercicio de una misión de interés público atribuida a la AEAT, pero:
La CIRBE está diseñada para supervisión financiera (salud del sistema crediticio), no para evaluar solvencia en procedimientos tributarios.
Las finalidades del tratamiento deben ser compatibles con la finalidad original de los datos (art. 5.1.b y 6.4 RGPD). El uso de datos del CIRBE para analizar la solvencia de un deudor tributario no está previsto en la normativa de la CIRBE (art. 62 LMRSF limita el uso a operaciones crediticias).
Conclusión: Incluso bajo esta base, el acceso requeriría:
Autorización expresa del interesado (no consentimiento RGPD), ya que el interesado es el único titular del derecho de acceso al CIRBE (art. 65 LMRSF).
Una evaluación de impacto (art. 35 RGPD) para garantizar que el tratamiento no afecta desproporcionadamente los derechos del afectado.
Propuesta final
Dada la falta de cobertura legal clara para que la AEAT acceda directamente al CIRBE en estos procedimientos, el informe recomienda:
Que sea el propio interesado quien, de forma libre y voluntaria, obtenga su informe del CIRBE y lo entregue a la AEAT (art. 46.3.c RGR). Esto implica:
La AEAT no debe solicitar ni sugerir al interesado que autorice el acceso.
El interesado debe declarar explícitamente que autoriza el tratamiento de estos datos para la finalidad tributaria concreta.
Sustituir el término «consentimiento» por «autorización» en cualquier documento para evitar confusiones con la base jurídica del RGPD.
La autorización debe:
Estar documentada y acreditada.
Cumplir requisitos de integridad, seguridad y autenticidad (art. 12 LOPDGDD).
Informar al interesado sobre la finalidad del tratamiento y sus derechos.
Base jurídica definitiva:
Art. 6.1.e RGPD (misión de interés público) para la AEAT, pero solo si mediara la autorización expresa del interesado (no consentimiento RGPD).
Art. 65 LMRSF (derecho de acceso del interesado a su informe de la CIRBE).
Riesgos y salvaguardas
El informe advierte de que, incluso con autorización del interesado, el tratamiento de datos del CIRBE para fines tributarios:
Podría requerir una evaluación de impacto (EIPD) si se considera que entraña alto riesgo (art. 35 RGPD).
Debe garantizarse la proporcionalidad y minimización de datos, evitando tratamientos adicionales no previstos.
Conclusión final
La AEPD concluye que:
No existe base jurídica válida para que la AEAT acceda directamente a la CIRBE en procedimientos de aplazamiento sin la autorización expresa del interesado.
La única vía lícita es que el interesado solicite su informe al CIRBE y lo entregue voluntariamente a la AEAT, pues la normativa no contempla este acceso automático.
Any otro tratamiento requeriría una reforma legal específica que lo autorice, con las garantías correspondientes.
Destacado: El informe subraya que la voluntariedad aparente en la relación administración-ciudadano no garantiza un consentimiento libre según el RGPD, por lo que se debe priorizar la autorización informada y expresa del afectado, siempre dentro de los límites legales.