El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda tres cuestiones fundamentales relacionadas con la normativa reguladora del derecho fundamental a la protección de datos personales en el contexto de la «Solución Pública de Facturación Electrónica» gestionada por la Agencia Estatal de Administración Tributaria (AEAT).
La primera cuestión se refiere a la base jurídica que ampararía los tratamientos de datos personales realizados por la Solución Pública de Facturación Electrónica cuando los empresarios o profesionales opten por utilizar esta solución para emitir o recibir facturas. El informe destaca la necesidad de que cualquier injerencia en el derecho fundamental a la protección de datos esté claramente definida por una ley, conforme a la jurisprudencia del Tribunal Constitucional y del Tribunal de Justicia de la Unión Europea (TJUE). La ley debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida, garantizando que las personas cuyos datos se traten dispongan de garantías suficientes.
La segunda cuestión se centra en la base jurídica que permitiría a la Solución Pública de Facturación Electrónica tratar los datos personales que, de manera obligatoria, deben comunicar los empresarios o profesionales que no utilicen dicha solución. El informe subraya que la base jurídica debe estar establecida por una norma con rango de ley, y que la ley 56/2007, en su redacción dada por la ley 18/2022, no contempla esta obligación ni las garantías necesarias para estos tratamientos.
La tercera cuestión aborda la circunstancia que levantaría la prohibición de tratamiento de datos personales de carácter sensible que pueden incluirse en las facturas. El informe señala que la norma proyectada no contempla la posibilidad de tratar datos de categorías especiales, ni establece las circunstancias que permitirían su tratamiento conforme al artículo 9.2 del Reglamento General de Protección de Datos (RGPD). Se requiere una ley que especifique el interés público esencial que justifica la restricción del derecho a la protección de datos y que establezca las garantías adecuadas para proteger los derechos fundamentales de los interesados.
El informe concluye recomendando que se realice un análisis de riesgos y una evaluación de impacto relativa a la protección de datos (EIPD) para determinar las medidas adecuadas y específicas que protejan los intereses y derechos fundamentales de los interesados. Además, sugiere que el proyecto normativo incluya un análisis detallado de los riesgos y las garantías necesarias para afrontar los riesgos derivados del tratamiento de los datos personales, conforme a lo establecido en el RGPD y la jurisprudencia del Tribunal Constitucional y del TJUE.