| Informe | 2025-0009 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (2025-0009)
El informe jurídico de la Agencia Española de Protección de Datos (AEPD), con referencia 2025-0009, analiza un proyecto de Orden Ministerial de la Dirección General de Tributos (DGT) del Ministerio de Hacienda, que regula el uso de medios electrónicos, informáticos y telemáticos en los procedimientos tributarios.
Contexto y marco normativo
El proyecto normativo se enmarca en la Ley 58/2003, General Tributaria, y el Reglamento (UE) 2016/679 (RGPD), así como en la Ley Orgánica 3/2018 (LOPDGDD). La AEPD destaca la necesidad de garantizar que cualquier normativa que implique tratamiento de datos personales cumpla con los principios fundamentales de protección de datos, especialmente en un ámbito tan sensible como el fiscal.
Contenido y análisis de la disposición adicional única
La AEPD centra su evaluación en la disposición adicional única del proyecto, que regula el tratamiento de datos personales en los procedimientos tributarios. Los aspectos clave evaluados son:
Finalidad del tratamiento:
Los datos se recogen exclusivamente para la tramitación de procedimientos tributarios, en cumplimiento del principio de limitación de la finalidad (Art. 5.1.b RGPD).
La AEPD recuerda que los formularios y modelos de representación (voluntarios) no están dentro del alcance del informe, pero se subraya la necesidad de garantizar que su uso respete el RGPD.
Responsable del tratamiento:
El responsable es la Dirección General de Tributos, que debe aplicar medidas técnicas y organizativas para garantizar la conformidad con el RGPD (Art. 24 RGPD).
Base jurídica de legitimación (Art. 6 RGPD):
La AEPD señala que la base legal del tratamiento se encuentra en la Ley General Tributaria (58/2003) y el Real Decreto 1065/2007, pero recomienda precisar los preceptos concretos que habilitan el tratamiento de datos, especialmente en relación con las bases jurídicas del artículo 6.1.c y e RGPD (cumplimiento de una obligación legal y misión de interés público).
Destinatarios y categorías de interesados:
Los datos se comunicarán, en su caso, a otras administraciones públicas en el ejercicio de sus competencias.
Los interesados son los obligados tributarios (contribuyentes).
Categorías de datos tratadas:
Solo se podrán tratar datos identificativos y tributarios (en cumplimiento del principio de proporcionalidad y minimización de datos).
La AEPD recomienda revisar la redacción para asegurar que el tratamiento sea limitado, adecuado y necesario (Art. 5.1.c RGPD).
Medidas de seguridad:
El proyecto remite al Esquema Nacional de Seguridad (Real Decreto 311/2022), cuya implementación debe ser revisada para garantizar la protección de los datos.
Recomendaciones y aspectos críticos
La AEPD realiza las siguientes recomendaciones clave:
Cumplimiento estricto del principio de minimización de datos: Solo se deben recoger los datos estrictamente necesarios para el fin declarado.
Garantizar el derecho a la información (Art. 13 RGPD): La AEPD insiste en que la información sobre el tratamiento de datos debe proporcionarse de manera clara y accesible en el momento de la recogida.
Evaluación de Impacto (EIPD): Dado que el tratamiento de datos tributarios puede implicar un riesgo alto para los derechos fundamentales, la AEPD recomienda realizar una Evaluación de Impacto en Protección de Datos (EIPD), siguiendo la Guía de la AEPD sobre el tema.
Precisión normativa: Se sugiere detallar los preceptos legales que legitiman el tratamiento, especialmente en la base jurídica del RGPD.
Conclusión
El informe de la AEPD aprueba en líneas generales el proyecto normativo, pero insiste en la necesidad de ajustes concretos para garantizar la protección de datos personales conforme al RGPD y la legislación española. La mayor preocupación radica en evitar tratamientos excesivos o desproporcionados, así como en garantizar la transparencia y los derechos de los contribuyentes.
En definitiva, el informe subraya que cualquier normativa que involucre datos tributarios debe someterse a un examen riguroso para asegurar el respeto al derecho fundamental a la protección de datos, especialmente en un ámbito tan regulado como el fiscal.