| Informe | 2025-0032 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre la Solución Pública de Facturación Electrónica (Informe 032/2025)
La Agencia Española de Protección de Datos (AEPD) analiza en este informe el proyecto de normativa que regula la Solución Pública de Facturación Electrónica, implementada mediante la Disposición Adicional 21ª de la Ley 56/2007 (modificada por la Ley 7/2024). A continuación, los aspectos clave:
Base jurídica del tratamiento
La AEPD destacó en informes anteriores (como el 015/2024) la falta de cobertura legal clara para los tratamientos de datos que implica esta solución. Sin embargo, la nueva disposición resuelve esta cuestión al establecer explícitamente:
La obligación de crear una solución pública de facturación electrónica gestionada por la AEAT.
Que los datos almacenados tendrán carácter reservado, sometidos a las mismas garantías que los datos tributarios (Art. 95 Ley 58/2003, General Tributaria).
Que los tratamientos se regirán por el RGPD y la LOPDGDD, designando a la AEAT como responsable del tratamiento.
Tratamiento de datos sensibles y privacidad
El proyecto no incluye regulación específica sobre datos sensibles (Art. 9 RGPD), pero la AEPD considera que, al estar los datos bajo el régimen de reserva tributaria, quedan protegidos.
Se garantiza el principio de minimización, evitando revelar datos personales a terceros no autorizados (salvo excepciones legales).
Acceso a la información por terceros
Ministerios de Economía y Turismo: Pueden acceder a información agregada o anonimizada (no a datos personales) para el seguimiento de morosidad comercial (Art. 14.1 del proyecto).
Observatorio Estatal de la Morosidad Privada: Recibe datos no personales para elaborar informes anuales sobre impagos (Art. 14.2).
Otras administraciones tributarias: Acceso limitado a casos concretos, evitando cesiones indiscriminadas (en línea con la Sentencia 17/2013 del TC).
Medidas de seguridad y derechos de los interesados
La AEAT adoptará garantías adicionales para proteger los datos, especialmente en el acceso a registros por parte de autoridades judiciales o fiscales (posible restricción de derechos como el acceso o rectificación si obstaculiza investigaciones tributarias).
Se informará al interesado sobre restricciones, salvo que ello perjudique la investigación.
Evaluación de Impacto en Protección de Datos (EIPD) y Análisis de Riesgos
La AEPD valora positivamente que el proyecto incluya anexos con análisis de riesgos y EIPD preliminares, aunque reconoce su carácter provisional al no estar aún desarrollada la solución técnica.
Se sugiere que la AEAT refuerce estos análisis al avanzar en la implementación, especialmente en vulnerabilidades técnicas y organizativas.
Conclusión
El informe aprueba la iniciativa, destacando que la disposición legal sí aporta base jurídica suficiente y garantías adecuadas para el tratamiento de datos. No obstante, recomienda:
Clarificar el acceso a datos por parte de ministerios (evitar la expresión «al menos»).
Profundizar en la anonimización o minimización de datos personales al ceder información.
Completar los análisis de riesgos y la EIPD en fases posteriores.
En resumen, la AEPD considera la normativa conforme al RGPD, pero insta a ajustes para garantizar la máxima protección de los derechos digitales.