¿Hasta dónde puede 'espiarnos' Hacienda legalmente?

La semana pasada causó cierta alerta entre los ciudadanos una noticia que decía “Hacienda rastreará legalmente la ubicación de sus clientes”, aunque, realmente, se refería a los clientes de las plataformas digitales, que son los que tienen que saber la ubicación de estos para calcular el número de transacciones nacionales con el fin de liquidar el Impuesto sobre Determinados Servicios Digitales.

Dicho Impuesto se estableció por una Ley de 15 de octubre de 2020, que decía: “Artículo 7. Lugar de realización de las prestaciones de servicios digitales. 1. Las prestaciones de servicios digitales se entenderán realizadas en el territorio de aplicación del impuesto (territorio español) cuando algún usuario esté situado en ese ámbito territorial” (es decir, en España; se puede decir más claramente).

Y el apartado 4 establece una presunción: “se presumirá que un determinado dispositivo de un usuario se encuentra en el lugar que se determine conforme a la dirección IP del mismo, salvo que pueda concluirse que dicho lugar es otro diferente, mediante la utilización de otros medios de prueba admisibles en derecho, en particular, la utilización de otros instrumentos de geolocalización”.

Y en el apartado 5 se aclara: “Los datos que pueden recopilarse de los usuarios con el fin de aplicar esta Ley se limitan a aquellos que permitan la localización de los dispositivos de los usuarios en el territorio de aplicación del impuesto (territorio español). Es decir, no se trataría de identificar a los usuarios con todos sus datos personales, sino sólo de saber el número de transacciones en España”.

Pero es verdad que la redacción de la Ley, con los verbos en forma impersonal (“Los datos que pueden recopilarse de los usuarios”) no deja claro quién ‘puede’ (en realidad, ‘debe’) hacerlo: si las plataformas digitales o la Agencia Tributaria. Por eso, no nos cansaremos de decir que, en todas las leyes, en general, y en estos temas, en particular, es necesario un lenguaje claro y mucha pedagogía.

Real Decreto de desarrollo

Como “no hay situación, por mala que sea, que no sea susceptible de empeorar”, en el Real Decreto (de junio de 2021) “por el que se desarrollan las reglas de localización de los dispositivos de los usuarios y las obligaciones formales del Impuesto sobre Determinados Servicios Digitales” se embrolla un poco más el asunto, por la manía de redactar en forma impersonal.

Así, el artículo 1. Localización de los dispositivos de los usuarios, dice que: “El lugar se obtendrá mediante tecnologías de geolocalización que analizan la información obtenida 1) del dispositivo, 2) de la red de conexión a internet en que se encuentre el dispositivo o 3) de una combinación de ambos” (apartado 1). Pero no dice quién lo obtendrá, aunque para el regulador resulte algo obvio.

Y en el apartado 2 se especifica, también de forma impersonal: “se podrá utilizar 1) la geolocalización basada en la identificación de redes, 2) la geolocalización física por satélite, o 3) por medio de información proporcionada por sistemas de comunicaciones inalámbricas terrestres, o 4) por balizas, o 5) cualquier otra combinación de tecnologías existentes o futuras”.

Tampoco tranquiliza mucho el Artículo 2. Registros y memoria descriptiva del Impuesto sobre Determinados Servicios Digitales, por el que se impone a los contribuyentes del impuesto (las plataformas digitales) la obligación de llevanza, conservación y puesta a disposición de la Administración tributaria de registros (diferenciados por cada tipo de servicio digital) y de una memoria descriptiva.

Sobre todo, porque en el Artículo 3. Contenido de los registros se especifica (apartado 2): “Los clientes se identificarán por nombre y apellidos, razón social o denominación completa y, si está disponible, el número de identificación a efectos del IVA o el número nacional de identificación fiscal”. Y las plataformas deben aportar a la Administración tributaria estos registros si les son requeridos.

El Delegado de Protección de Datos de la Agencia Tributaria

Preocupado por estas noticias y por la redacción poco clara de la Ley y del Real Decreto de desarrollo, escribí un correo al Delegado de Protección de Datos de la Agencia Tributaria, que tuvo la amabilidad de contestarme en un par de días; cosa que quiero desde aquí agradecer públicamente, aunque no sé bien a quién, porque no se identificó con su nombre y apellidos (no sé si sería bueno hacerlo).

En su correo decía: “la primera cuestión a destacar es que en ningún momento la Agencia Tributaria va a tener acceso a la geolocalización de los ciudadanos”. Y más adelante: “los datos de localización son datos que tiene exclusivamente cada plataforma y que ya registra como parte de la información que utiliza para ofrecer sus servicios”.

“Por otra parte, lo que se requiere a la empresa es geolocalizar las direcciones IP, no a las personas que acceden a sus servicios”. Sin embargo, esto parece que se contradice con la obligación de las plataformas de llevar un registro en el que deben identificarse a los clientes por sus nombres y apellidos, razón social o denominación completa y, si está disponible, el número de identificación fiscal.

Y continúa diciendo: “Esta obligación de las plataformas no se extiende a que esta información se tenga que trasladar a la Agencia Estatal de Administración Tributaria, por lo que la Agencia Tributaria no sabe dónde está cada persona y tampoco lo pretendemos saber con la implantación de este Real Decreto”. Pero éste dice que los registros han de estar a su disposición y que puede requerirlos.

“Si en el futuro una empresa que paga este impuesto fuese inspeccionada por AEAT, lo que se podría solicitar es la explicación de cómo se ha calculado la base imponible y cómo han determinado en qué casos han situado en España el hecho imponible. Así que, ni siquiera en una inspección, la Agencia Tributaria ni pretende ni necesita conocer la geolocalización de personas concretas”.

Transparencia y Protección de Datos

Aparte de más claridad en la redacción de las normas y de más pedagogía para que las entiendan todos los ciudadanos (que son los destinatarios de las normas) y no sólo las asesorías jurídicas de las grandes multinacionales tecnológicas, creo que es necesaria una mayor transparencia en lo referente a la protección de datos personales de los ciudadanos por parte de la Administración Tributaria.

En la página web de la Agencia Tributaria, dentro de las Condiciones de uso de la sede electrónica, está la sección: Información sobre protección de datos, en la que se dan algunas pistas sobre el tratamiento de los datos personales de los ciudadanos que hace la AEAT (aunque no queda claro si se refiere a los datos de los usuarios de la sede electrónica o a los de todos los contribuyentes).

Dice: “En relación con el uso de la web de la Agencia Tributaria por parte de las personas interesadas (los usuarios o los ciudadanos), se informa de que sus datos de carácter personal sólo podrán obtenerse para su tratamiento cuando sean adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Y sobre la “Procedencia” de los datos personales tan sólo dice que los obtiene: “1) de la misma persona interesada, 2) de otras Administraciones Públicas, 3) de otras personas físicas distintas a la interesada, 4) de entidades privadas, 5) de registros públicos y 6) de fuentes accesibles al público”. Pero no hay ningún listado en el que se enumeren cuáles son esas “fuentes accesibles al público”.

En la “Información al interesado sobre protección de datos” (más detallada) dice: “La Agencia Estatal de Administración Tributaria no tiene obligación de informar a los interesados sobre la recogida de los datos”. Pero una cosa es no informar a los ciudadanos sobre la recogida de sus datos y otra cosa es no informar sobre las fuentes de las que se recogen. Sería bueno, creo yo, mayor transparencia.