El difícil equilibrio entre la potestad de la Administración para la efectiva aplicación de los tributos y la protección de los derechos y garantías de los contribuyentes se tensa en el ejercicio del deber general de colaboración, en especial, en relación con las obligaciones de información establecidas en el artículo 93 de la Ley 58/2003, de 17 de diciembre, General Tributaria (LGT).
En una economía y sociedad cada vez más centradas en la explotación de los datos y en lo intangible, y ante la insaciable voracidad de la Administración para obtención de información a costa de la explotación del contribuyente, la jurisprudencia y la doctrina administrativa reciente han intensificado el debate acerca de los límites de este deber de colaboración tributaria, sobre todo en cuanto al tratamiento y requerimiento de datos sensibles por parte de la Administración Tributaria.
La controversia radica en la delimitación material y procedimental de los derechos del contribuyente o ciudadano frente al creciente deber de cooperación, y en cómo articular mecanismos efectivos de oposición, impugnación o limitación frente a requerimientos susceptibles de afectar derechos fundamentales o el uso indebido de los datos personales por parte de la Administración tributaria.
Recientemente, han visto la luz dos pronunciamientos que, por ser de dos órganos distintos, contribuyen de forma especial a la preocupación e inquietud, al debilitar la posición de los contribuyentes, y parecen consolidar una línea interpretativa en la que el interés público tributario prevalece sobre la privacidad, siempre que se respeten los principios de finalidad, proporcionalidad y motivación suficiente.
De un lado, tenemos la Sentencia 1206/2025, de 29 de septiembre de 2025, de la Sección Tercera de la Sala de lo Contencioso del Tribunal Supremo (ver aquí) y, por otro lado, la Resolución del Tribunal Económico-Administrativo Central de 15 de octubre de 2025 (ver aquí). Dos pronunciamientos, dos clavos en el ataúd de los derechos y garantías de los contribuyentes.
A) La Sentencia 1206/2025 y la legitimidad del uso de datos de terceros en procedimientos tributarios.
En el caso de la Sentencia del Tribunal Supremo, la demandante denunció ante la Agencia Española de Protección de Datos (AEPD) a la Agencia Tributaria (AEAT) por haber incluido datos personales de una personal (y su esfera familiar y patrimonial) en el procedimiento de comprobación seguido con un tercero, sin conocimiento y consentimiento previo.
La cuestión planteada consiste en determinar si la actuación de la AEAT vulnera el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales con la inclusión de cualesquiera datos personales de terceras personas no interesadas en los procedimientos tributarios, y si su tratamiento en dichos procedimientos tiene la consideración de cesión de datos personales fundado en el cumplimiento de una obligación legal a los efectos de la vigente normativa de protección de datos.
Al respecto, el Tribunal ya se había pronunciado en similares términos en su Sentencia 1520/2023 de 22 de noviembre de 2023 (RC 5352/2022), de tal forma que se consolida la doctrina previa.
El fallo del Tribunal resulta especialmente restrictivo para los derechos de los contribuyentes. A su criterio, la inclusión de datos personales de terceros es un tratamiento necesario y adecuado en la motivación de las liquidaciones, en aras de la eficacia fiscal y el esclarecimiento de hechos relevantes desde el punto de vista tributario.
“(…) el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el artículo 6.2 c) y e) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que disponen que el tratamiento de datos personales será lícito, entre otros supuestos, cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, o cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, no se oponen, a la luz de lo dispuesto en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y del artículo 18 de la Constitución española, a que la Agencia Estatal de Administración Tributaria, en el curso de la tramitación y resolución de un procedimiento de gestión, inspección o recaudación tributaria, utilice datos de carácter personal de terceras personas físicas, distintas al sujeto obligado tributario sometido al expediente administrativo, siempre y cuando el tratamiento de los datos se ampare en las facultades que se confieren a las autoridades tributarias para luchar contra el fraude fiscal, la inclusión de los datos se limite a aquellos que se revelen adecuados, idóneos, pertinentes y necesarios para la determinación de los hechos y motivar las resoluciones que se adopten, y que sea proporcionada al fin legitimo perseguido para lo que son tratados.”
En un brindis al sol, el Tribunal supedita la licitud del uso al cumplimiento estricto de los principios de finalidad y minimización de datos, es decir, la inclusión de datos de terceros solo será admisible si estos son «adecuados, idóneos, pertinentes y necesarios para la determinación de los hechos y motivar las resoluciones«, y con proporcionalidad al objetivo. Es decir, ya tenemos un nuevo frente de controversias.
Resulta especialmente sangrante que el Tribunal Supremo no tenga en cuenta el elemento esencial para la validez de cualquier dato, su veracidad y verificación. Es decir, en ningún momento, el Tribunal se plantea que la necesidad de dar a conocer el uso de los datos personales al interesado no es tanto para pedir consentimiento, que sería lo deseable, sino para que pueda ratificar su validez y certeza.
¿Qué garantía tiene el contribuyente de que los datos personales de terceros que se incorporan en su liquidación o propuesta de regularización tributaria son válidos y ciertos? En este sentido, al sobrevolar esta cuestión fundamental, el Alto Tribunal da alas a la Administración a que incorpore datos de terceros en los procedimientos tributarios, trasladando al contribuyente (con limitación de medios y de capacidad legal) la carga de la prueba sobre la veracidad de los mismos y, en caso contrario, demostrar su invalidez.
Ante esta doctrina, que traslada la carga de la prueba al contribuyente, es crucial recordar las herramientas procesales a nuestra disposición. En concreto, el artículo 92.2 del Real Decreto 1065/2007, de 27 de julio, del Reglamento General de actuaciones y procedimientos de gestión e inspección tributaria, nos otorga un plazo de 15 días para impugnar la veracidad de los datos de terceros, una vía que, a la vista de las circunstancias, deberíamos explotar sistemáticamente para forzar a la Administración a acreditar la certeza de la información que utiliza.
En conclusión, la doctrina resultante consolida una interpretación expansiva de la normativa de protección de datos permitiendo el tratamiento instrumental de los datos personales por la AEAT, siempre que se cumplan unos criterios mínimos de necesidad, adecuación y proporcionalidad. Es decir, nuestros datos personales serán reservados siempre que sean inútiles.
B) La doctrina del TEAC acerca de los informes de due diligence: cuando la transcendencia tributaria prima sobre la confidencialidad.
El TEAC, sin pudor, abre las compuertas del Averno.
En el supuesto de hecho enjuiciado, la AEAT había requerido a una sociedad la entrega de los informes de due diligence elaborados en una operación de compraventa de participaciones sociales de otra entidad. Ante ello, obviamente, la entidad se negó alegando falta de motivación, vulneración del secreto profesional, y que tales informes contenían información confidencial o “privada no patrimonial” protegida por el artículo 93.5 de la Ley General Tributaria.
Lo más inquietante de este pronunciamiento no es que sea una práctica extraña, al contrario, en los últimos meses he tenido algunos expedientes en los que la AEAT, expresamente, ha requerido la aportación de los informes de due diligence, o sea, estamos ante una circunstancia recurrente y con visos de convertirse en habitual (aunque el criterio del TEAC aún no es vinculante).
El TEAC establece que los requerimientos de información tributaria deben estar motivados y vincularse con la “trascendencia tributaria”, y al respecto, se remite a la doctrina jurisprudencial (ente otras, STS de 22 de abril de 2015) según la cual, “para justificar y entender cumplido el requisito de que la información solicitada tenga trascendencia tributaria, basta con que dicha utilidad sea potencial, indirecta o hipotética.” Al poner el rasero tan bajo, la conclusión es obvia, tal carácter es predicable del informe de la due diligence requerido.
Aunque el TEAC se ampara en una interpretación laxa del concepto de “trascendencia tributaria”, no olvidemos que el propio Tribunal Supremo ha puesto coto a los requerimientos en la medida que resulten abstractos, genéricos e indiscriminados (entre otras, Sentencia 332/2022 de 16 de marzo de 2022) y, con ello, puedan darse arbitrariedades y eludirse el control jurisdiccional.
En cualquier caso, la cuestión más controvertida y sensible es la relacionada con el derecho (y deber) de confidencialidad, el secreto profesional y los límites del artículo 93.5 de la LGT.
Cualquiera que hayamos participado y conocido este tipo de informes, sobre todo en operaciones de compraventa de negocios y empresas, sabemos que los mismos contienen información y valoraciones sobre el grado de cumplimiento de cualquier normativa y objetivos empresariales (situación financiera, márgenes de beneficios, pasivos ocultos, riesgos, debilidades, etc.) que, tanto sirven para tomar la decisión como para la negociación. Ahora bien, ello se realiza en un marco de total confianza entre las partes, asumiendo que bajo ninguna circunstancia, las conclusiones de estos informes no tendrán efectos al margen de la decisión sobre la operación analizada. Pues bien, como veremos, el TEAC hace estallar por los aires este marco de confianza.
El TEAC aclara que la información solicitada no debe sujetarse a los límites del artículo 93.5 LGT pues, ni se encuentra amparada por la protección de datos privados no patrimoniales (intimidad personal y familiar) ni afecta al secreto profesional de los profesionales, pues se solicita directamente al comprador/parte interviniente (al interesado).
En este punto, convendría traer a colación el derecho de no autoincriminarse y a no confesarse (artículo 24.2 de la Constitución), garantía fundamental. Recordemos que, aunque la potestad administrativa de liquidar es distinta a la de sancionar, en la mayoría de las ocasiones, la regularización puede derivar en procedimientos sancionadores. Por consiguiente, las garantías del artículo 24 de la CE debieran ser un límite a la información requerida.
La clave de ello es la distinción entre los datos objetivos susceptibles de aportación (facturas, contratos, libros registro, presupuestos, etc.) frente a los documentos con análisis e informes valorativos que, de alguna forma, impliquen una “confesión” de posibles incumplimientos o contingencias fiscales.
Por si no fuese suficientemente inquietante, conforme el artículo 95 de la LGT, el TEAC recuerda el carácter reservado de los datos con trascendencia tributaria que haya obtenido la Administración en el desempeño de sus funciones y solamente autoriza su uso para los específicos fines que señala (a efectiva liquidación de los tributos o recursos cuya gestión tenga encomendada la Administración Tributaria o la imposición de las sanciones que procedan). En ese contexto, la Sentencia del Tribunal Supremo de 29 de septiembre de 2025, antes comentada, resulta aún más inquietante.
Finalmente, ante la eventual pérdida del informe requerido y la inexistencia de una obligación de conservar el documento requerido, el TEAC sólo afirma que ello no afecta a la validez del requerimiento. “En todo caso, la circunstancia alegada por el interesado podría ser tenida en cuenta, de ser pertinente, en un eventual procedimiento sancionador por incumplimiento, en el que, efectivamente, podría analizarse si existía obligación legal de disponer de los documentos requerido”.
Por tanto, el elemento crucial (y respecto del que no se pronuncia expresamente el TEAC) es si las partes están obligadas a conservar o no los citados informes.
* * * * *
Ambos pronunciamientos confluyen en una tendencia clara hacia la expansión del poder de información de la AEAT, bajo el paraguas de la eficacia recaudatoria y el principio de capacidad económica (art. 31 CE), relegando a un segundo plano la confidencialidad y la privacidad de los sujetos intervinientes.
En mi opinión, estas resoluciones generan un notorio desequilibrio entre las potestades administrativas y las garantías constitucionales en materia de datos. El desafío para la doctrina y la práctica jurídica (y empresarial) será articular mecanismos de control judicial más efectivos frente al tratamiento masivo de información y la potencial extralimitación del principio de colaboración del artículo 93 LGT.
En cuanto al “tratamiento” (empleo o uso) de datos de terceros por parte de la AEAT en procedimientos de comprobación e investigación tributaria, será conveniente exigir a la Administración que pruebe y acredite su corrección y validez previa y, en caso de no hacerlo, cuestionar su utilización por inadecuados, inidóneos e, incluso, impertinentes. Asimismo, no está de más, insistir en conocer el origen de los datos, cómo accedió la Administración a los mismos, por si existiese alguna actuación irregular que cuestione el acceso y disposición de los mismos.
A su vez, en cuanto a los requerimientos de información, conviene comprobar si se produce una ausencia o insuficiencia de la debida motivación y justificación de la trascendencia tributaria. Según reiterada doctrina del Tribunal Supremo y del TEAC, en tanto, “el requerimiento de información constituye un acto administrativo con entidad propia, no adjetiva”, por tanto, una falta de justificación podría invalidar el requerimiento y amparar su impugnación.
En definitiva, la gran batalla por los derechos y las libertades de los ciudadanos frente a la Administración se ha trasladado al eje central de nuestra sociedad y economía, los datos y la información. Y, sin privacidad no hay Libertad.
Pingback: FiscalBlog: Privacidad en suspenso: el deber de información devora los derechos del contribuyente. – IUSLEXBLOG.