¿Quién vigila al vigilante?
Llevo muchos años dándole vueltas a un misterio insondable, casi a la altura de los arcanos sistemas de IA para selección que la AEAT continúa negando que existen: ¿Por qué la protección de datos de carácter personal no termina de ser bien acogida por nuestras Administraciones Tributarias?
A veces, en un arrebato de ingenuidad, pienso que puede deberse a una simple falta de medios. Otras veces asumo que es pura falta de ¿concienciación?, ¿quizás se deba a una ausencia de reproche jurídico efectivo capaz de modificar la conducta del elefantiásico ente administrativo?
Muy a pesar de mi carácter optimista, si nos quitamos las caretas y somos del todo sinceros, estamos ante la inveterada costumbre institucional de sobreponer otros intereses frente a la garantía de este derecho fundamental.
Un derecho incómodo por naturaleza, a través del que se nos reconocen potestades para controlar lo que se ha hecho, se hace y se hará con nuestra información, y que limita o al menos constriñe la actuación de las Administraciones Tributarias.
Al fin y al cabo, ¿qué es la vida privada de un contribuyente frente a la noble causa de mejorar la eficiencia en la recaudación? Una eficiencia y eficacia buscadas, que además son un mandato constitucional para la AEAT.
¿Es este derecho una cortapisa para alcanzar tal loable finalidad como alguna vez he podido escuchar a algún alto cargo de dicha Administración en foros públicos?
Ahora que está tan de moda esto de la IA, el control algorítmico masivo, la asistencia amable al contribuyente y su doble cara de policía predictiva, ante tanto despliegue tecnológico deslumbrante, se me ocurre plantear una idea un tanto radical.
Una pequeña herejía, si me lo permiten.
¿Y si el celoso vigilante del buen hacer con NUESTROS datos en la joya de la corona de la Administración Pública, sufriera de una (posible) y más que notoria falta de independencia?
¿Podría ser este pecado original estructural uno de los factores determinantes de tanto despropósito acumulado y documentado científicamente en diferentes investigaciones desde el inicio de mi carrera?
Pero agárrense los “códigos”, porque la historia que hoy traigo, supera con creces cualquier debate de salón sobre el estado de la IA. Lo que vamos a destripar hoy apunta directamente a un posible cortocircuito en la sala de máquinas.
La figura del DPD: el imperativo legal de la independencia funcional
Como sé que en este ilustre rincón estamos más acostumbrados a lidiar con cuestiones sustantivas vinculadas al artículo 42 de la LGT y a sus derivaciones de responsabilidad que, con la dogmática de la privacidad, resulta obligada una pausa.
En el ecosistema del RGPD, el DPD no es un mero tramitador de expedientes, ni un adorno corporativo. Es el garante de nuestro derecho fundamental a la protección de datos en el tratamiento de la información; una figura preceptiva cuya única razón de ser es fiscalizar el cumplimiento normativo desde una posición de absoluta neutralidad e independencia.
No debemos olvidar que la AEAT no es un responsable del tratamiento cualquiera; es, con toda probabilidad, el mayor y más intrusivo panóptico de información de nuestro país.
Conoce al milímetro toda nuestra información con trascendencia tributaria y la que no, como ya hemos tenido la oportunidad de explorar en anteriores posts.
Ante semejante volumen de datos sensibles, la asimetría de poder entre la maquinaria de la Administración y el ciudadano es abismal.
Por ello, insisto, la exigencia de una independencia real y efectiva del DPD no es un capricho teórico ni un mero formalismo burocrático, sino la última barrera de contención institucional para garantizar que el tratamiento de esa ingente masa de datos referidos a nuestra vida privada se realice con licitud, lealtad y transparencia.
Esta figura debe evitar el uso desviado de la información. Siendo modernos, este es el para qué del derecho fundamental, como reconoció nuestro TC en las SSTC 290 y 292/2000 de 30 de noviembre.
La separación material de funciones opera como el único sistema viable de frenos y contrapesos (checks and balances) frente a los excesos del Leviatán tecnológico.
Cuando hablamos de desplegar sistemas de IA predictivos o rastreos masivos en redes sociales, los errores de diseño o las brechas de ciberseguridad pueden tener consecuencias devastadoras para miles de contribuyentes.
Si el alto cargo directivo que ha invertido presupuesto, tiempo y prestigio en aprobar y ejecutar estas herramientas técnicas es exactamente el mismo que debe auditarlas, el sistema de garantías colapsa por pura lógica humana.
Ningún alto cargo va a autodenunciarse ante la AEPD ni va a redactar un dictamen demoledor contra sus propios proyectos operativos.
La independencia asegura que exista alguien dentro de la entidad con la libertad, la autoridad y la distancia crítica suficientes para “tirar del freno de mano legal” sin que ello suponga un suicidio profesional.
Para evitar que esta figura acabe padeciendo un severo caso de “síndrome de Estocolmo corporativo”, el legislador la blindó.
El artículo 38.6 del RGPD establece una línea roja inquebrantable: permite que el delegado desempeñe otras funciones, sí, pero impone al responsable del tratamiento la obligación imperativa de garantizar que dichas tareas “no den lugar a un conflicto de intereses”.
En perfecta sintonía, el artículo 36.2 de nuestra LOPDGDD exige garantizar proactivamente esta independencia dentro de la organización.
¿Y qué constituye un conflicto de intereses? No es una simple recomendación de buenas prácticas, es un mandato de la jurisprudencia.
El TJUE, en su tajante Sentencia de 9 de febrero de 2023 (asunto C-453/21, apartados 43 a 46), dictaminó de forma inequívoca que existe un conflicto de intereses estructural e insubsanable cuando el DPD ejerce funciones organizativas que le llevan a “determinar los fines y medios del tratamiento de datos personales”.
Traducido: no puedes ser el arquitecto que diseña los cimientos del tratamiento, el que decide cómo se opera, y a la vez, el perito independiente que certifica que el edificio no se va a caer.
Pues bien, la investigación preliminar parece que pone de relieve que en la AEAT han decidido que la separación de funciones es un concepto exótico. Permítanme la cuña, como otras múltiples cuestiones sobre la (des)protección jurídica de los datos de carácter personal que como académico he tenido la oportunidad de denunciar públicamente en mi carrera.
En el apartado único de la Resolución de 1 de febrero de 2024 de la Presidencia de la AEAT (publicada en el BOE núm. 34, de 8 de febrero de 2024) se indica… “[b]ajo la dependencia directa de la dirección del Departamento de Informática Tributaria, el Centro de Ciberseguridad y Protección de Datos de la AEAT, al que corresponden las funciones realizadas por el Administrador de Seguridad del Departamento de Informática Tributaria en calidad de responsable de Seguridad según el Esquema Nacional de Seguridad (…) así como de Delegado de Protección de Datos, de acuerdo al nombramiento en calidad de Secretario de la Comisión de Seguridad y Control de Informática Tributaria.”
Este párrafo es la definición de manual de ser juez y parte.
Por usar un símil de la jungla en línea con el título del post del blog: es como encargarle al león que diseñe el perímetro de seguridad de la valla de las cebras, que compre los candados, que los instale y, finalmente, nombrarlo “Auditor Independiente de la Sabana” para que emita un dictamen objetivo investigando por qué, vaya por Dios, faltan cebras cada mañana. Un plan sin fisuras.
Anatomía de un despropósito jurídico, BOE en mano
Dejando a un lado la sabana, descendamos al coliseo, a la arena tributaria. Este posible incumplimiento se centra en cinco ejes:
I.- El directivo que se audita a sí mismo
La documentación pública evidencia que la persona designada como DPD ocupa, con una alta probabilidad, de forma simultánea, la Dirección de Seguridad de la Información (CISO).
El Director de Seguridad es el alto cargo ejecutivo que diseña la arquitectura de red, parametriza los cortafuegos y establece los controles de acceso.
Resulta una aberración jurídica (y un choque frontal con la citada doctrina del TJUE C-453/21) que quien diseña y operativiza las barreras de ciberseguridad sea exactamente la misma persona que deba auditar su idoneidad legal y evaluar su impacto sobre la privacidad ciudadana. En este mismo sentido se posiciona el Dictamen 2/2025 del CTyPD de Andalucía (17 de junio de 2025).
¿Se aniquila con esto cualquier presunción de supervisión externa?
II.- La incompatibilidad directa y tasada con el Esquema Nacional de Seguridad
A través de la Resolución de 1 de febrero de 2024 (BOE núm. 34), la norma consolida en este órgano subordinado la asunción de las funciones de responsable de Seguridad según el Esquema Nacional de Seguridad.
Esta acumulación es una infracción expresamente tipificada. En su informe 0170/2018, el Gabinete Jurídico de la AEPD dictaminó de forma categórica la incompatibilidad absoluta entre ambos cargos.
El ENS exige tomar decisiones ejecutivas y operativas, mientras que el artículo 39.1.b) del RGPD impone al DPD supervisar de forma independiente esas mismas políticas. Como advierten las directrices del Comité Europeo de Protección de Datos (documento WP 243 rev.01, sección 3.5), el cargo de responsable de seguridad conlleva un conflicto de intereses inherente.
La “autoauditoría” es una quimera legal.
III.- El DPD “colegislador”: voz y voto en elaboración de propuestas
La guinda del pastel organizativo: el DPD de la AEAT es, por razón de su cargo, el Secretario de la Comisión de Seguridad y Control de Informática Tributaria y de su comité ejecutivo (Resolución de 26 de enero de 1998, actualizada por la de 16 de enero de 2020). Lo pueden ver también en el apartado 3.2 de la página web de la AEAT, donde se define quién es el DPD.
No actúa como un mero fedatario administrativo que levanta actas; la norma le otorga el derecho a asistir a las reuniones con voz y voto, así como la potestad material para impulsar trabajos y elaborar propuestas. Si el DPD propone y vota el plan de adecuación al RGPD o las medidas corporativas, se encuentra jurídica y materialmente incapacitado para auditar de forma independiente esa misma medida.
El supervisor se transforma en “encubridor técnico”.
IV.- La subordinación jerárquica al auditado: el colmo del absurdo
Para garantizar que el DPD no sea silenciado, el artículo 38.3 del RGPD fija un doble mandato imperativo: prohíbe que reciba instrucciones y exige que rinda cuentas directamente al más alto nivel directivo. ¿Y qué hace la AEAT en su Resolución de 1 de febrero de 2024? Incardinar el Centro de Ciberseguridad y Protección de Datos (incluido el DPD por supuesto), “bajo la dependencia directa de la dirección del Departamento de Informática Tributaria”.
Han subordinado legal y orgánicamente al DPD a la misma dirección ejecutiva que diseña y opera los sistemas masivos de información de los contribuyentes.
Al interponer al departamento de informática como superior jerárquico, se instaura una barrera de mando que mediatiza la labor de auditoría. Es institucionalmente imposible que un órgano subordinado ejerza una fiscalización crítica o denuncie incumplimientos formales contra su propio jefe.
V.- El cortocircuito ante la Autoridad de Control
Para rematar, el artículo 39.1, letras d) y e) del RGPD encomienda al DPD actuar como punto de contacto y cooperar con la AEPD.
Ante una eventual brecha de datos en la AEAT, esta figura bicéfala entraría en un colapso de lealtades digno de estudio clínico. Siendo simultáneamente el CISO y el responsable del ENS, tendría que presentarse ante la AEPD como enlace imparcial para auditar e investigar la eficacia de las mismas medidas de ciberseguridad que él mismo había diseñado y aprobado. Algo que la guía del Supervisor Europeo de Protección de Datos (sección 4.3) califica de incompatible con su labor de “facilitador independiente”.
Epílogo
Conviene recordar que la arquitectura organizativa que acabamos de diseccionar no constituye una mera disfunción estética administrativa, ni un “pecado venial” en el diseño de un organigrama público.
La conducta enunciada se encuentra plenamente tipificada como infracción en el artículo 83.4.a) del RGPD, que sanciona la vulneración de las obligaciones relativas a la figura del DPD.
Al tratarse de una entidad del sector público, el régimen aplicable nos remite a los artículos 71 y 77.2 de la LOPDGDD; preceptos que obligan a la autoridad de control —la AEPD—, una vez constatada la incompatibilidad, a dictar resolución declarando la infracción y ordenando de forma imperativa la separación real, efectiva y orgánica de las funciones ejecutivas y de supervisión. Esto es, ni más ni menos, lo que se ha exigido formalmente.
Cualquier profesional que se enfrente a diario a la maquinaria de aplicación de los tributos conoce de primera mano la desoladora asimetría del rigor normativo.
Al obligado tributario se le exige un cumplimiento pulcro, quirúrgico, milimétrico y, en no pocas ocasiones, implacable. Las excusas de “falta de medios” se desvanecen ante la exigencia de un compliance de cristal y una carga de la prueba a menudo difícil.
A los ciudadanos y operadores jurídicos solo nos queda la amarga resignación de saber que, en la inmensa, oscura y digitalizada selva de nuestros datos, el león sigue luciendo, muy orgulloso, la placa de guarda forestal.
Los hechos expuestos fueron puestos en conocimiento formalmente ante la AEPD para su investigación (n.º registro: REGAGE26e00028296921, fecha: 17/03/2026 -13:21:41 [Horario peninsular]). Pendiente de admisión a trámite.
* * * * *
La presente actividad forma parte de la Cátedra Jean Monnet EUTAXRIGHTS “The protection of taxpayers´ rights in the EU Law” (Project: 101175282: ERASMUS-JMO-2024-HEI-TCH-RSCH) financiada por la Unión Europea.
Esta entrada es parte del proyecto de I+D+i PID2022-139650OB-100 “Administración electrónica, inteligencia artificial y tributos”, financiado por MCIN/ AEI/10.13039/501100011033/ y “FEDER,UE”).