El artículo 2 bis de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, modificada por la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresa, impone la obligación a todos los empresarios y profesionales «de expedir, remitir y recibir facturas electrónicas en sus relaciones comerciales con otros empresarios y profesionales». La fecha límite para adaptarse es el 1 de julio de 2025.
Para desarrollar reglamentariamente la facturación electrónica obligatoria, el Ministerio de Hacienda y Función Pública elaboró un primer borrador por el que se desarrolla la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas en lo referido a la factura electrónica entre empresas y profesionales. Tiempo después, presentó un segundo borrador que responde a algunas de las observaciones realizadas por empresas y asociaciones empresariales y profesionales, tanto en la consulta pública previa como en el trámite de audiencia e información pública.
Dictamen de la AEPD sobre el Proyecto de Real Decreto
El Gabinete Jurídico de la AEPD en el Dictamen 0015/2024 analiza la llamada «Solución Pública de Facturación Electrónica» incluida en los mencionados borradores. Se trata de una aplicación a través de la cual la Agencia Estatal de la Administración Tributaria (AEAT) tendrá conocimiento de las facturas emitidas y recibidas de todas las empresas y profesionales. En el dictamen se analizan tres cuestiones:
La primera, se refiere a la base jurídica que ampararía los tratamientos de datos personales llevados a cabo por la «Solución Pública de Facturación Electrónica» cuando los empresarios o profesionales que así lo elijan decidan utilizar dicha solución pública para emitir o recibir facturas.
La segunda, se refiere a la base jurídica que ampararía el tratamiento de datos por la «Solución Pública de Facturación Electrónica» consistente en la comunicación obligatoria a esta por los empresarios y profesionales que no utilicen dicha solución para emitir o recibir facturas, es decir, que utilicen para ello una solución privada, de forma que una copia fiel de cada factura se remitirá a la solución pública en su función de repositorio de facturas.
Y la tercera cuestión, analiza cuál sería la circunstancia, de entre las relacionadas en el artículo 9.2 del RGPD, que levantaría la prohibición de tratamiento de datos personales de categorías especiales, que contempla el artículo 9.1 del RGPD, por la «Solución Pública de Facturación Electrónica».
Veamos la respuesta de la AEPD:
A la primera cuestión, en relación con la base jurídica para el tratamiento de los datos personales, de entre las bases previstas en el artículo 6 del RGPD, sería aplicable la letra e), es decir, el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. No sería válido el interés legítimo del responsable (letra f del artículo 6.1 del RGPD) ni el consentimiento del interesado (letra a del artículo 6.1 del RGPD).
La AEPD advierte que el vigente artículo 2 bis de la Ley 56/2007 y la Disposición final séptima, en modo alguno hacen referencia a que dichos tratamientos de datos personales puedan llevarse a cabo por una solución pública, integrada, o gestionada, en (por) la Administración Pública.
Aun cuando fuera decisión voluntaria de dichos empresarios o profesionales la de expedir, remitir o recibir facturas electrónicas por la mediación de la solución pública, se requiere una ley para que los tratamientos de datos personales, por la solución pública, puedan ser considerados como que gozan de una base jurídica que otorgara licitud al tratamiento de datos en que consiste. Dicha ley no existe. Además, las personas cuyos datos personales se hayan transferido a la solución pública deberán disponer de garantías suficientes para salvaguardar sus derechos y libertades. Tampoco existen.
La segunda cuestión está relacionada con la anterior y consiste en cuál sería la base jurídica que permitiría a la «Solución Pública de Facturación Electrónica» tratar los datos personales que, con carácter obligatorio, han de comunicar aquellos empresarios o profesionales que hubiesen decidido no utilizarla previamente para emitir o recibir facturas, optando por soluciones privadas.
El artículo 8.1 de la LOPDGDD, en consonancia con el artículo 6.1.c) del RGPD, requiere que la base jurídica para el tratamiento por obligación legal esté establecida por una norma con rango de ley. No es el caso, pues el Ministerio pretende regular la solución pública mediante Real Decreto.
Por último, la AEPD resuelve la tercera cuestión que se refiere a cuál sería la circunstancia, de entre las relacionadas en el artículo 9.2 del RGPD, que levantaría la prohibición de tratamiento de datos personales de categorías especiales que contempla el artículo 9.1 del RGPD.
En el concepto de una factura se pueden referir datos sensibles (por ejemplo, de salud en una factura de un tratamiento médico). Para el tratamiento de datos de categorías especiales, regulados en el artículo 9 del RGPD, no basta una base jurídica del artículo 6 del RGPD, además debe concurrir una circunstancia, de las previstas en el artículo 9.2 del RGPD, para levantar la prohibición de tratamiento prevista, con carácter general, en el artículo 9.1 del RGPD.
La norma proyectada por el Ministerio, no contempla siquiera como simple hipótesis la posibilidad de que estos tratamientos incluyan datos de categorías especiales; por lo tanto, no dicen nada sobre las posibles circunstancias que levantarían la prohibición de tratamiento.
En base a la doctrina del Tribunal Constitucional, cuando se pretenda establecer la posibilidad de injerencias en el derecho fundamental a la protección de datos personales de los interesados de categorías especiales se requiere:
- Una norma con rango de ley.
- La ley especificará el interés público esencial o la causa que justifica el levantamiento de la prohibición de tratamiento que fundamenta la restricción del derecho fundamental a la protección de datos (STC 76/2019). El Tribunal Constitucional rechaza que dicha identificación pueda realizarse mediante conceptos genéricos o fórmulas vagas (STC 292/2000).
- La ley regulará, pormenorizadamente, las injerencias al derecho fundamental a la protección de datos, estableciendo reglas claras sobre el alcance y contenido de los tratamientos de datos que autoriza (STC 76/2019).
- La ley contendrá garantías adecuadas de tipo técnico, organizativo y procedimental con el fin de prevenir los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos. Ello obliga a realizar un análisis de riesgos y una evaluación de impacto de estos (EIPD) en los tratamientos de datos personales que el Ministerio no hizo.
En definitiva, la «Solución Pública de Facturación Electrónica» no supera el control de legalidad impuesto por la normativa de protección de datos personales.
Conclusión
El sistema proyectado bebe de diversas fuentes, la principal son las bases de datos con información estructurada de los sistemas transaccionales, pero también se contemplan otras, como las actas de inspección, anuncios publicados en diarios oficiales o noticias de medios electrónicos. Hablamos de un Sistema de Análisis de Información, Big Data, Minería de datos y Tecnologías del lenguaje a cargo de la Agencia Tributaria.
A pesar de las observaciones de la AEPD, ha salido a concurso en el BOE el desarrollo de la «Solución Pública de Facturación Electrónica» por 13.579.354,64 €.