El Tribunal Supremo acaba de confirmar que la Agencia Tributaria puede utilizar datos personales de terceros en inspecciones fiscales sin necesidad de pedir permiso al titular de esa información. Es una sentencia que redefine los límites entre la protección de datos y la lucha contra el fraude fiscal, y que, además, fija doctrina jurisprudencial en un terreno hasta ahora nebuloso.
La resolución número 1206/2025, dictada el 29 de septiembre de 2025 por la Sección Tercera de la Sala de lo Contencioso-Administrativo, formada por José Manuel Bandrés Sánchez-Cruzat, presidente y ponente, Eduardo Calvo Rojas, José Luis Gil Ibáñez, Berta María Santillán Pedrosa, Juan Pedro Quintana Carretero, Pilar Cancer Minchot y Margarita Beladiez Rojo—, tumba el recurso de una contribuyente que descubrió que Hacienda había incluido su nombre, DNI y detalles económicos en las liquidaciones tributarias de su cuñada.
Datos que no eran suyos, en un procedimiento que no era suyo, pero que ahora la justicia considera completamente legítimo.
El conflicto: cuando tu vida fiscal aparece en el expediente de otro
Mónica Moreno Eslava se llevó una sorpresa al comprobar que la Agencia Tributaria había detallado información personal suya en dos liquidaciones del IVA e IRPF correspondientes a su cuñada Natalia Barberá, titular de un estanco en Vilaseca, Tarragona.
¿El motivo?: Hacienda sospechaba que una empresa familiar, Jofimoser Els Pins S.L., de la que Moreno era administradora junto a su hermano Hernán —marido de la obligada tributaria—, facturaba gastos inflados para reducir la carga fiscal de los estancos de la familia.
En los acuerdos de liquidación de 2015 y 2016, la inspección detalló que Moreno era administradora de Jofimoser, incluyó su DNI, describió sus vínculos familiares y señaló que también era titular de un estanco.
Todo ello para justificar que las facturas emitidas por la empresa a su cuñada no eran deducibles, al considerar que se trataba de gastos personales disfrazados de empresariales mediante una estructura societaria familiar.
La contribuyente denunció ante la Agencia Española de Protección de Datos (AEPD) una cesión ilegal de información. Argumentó que no era parte del procedimiento, que nadie le había pedido autorización y que revelar su identidad y datos económicos a un tercero —la obligada tributaria— vulneraba la normativa de protección de datos.
La AEPD inadmitió su reclamación mediante resolución de 16 de diciembre de 2020. La Audiencia Nacional confirmó esa decisión el 28 de abril de 2022. Y ahora, el Supremo también la rechaza, pero fijando criterios claros para casos futuros.
La resolución: tratamiento legítimo, no cesión ilegal
El Supremo establece una distinción técnica pero crucial: lo que hizo Hacienda no fue «ceder» datos a un tercero, sino «tratarlos» de forma legítima dentro de sus competencias administrativas.
La cesión implica revelar información a alguien ajeno al responsable del tratamiento para que éste haga un uso propio. El tratamiento, en cambio, es el uso que hace el propio responsable —en este caso, la AEAT— de los datos en el ejercicio de sus funciones.
El tribunal rechaza frontalmente el argumento de la recurrente de que bastaba con mantener el anonimato de los nombres o usar iniciales. «Para motivar de forma suficiente y acreditar por parte de la Administración tributaria las razones del rechazo de los citados gastos resultaba imprescindible consignar los datos personales», sentencia. Nombres, DNI, condición de administradora, vínculos familiares: todo ello era necesario para «poner de relieve esas vinculaciones familiares y con la sociedad, que se consideraban determinantes […] de la falta de justificación de lo facturado».
La sentencia subraya que el tratamiento fue «adecuado, idóneo, pertinente y necesario» para cumplir un objetivo de interés general: la persecución del fraude fiscal. Y cita jurisprudencia del Tribunal de Justicia de la Unión Europea —sentencias de 27 de septiembre de 2017 (asunto C-73/16) y 22 de junio de 2021 (asunto C-439/19)— que avala el tratamiento de datos personales por autoridades tributarias sin consentimiento cuando persigue fines de recaudación y lucha contra el fraude, siempre que sea proporcionado.
El Supremo también descarta la infracción del artículo 95 de la Ley General Tributaria (LGT) sobre el carácter reservado de los datos.
Razona que no se ha violado ese carácter reservado porque los datos «se han utilizado por parte de la AEAT en el ejercicio de sus funciones y de las potestades atribuidas a la Administración tributaria al servicio de los intereses públicos, con fines tributarios».
No se ha revelado información confidencial al público ni a entidades ajenas: simplemente se ha utilizado dentro del procedimiento tributario para el que la ley faculta a Hacienda.
Respecto al artículo 102.2.c) de la LGT, el tribunal es tajante: la utilización de esos datos «era necesaria […] para poder fundamentar los Acuerdos de liquidación, y garantizar el derecho de defensa de la obligada tributaria, que tiene derecho a conocer con precisión la relación de hechos que justifican el levantamiento de las actas».
La doctrina jurisprudencial: lo que dice el Supremo para casos futuros
La sentencia fija doctrina con una fórmula que será de aplicación obligatoria en casos similares:
«El artículo 8 de la Ley Orgánica 3/2018 y el artículo 6.2 c) y e) del Reglamento (UE) 2016/679 no se oponen a que la Agencia Estatal de Administración Tributaria, en el curso de la tramitación y resolución de un procedimiento de gestión, inspección o recaudación tributaria, utilice datos de carácter personal de terceras personas físicas, distintas al sujeto obligado tributario sometido al expediente administrativo, siempre y cuando: el tratamiento de los datos se ampare en las facultades que se confieren a las autoridades tributarias para luchar contra el fraude fiscal; la inclusión de los datos se limite a aquellos que se revelen adecuados, idóneos, pertinentes y necesarios para la determinación de los hechos y motivar las resoluciones que se adopten; sea proporcionada al fin legítimo perseguido para lo que son tratados.»
Tres condiciones acumulativas que funcionan como salvaguardas: no vale cualquier inclusión de datos, sino solo aquella estrictamente necesaria y justificada. El Supremo no da carta blanca a Hacienda, pero reconoce un amplio margen cuando hay indicios de fraude.
Esta doctrina actualiza la contenida en la sentencia 1520/2023, de 22 de noviembre, también citada en el fallo, que ya había abordado el tratamiento de datos personales por la AEAT pero sin el desarrollo argumental y sistemático de esta nueva resolución.
¿A quién afecta y qué implica?
Esta sentencia tiene un alcance potencial enorme. Afecta a cualquier contribuyente cuyos datos puedan aparecer en inspecciones tributarias ajenas por vínculos familiares, societarios, comerciales o profesionales.
Socios, administradores, familiares de obligados tributarios, proveedores, clientes: todos pueden ver su información personal incluida en expedientes de terceros si Hacienda considera que es relevante para acreditar hechos con trascendencia fiscal.
La decisión también despeja dudas sobre la articulación entre la normativa de protección de datos y la tributaria. Durante años, inspectores y contribuyentes han debatido hasta dónde podía llegar la AEAT sin vulnerar el RGPD. Ahora queda claro: el interés público en la lucha contra el fraude fiscal prevalece sobre la expectativa de privacidad de terceros cuando su información es necesaria para motivar una liquidación.
Sin embargo, la sentencia no es un cheque en blanco. Los tres requisitos establecidos —amparo en facultades antifraude, limitación a datos necesarios y proporcionalidad— funcionan como límites que pueden invocarse en futuras reclamaciones. Si Hacienda incluye datos irrelevantes, excesivos o desproporcionados, el afectado podrá impugnar con base en esta misma doctrina.
El fallo también tiene implicaciones para la AEPD. La Agencia de Protección de Datos deberá tener en cuenta estos criterios al evaluar reclamaciones contra la AEAT: no basta con alegar que aparecen datos propios en un expediente ajeno; habrá que demostrar que son innecesarios, inadecuados o desproporcionados para el fin tributario perseguido.
Desde el punto de vista práctico, la sentencia refuerza la posición de Hacienda en inspecciones complejas que implican a grupos familiares o empresariales. Podrá documentar con detalle las relaciones entre contribuyentes sin temor a sanciones por protección de datos, siempre que respete los límites de necesidad y proporcionalidad.
El contexto europeo: una tendencia consolidada
La sentencia se inserta en una tendencia europea consolidada de reforzar las facultades de las administraciones tributarias en la lucha contra el fraude, incluso a costa de limitar derechos individuales. El Tribunal de Justicia de la Unión Europea ha avalado repetidamente tratamientos de datos por autoridades fiscales sin consentimiento.
En la sentencia del Tribunal de Justicia de la Unión Europea de 27 de septiembre de 2017 (asunto C-73/16, Puškár), el tribunal de Luxemburgo estableció que el artículo 7.e) de la antigua Directiva 95/46 —antecesora del RGPD— «no se opone a que, sin que medie el consentimiento de los interesados, las autoridades de los Estados miembros traten datos personales a efectos de recaudación y de lucha contra el fraude fiscal», siempre que existan «motivos suficientes para presumir que la inclusión de los interesados en la lista obedece a un motivo» y se cumplan todas las garantías de licitud del tratamiento.
La sentencia del TJUE de 22 de junio de 2021 (asunto C-439/19, Latvijas Republikas Saeima) precisó que el RGPD se opone a normativas nacionales que permitan el acceso público indiscriminado a datos de sanciones tributarias, pero no al tratamiento de esos datos por organismos públicos con fines legítimos de control.
El Supremo español se alinea con esta jurisprudencia europea al considerar que el tratamiento de datos por Hacienda responde a «objetivos de interés general relacionados con la persecución del fraude fiscal», lo que constituye uno de los fundamentos legítimos reconocidos por el RGPD sin necesidad de consentimiento.
El entramado normativo: tres niveles de protección
La sentencia navega por un complejo entramado normativo de tres niveles —europeo, constitucional y legal— que el tribunal desentraña minuciosamente.
En el ámbito europeo, el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) establece en su artículo 6.1 que el tratamiento de datos solo será lícito si cumple al menos una condición.
Dos resultan especialmente relevantes aquí: que sea «necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» (apartado c) o que sea «necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento» (apartado e).
El RGPD aclara en su artículo 6.3 que la base jurídica de ese tratamiento debe estar establecida por el Derecho de la Unión o de los Estados miembros, y que puede contener «disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación».
Por encima, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea reconoce que toda persona tiene derecho a la protección de sus datos personales, pero establece que «estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley».
En el plano constitucional, el artículo 18.4 de la Constitución española garantiza que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Pero este derecho fundamental a la protección de datos no es absoluto: debe ponderarse con otros intereses constitucionales como el deber de contribuir al sostenimiento de los gastos públicos (artículo 31.1) y la eficacia de la Administración al servicio de los intereses generales (artículo 103.1).
En la legislación ordinaria, el artículo 8 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) desarrolla el RGPD estableciendo que el tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal «cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal».
Y aquí entra en juego la Ley General Tributaria (Ley 58/2003). Su artículo 95.1 establece el carácter reservado de los datos tributarios: solo pueden utilizarse «para la efectiva aplicación de los tributos» y «no podrán ser cedidos o comunicados a terceros», salvo excepciones tasadas (colaboración judicial, con otras administraciones tributarias, lucha contra el fraude, etc.). Pero ese mismo precepto reconoce implícitamente que pueden utilizarse con fines tributarios dentro del ámbito competencial de la Administración.
Por su parte, el artículo 102.2.c) de la LGT obliga a motivar las liquidaciones tributarias «cuando no se ajusten a los datos consignados por el obligado tributario», con «expresión de los hechos y elementos esenciales que las originen, así como de los fundamentos de derecho». Y es precisamente este deber de motivación el que, según el Supremo, justifica el tratamiento de datos de terceros.
(Noticia extraída de Confilegal)
