Desde 2020, el Servicio de Administración Tributaria (SAT) inició la fiscalización de plataformas digitales nacionales y extranjeras. La medida buscó regular actividades que hasta entonces operaban en una zona gris en términos de recaudación, como el transporte, el alojamiento, el streaming o el comercio electrónico. Desde entonces, las plataformas deben registrarse ante el SAT, recaudar el IVA correspondiente y presentar reportes detallados sobre sus operaciones con usuarios mexicanos.

Sin embargo, con la reciente aprobación del nuevo Código Fiscal de la Federación (CFF) y la publicación de disposiciones más rigurosas, el SAT podrá exigir más información sobre usuarios, transacciones y métodos de pago, sin que exista una regulación paralela sólida que garantice la protección efectiva de los datos personales.

El problema no es la fiscalización. Es legítimo que el Estado cuente con mecanismos de control y auditoría para evitar la evasión fiscal, especialmente en un entorno digital en expansión. Siempre apostamos por la rendición de cuentas y la equidad entre grandes, medianos y pequeños contribuyentes. Pero ¿qué pasa con los datos personales y las medidas de seguridad que deben protegerlos? Lo preocupante es que la ampliación de facultades del SAT no es acompañada de medidas vinculadas a la protección de datos personales.

Desde la desaparición del INAI, que protegía en México los datos personales en posesión de particulares, no existen pronunciamientos de las nuevas autoridades competentes ante las constantes denuncias de vulneraciones a la privacidad. Con la nueva Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), la Secretaría Anticorrupción y Buen Gobierno es ahora la responsable de proteger la privacidad de las y los mexicanos. Este cambio centraliza la supervisión federal y la atención de denuncias en materia de protección de datos personales, lo que en teoría debería mejorar las nuevas prácticas de recolección de información de particulares que realiza el SAT.

La LGPDPPSO establece principios fundamentales (proporcionalidad, licitud y finalidad específica) que obligan a las autoridades a recabar sólo los datos estrictamente necesarios para cumplir una función legítima. Además, exige mecanismos de responsabilidad como documentos de seguridad, evaluaciones de impacto y procedimientos claros para la conservación o supresión de datos una vez cumplida su finalidad. Estos cambios buscan mitigar riesgos en entornos digitales como el de la fiscalización, aunque en la práctica su aplicación aún enfrenta grandes desafíos.

Existen antecedentes documentados de filtraciones y deficientes prácticas de protección. El Instituto Mexicano del Seguro Social (IMSS), la Secretaría de la Defensa Nacional (Sedena) y el propio SAT han sido blanco de ataques y exposiciones públicas de información sensible, evidenciando la deficiencia en sus controles técnicos, jurídicos e institucionales para proteger la privacidad de millones de personas.

Ahora el SAT podrá solicitar a las plataformas electrónicas detalles más específicos sobre cada usuario, muchas veces sin que éstos sepan que su información ha sido compartida, lo que contraviene el principio de información de la Ley de Datos Personales. Ante ello, la Unidad de Protección de Datos Personales de la Secretaría Anticorrupción y Buen Gobierno podría iniciar verificaciones para evaluar si el SAT cumple con los principios de la LGPDPPSO, especialmente en tratamientos masivos como ubicación, medios de pago e historiales de consumo.

Si el Estado tiene la capacidad de modernizar y ampliar su fiscalización, también debe asumir la responsabilidad de actualizar y aplicar efectivamente la ley de protección de datos personales en posesión de sujetos obligados. No se trata de frenar la auditoría ni de oponerse a la transparencia fiscal, sino de exigir equilibrio entre el poder de fiscalización y los derechos fundamentales de las y los ciudadanos. Hoy, ese equilibrio no existe.,

La secretaría, como garante federal, podría restablecerlo mediante disposiciones generales que aseguren que el SAT no exceda sus atribuciones, transfiera datos sin consentimiento y tenga el aviso de privacidad adecuado. La protección de datos personales no puede quedar rezagada frente al avance de la recaudación digital.

La digitalización del SAT y la regulación de plataformas electrónicas son necesarias y bienvenidas, pero deben ir acompañadas de un régimen robusto de protección de datos personales en el sector público. La proporcionalidad, como lo marca la ley, debe ser el principio rector. De lo contrario, corremos el riesgo de normalizar la recolección masiva de información de la vida privada bajo el pretexto del control fiscal. En una democracia madura, el Estado cobra impuestos a la sociedad, pero también respeta y protege sus derechos humanos.