La AEAT va a espiar

Lo que les voy a contar hoy… bueno, podría sonar perfectamente al borrador de un guion de Black Mirror. Una administración que, de forma proactiva y masiva, tiene la capacidad de monitorizar nuestro comportamiento en redes sociales y plataformas.

Una herramienta que crea perfiles falsos — “avatares”— para extraer información. Una vigilancia que parece (siguiendo la memoria de licitación) que no se activa después de una sospecha (y una vez iniciado el procedimiento), sino antes (para la selección), a modo de “pesca de arrastre”, para ver quién parece o puede ser “incumplidor”.

Como digo, suena a ciencia ficción distópica. Sin embargo, no les hablo de una serie de Netflix. Les hablo de un documento perfectamente real, público, y debo añadir, fascinantemente aburrido en su forma, pero explosivo en su fondo.

Les hablo del expediente de contratación público 23840010600.

Este expediente licita una herramienta de software para la AEAT. En el fondo, este post no es un texto técnico sobre scraping de datos. Es sobre una colisión fundamental. La colisión entre el artículo 31.1 de la Constitución, el deber de todos de contribuir a los gastos públicos, los principios de legalidad y seguridad jurídica y el artículo 18.4 de nuestra Carta Magna, el derecho fundamental a la protección de datos.

De la memoria de licitación se extrae que esta herramienta es necesaria para luchar contra el fraude. Y nadie entre los lectores de este blog discutirá esa finalidad. La pregunta relevante, la pregunta académica, es: ¿a cualquier precio?

A continuación vamos a “auditar” ese expediente. Vamos a ver qué dice, qué omite, y nos preguntaremos si los algoritmos que se están desplegando están realmente al servicio del interés general… o si, en la búsqueda de una eficacia recaudatoria absoluta, estamos sacrificando principios esenciales de nuestro Estado de Derecho.

Pasemos a la “declaración de intenciones”. ¿Qué nos dice la propia AEAT que justifica esta herramienta?

Oficialmente, la misión es, por supuesto, loable: “detectar rentas infradeclaradas”. Luchar contra el fraude fiscal. Perfecto. Todos de acuerdo.

Pero aquí es donde, al leer la memoria de licitación, uno empieza a arquear la ceja. El lenguaje que utiliza la Administración se vuelve… expansivo.

Han licitado el desarrollo de una herramienta para, y cito textualmente la Memoria, “construir un sistema analítico” a integrar con sus bases de datos.

¿Y cuál es el objetivo de este sistema?“…extraer patrones de comportamiento que nos permitan seleccionar a los contribuyentes más incumplidores”. Fíjense en las palabras. Dice “extraer patrones de comportamiento”.

Esto representa un salto cualitativo fundamental. Parece que la Agencia Tributaria nos está diciendo que ya no le interesa únicamente nuestra “foto” de capacidad económica (lo que declaramos que ganamos, tenemos o compramos), sino la “película” de nuestra vida (cómo nos comportamos).

Pero la ambición no termina ahí. La memoria va más allá. Buscan “fijar patrones de comportamiento” para, y esta es la segunda cita clave “…detectar rentas infradeclaradas e incluso patrones de comportamiento delictivo”. Comportamiento delictivo. Han leído bien. La Agencia Tributaria, que es una administración, ha licitado el desarrollo de un software para detectar “patrones de comportamiento delictivo”, muy posiblemente, antes siquiera de iniciar un procedimiento formal.

Por tanto, el objetivo declarado que justifica esta inversión de más de 700.000 euros no es simplemente recaudar. El objetivo es perfilar.

La AEAT nos dice que necesita acumular información masiva de nuestras redes sociales (y plataformas) para construir un “sistema analítico” que le diga, basándose en nuestro estilo de vida o por lo menos, aquél del que presumimos en redes sociales… (solo lo que decidimos mostrar/publicar), quién es potencialmente un “incumplidor”.

Esto es una profecía algorítmica.

Y para cumplir esa profecía, han licitado un software (ya desarrollado) con unas capacidades muy concretas, como veremos a continuación.

Pues bien, toda profecía necesita un oráculo. Hablemos de las capacidades de este oráculo.

¿Es un experimento pequeño?, ¿una prueba de concepto?

–Primero, el precio. No, no es un experimento. Estamos hablando de un contrato con un valor estimado de 714.049,60 euros. Claramente, es una apuesta estratégica.

–Segundo, la escala. El software, según el expediente de contratación, debe ser capaz de procesar 100.000 o más “nicks” o perfiles de usuario. Cien mil. Para que nos hagamos una idea, es el equivalente a llenar el estadio Santiago Bernabéu y aún nos sobrarían alrededor de 15.000 perfiles por analizar aproximadamente. No parece servir para realizar una actuación selectiva, sino por el contrario para desarrollar actuaciones masivas.

¿Y a quién se dirige esta capacidad de procesamiento? La investigación de la que extraigo este post para el blog, muestra que el proyecto tiene dos fases claras: La Fase 1, que arrancó en 2023, fue el “piloto”. El objetivo era evidente y mediático: los Influencers. ¿Pueden haber regularizado a algún influencer como consecuencia del perfilado previo de esta herramienta? Como todo buen algoritmo, tiene hambre de datos. 

La Fase 2, que según la memoria de licitación empezaba en 2024, expande el menú. Ya no son solo influencers. La memoria habla, y la terminología es deliciosa, de aplicar el software a “otros colectivos”. ¿Y quiénes son? “Deslocalizados” (atención youtubers), “sospechosos de blanqueo”, “sospechosos de corrupción”, “investigados”, “contribuyentes” e “inspeccionados”. Como ven, la red de captura (marítima) es notablemente amplia.

Y la pregunta final, ¿Dónde va a buscar esos “patrones de comportamiento” ? ¿En el Boletín Oficial del Estado? No.

Peinan las plataformas donde vivimos, compramos y socializamos. El ámbito de actuación incluye, por supuesto, TikTok, Instagram, YouTube, Facebook, Twitch… y sí (pausa deliberada para el lector por favor), el expediente y la investigación lo confirman, el alcance se extiende a OnlyFans y Patreon.

Quiero que retengan este dato. La Agencia Tributaria considera, en su memoria de licitación, que tiene “trascendencia tributaria” lo que sucede con nuestros patrones de comportamiento en OnlyFans. Porque como veremos, la herramienta puede acceder a datos de terceros, de todos los terceros, aunque sea con la finalidad de scrapear informaciones determinadas.

Así que tenemos una herramienta de casi tres cuartos de millón de euros, capaz de “escanear” a 100.000 personas, en plataformas que incluyen contenido para adultos.

La pregunta evidente es: ¿qué van a mirar exactamente ahí dentro?, ¿se van a limitar a contar “me gustas”?

La respuesta corta (a mi juicio) es un no rotundo. Y da miedo.

Por supuesto, los documentos hablan de datos cuantitativos. El software va a contar seguidores, visualizaciones, likes, número de comentarios, etc. Es la métrica a mi juicio básica. El “alcance” y la “resonancia”. Para valorar un indicio de impacto de estos colectivos.

Pero, como revela la investigación, probablemente, el verdadero objetivo es cualitativo. La memoria de licitación es explícita: se busca analizar el contenido de las publicaciones, las fotografías, los vídeos y los metadatos.

Cito textualmente de la memoria, porque es una joya: buscan “fotos con metadatos de ubicación diversa” para “establecer un estilo de vida dispar a sus declaraciones”.

Traducido: “¿Dices que vives en Dubái, pero tus stories de Instagram te geolocalizan 300 días al año en Badajoz? Tenemos un patrón.” Y no solo quieren tus fotos, sino los comentarios que te dejan terceros.

Pero aquí viene la verdadera pregunta: ¿Cómo accedes a todo ese contenido?, ¿Cómo entras a un perfil que, quizás, no es 100% público (de acceso restringido)?, ¿O a una plataforma de pago como Patreon donde requieres ser suscriptor para ver el contenido?

Aquí es donde el expediente se pone francamente, distópico. Y no es una interpretación mía, es una cita directa del pliego de prescripciones técnicas: “La herramienta de análisis y/o la empresa adjudicataria se encargará de crear y mantener los avatares que fueran necesarios para la ejecución del análisis de los perfiles solicitados. “Avatares”. Perfiles falsos.

La Administración Tributaria ha solicitado un servicio que incluye, por diseño, la creación de identidades falsas para extraer información. Esto no es una observación pasiva de datos públicos; es una infiltración activa. Es la AEAT convirtiéndose en “seguidor” tuyo en Twitch o en suscriptor en Patreon para ver qué publicas, qué publicitas, qué escribes y te escriben.

Irónicamente, ganar a Hacienda como follower no parece una buena estrategia.

Y por si esta herramienta de 100.000 nicks nos parecía grande, mi investigación revela que por si era poco, esto es solo el principio.

El contrato tiene una “puerta trasera” maravillosa.

El pliego de cláusulas administrativas permite modificar el contrato, con un 20% de sobrecoste, para:

* a) Añadir más nicks (los 100.000 se pueden quedar cortos). 

* b) Añadir más redes sociales (si mañana surge una nueva que cumple las mismas funciones [¿a juicio de?], se añade). 

* c) Y cito: “incorporar nuevas plataformas”. El término “plataforma” es deliciosamente vago. ¿Un foro de criptomonedas?, ¿un servidor de Discord?, ¿para vigiliar influencers, contribuyentes y corruptos?

Así que, recapitulemos este punto. Tenemos una herramienta masiva (en teoría ya funcionando unos añitos), que no solo cuenta likes, sino que permite potencialmente analizar el contenido cualitativo de nuestras vidas, que utiliza perfiles falsos para acceder a esa información, y que además está diseñada para crecer en opacidad.

La pregunta que cualquier jurista se está haciendo ahora mismo es: ¿Pero Bernardo esto… esto es legal?

Llegamos a la pregunta clave. ¿Es legal que la AEAT use “avatares” y scrapee masivamente (hasta) 100.000 perfiles?

Aunque estas cuestiones se desarrollan en profundidad en el artículo de investigación que verá la luz el año que viene, la respuesta, empieza con el pilar fundamental de cualquier actuación pública: el principio de legalidad.

Como todos sabemos, la Administración no es un ciudadano. No puede hacer todo lo que la ley no le prohíbe. Al contrario: solo puede hacer aquello que la ley, expresamente, le habilita a hacer.

Si la AEAT quiere desplegar una herramienta de vigilancia masiva, necesita una norma con rango de Ley que, de forma clara y específica, le otorgue esa potestad y establezca garantías.

Y aquí es donde la investigación se pone interesante. ¿Cuál es esa ley?, ¿dónde está el artículo que dice “Se autoriza a la AEAT a crear perfiles falsos para extraer datos de redes sociales”?

No existe.

Lo que tenemos, en cambio, en el mejor de los casos es una interpretación… digamos… expansiva de normas genéricas. La AEAT podría basar su potestad en dos artículos:

El “santo grial” de las potestades de información: el artículo 93 de la Ley General Tributaria. El deber general de todos de “proporcionar” información con “trascendencia tributaria”. Y el artículo 55 de la Ley de Procedimiento Administrativo Común, que regula las “actuaciones previas” para conocer las “circunstancias del caso concreto”.

Y el problema es evidente:

El artículo 55 habla de un “caso concreto”. ¿Es “scrapear” 100.000 perfiles de forma automatizada un “caso concreto”? A mi juicio, es la definición de lo opuesto a un caso concreto. Es una actuación masiva e indiscriminada.

Y el artículo 93, como saben, se refiere al deber de “proporcionar”, lo que implica un requerimiento individualizado (o al menos la postivización de una obligación por suministro). No habla de la potestad de la Administración de extraer proactivamente y sin conocimiento del interesado.

Estas normas no se diseñaron para una vigilancia sistémica.

Usar estos preceptos para justificar el software de obtención de datos de 100.000 nicks no encaja con la habilitación legal; es más parecido a interpretar la norma como una “habilitación en blanco”.

Valiéndome del símil tributarista por excelencia, es la diferencia entre la pesca con caña (un requerimiento individual/suministro de información) y la “pesca de arrastre” (o fishing expedition).

Pero incluso si aceptásemos, solo por un momento, que la LGT y sus reglamentos de desarrollo lo permiten… esta práctica choca de frente con un muro legal mucho más denso. Un derecho fundamental. Y cuya legislación de desarrollo se proyecta a través de ese Reglamento General de Protección de Datos y su LOPD-GDD.

Por si alguien todavía tiene dudas, el Reglamento General de Protección de Datos no es una recomendación; es un reglamento de aplicación directa. Y la investigación que he realizado sobre este expediente concluye que este proyecto lo podría vulnerar, no en un matiz técnico, sino en sus principios más elementales.

Veamos los cuatro posibles incumplimientos clave, al que habría que añadir el principio de licitud, vinculado al principio de legalidad:

Primero. La antítesis de la minimización de datos. El artículo 5.1.c del RGPD exige que los datos sean “limitados a lo necesario”. Y me pregunto: ¿Es estrictamente necesario para calcular el IRPF con carácter previo a cualquier procedimiento de regularización tributaria analizar el contenido cualitativo de un vídeo de TikTok en el que aparecen terceros?, ¿es “necesario” desarrollar un software que podría llegar a establecer patrones para saber con quién interactúas en Twitch?, ¿en qué parte de la LIRPF entra como variable el número de suscriptores y sus interacciones (privadas) en OnlyFans? 

Insisto, por lo que se deduce de la memoria de licitación y el alcance del software, en muchos casos probablemente al margen de un procedimiento tributario, para la selección del contribuyente más incumplidor.

Segundo. La “finalidad” ilimitada. El RGPD exige fines “explícitos y legítimos”. El fin declarado, “lucha contra el fraude fiscal”, es legítimo, pero se usa de forma genérica. El problema es que el fin real que confiesa la Memoria es “fijar patrones de comportamiento” o detectar “comportamientos delictivos”. 

Preocupa. Eso no es un fin tributario; podría ser un fin de vigilancia general para el que (posiblemente) no tienen competencia.

Tercero. La opacidad como norma (adiós, transparencia). El artículo 14 del RGPD es clarísimo: si obtienes datos de un tercero (como redes sociales o plataformas), tienes la obligación de informar al interesado. ¿A alguno de nosotros nos ha llegado una notificación de la AEAT diciendo “Hola, estamos analizando sus stories de Instagram”?

Claro, si informara, arruinaría la investigación. Pero las únicas excepciones para no informar (las del art. 14.5) son que, en tales casos, el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información sobre el tratamiento o que la operación de tratamiento esté expresamente prevista en la ley.

¿Y qué sucede cuándo se limita de facto el derecho de acceso a la información personal a estos colectivos? Aquí es necesaria la limitación mediante mandato legal expreso, ¡sorpresa! No existe norma que se adecue al artículo 23 del RGPD.

Y cuarto, y posiblemente el más grave: el tratamiento de datos especialmente protegidos. Este es el “jaque mate”. El artículo 9 del RGPD prohíbe por defecto tratar datos de opiniones políticas, creencias religiosas, o vida y orientación sexual.

Pregunta: Cuando usas “avatares” para scrapear el contenido cualitativo de OnlyFans o los debates en un hilo de Facebook, ¿qué te encuentras? Inevitablemente, te encuentras con datos del artículo 9. La administración podría no tener base de legitimación del artículo 6 del RGPD, ni supuesto de exención del 9.2.

El RGPD solo permite levantar esa prohibición por un “interés público esencial” basado en una Ley. Una ley que, como insiste la doctrina del Tribunal Constitucional, debe tener “garantías adecuadas” y específicas.

Quizás me equivoque, creo que jurídicamente no son datos manifiestamente públicos vinculados a la finalidad de reutilización para fines tributarios. Son plataformas y redes sociales, en muchas ocasiones, de acceso restringido. Aun partiendo de dicha tesis, seguiría sin existir una base legal del artículo 6 del RGPD acorde al tratamiento de datos. No podría aplicarse a mi humilde entender la excepción del artículo 9.

En resumen, a mi juicio, la AEAT no solo carece de habilitación legal, sino que está operando en vulneración flagrante de los principios nucleares de la protección de datos de la UE. Esto nos lleva a la reflexión final: ¿Cuáles son las consecuencias de todo esto?

Llegamos al final. Hemos visto una herramienta masiva, con un coste de más de 700.000 euros. Hemos visto una capacidad de scrapear 100.000 perfiles. 

Hemos visto el uso de “avatares” (perfiles falsos) para extraer contenido cualitativo. Y acabamos de ver que esta práctica no solo carece de una habilitación legal específica en la LGT, sino que además choca frontalmente con los principios de licitud, minimización (lealtad), transparencia y la prohibición de tratar datos especialmente protegidos del RGPD.

La conclusión es, por tanto, inequívoca: estas prácticas, en su configuración actual, no son compatibles con el marco legal vigente.

Pero lo más grave, para un foro como este, no es solo que se ignore la ley. Es que se está ignorando la doctrina jurisprudencial y administrativa reciente.

Esta práctica ignora al Tribunal Constitucional, que en su sentencia 76/2019 fue clarísimo: cualquier intromisión en datos sensibles requiere una ley con “garantías adecuadas”, no un cheque en blanco. Ignora al Tribunal de Justicia de la Unión Europea, que en el asunto C-175/20 ya declaró ilegal una recogida masiva de datos por parte de una administración tributaria sin una ley específica y proporcional. 

E ignora a la propia Agencia Española de Protección de Datos, que en el caso SALER, en un contexto de consulta previa para el desarrollo normativo, ya advirtió de la ilegalidad de usar internet para fines de investigación administrativa previa al margen de cualquier procedimiento sin una ley que lo ampare.

La AEAT está actuando como si esta jurisprudencia y doctrina, sencillamente, no existiera.

Y aquí viene la ironía final de esta investigación: ¿Saben qué es lo más absurdo de este software tan intrusivo? Que en gran medida, podría ser innecesario.

La AEAT ya tiene medios legales y garantistas. Tiene los requerimientos individualizados. Tiene la cooperación administrativa internacional. Y tiene, por ejemplo, la Directiva DAC 7 y su transposición patria, que OBLIGA a plataformas como OnlyFans o Patreon a informar sobre los elementos con trascendencia tributaria de los prestadores de “servicios”.

Pero claro, esos métodos son más lentos. Son más garantistas. Es más fácil enviar un “avatar”, ¿o acaso no se busca sólo información con trascendencia tributaria?

Y como reflexión final:

¿Se ha convertido la “trascendencia tributaria” en un concepto jurídico expansivo, cuasi-ilimitado?, ¿una especie de “palabra mágica” que ahora justifica la vigilancia masiva y el uso de perfiles falsos, vaciando de contenido el principio de legalidad?

Si aceptamos que las administraciones tributarias usen “avatares” en la selección para “fijar patrones de comportamiento”, ¿Qué impedirá el día de mañana a otra Administración hacer lo mismo para otros fines?, ¿Dónde está el límite?

Y la pregunta final: ¿Estamos realmente asistiendo a una “modernización” de la lucha contra el fraude… o estamos asistiendo a la debacle de la interpretación expansiva del contenido de los derechos fundamentales y a la erosión de la seguridad jurídica?

Quizás este expediente sea una excepción, quizás estoy viendo más allá, quizás esto sea legal. Ya no lo sé.

O tal vez, necesitemos urgentemente una regulación legal específica, clara y garantista para todo lo que tenga que ver con la obtención de fuentes abiertas y software OSINT.

Mientras tanto el algoritmo sigue corriendo.