Plumas NCC | Ciberfiscalización y derechos digitales

Por: Mtro. Rodolfo Guerrero Martínez (México).

La transformación digital ha reconfigurado el tejido social y económico a nivel global, y, por consiguiente, ha forzado una adaptación profunda en las estructuras de gobernanza estatal.

En este contexto, la ciberfiscalización se define como la aplicación intensiva de tecnologías avanzadas por parte de las administraciones tributarias (AATT) para mejorar la recaudación y verificar el cumplimiento de las obligaciones fiscales.

Cabe destacar que, el fenómeno se alinea con el modelo internacional de la Administración Tributaria 3.0, que busca integrar los procesos tributarios en los sistemas naturales de los contribuyentes, haciendo el cumplimiento más fluido y sin fricciones (seamless and frictionless).

Por consiguiente, la ciberfiscalización emplea modelos de riesgo, análisis de datos e inteligencia artificial (IA) para detectar la evasión y la simulación de operaciones, actividades que representan un reto serio para los gobiernos, ya que pueden alcanzar entre el 5% y el 6% del Producto Interno Bruto (PIB) nacional.

A pesar de que la eficiencia recaudatoria es un fin legítimo, su búsqueda no puede justificar la vulneración de los Derechos Digitales; por el contrario, la infraestructura digital es fundamental para el ejercicio de diversos derechos humanos.

La protección de la vida privada y de los datos personales constituye un bloque de defensa que busca proteger al individuo de cualquier injerencia indebida, incluso por parte del Estado.

Así también, la proliferación de sistemas de recolección masiva de información activa una tensión esencial: el riesgo de que la eficiencia tecnológica estatal desemboque en un sistema de vigilancia generalizado. Además, la naturaleza del Derecho a la Privacidad ha evolucionado hacia la autodeterminación informativa, lo que otorga al individuo el poder de controlar quién, qué y con qué motivo accede a su información personal.

 

1.El precedente punitivo: El caso panaut

Esta confrontación entre las facultades coercitivas del Estado y los derechos fundamentales tiene un antecedente clave en México: el Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT). Este precedente resulta crucial puesto que ilustra los riesgos inherentes de la recolección masiva de datos personales por parte del Estado bajo la justificación de la seguridad pública.

Específicamente, el PANAUT fue un sistema normativo que reguló la creación de una base de datos con información personal e íntima de los titulares de líneas de telefonía móvil, incluyendo datos biométricos.

La finalidad declarada era coadyuvar con las autoridades de seguridad y justicia en la comisión de delitos, tales como el secuestro y la extorsión. Sin embargo, la obligación de entregar datos personales y sensibles era obligatoria para adquirir o conservar el servicio de telefonía, sin que mediara el consentimiento del usuario.

En consecuencia, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y un grupo de senadores impugnaron el Decreto a través de una Acción de Inconstitucionalidad.

Así, el Tribunal Pleno de la Suprema Corte de Justicia de la Nación (SCJN) declaró la invalidez total del PANAUT al concluir que la afectación a los derechos de privacidad, intimidad y protección de datos personales era intensa y desproporcionada, ya que no superó la prueba de necesidad del test de proporcionalidad.

De hecho, la SCJN consideró que la medida no era necesaria porque ya existían otras herramientas tecnológicas igualmente idóneas para el combate al delito que resultaban menos restrictivas de los derechos, tales como la intervención de comunicaciones privadas y la geolocalización, ambas sujetas a control judicial.

Además, la implementación del PANAUT sin las salvaguardas legales adecuadas generaba un sistema de vigilancia permanente e indiscriminado sobre la población. En efecto, la entrega de datos sensibles e íntimos, como los biométricos, sin un control judicial previo y sin una temporalidad determinada, era incompatible con los estándares de una sociedad democrática.

 

2.-El caso SAT vs. plataformas digitales

A pesar del antecedente del PANAUT, la agenda fiscal ha retomado un enfoque de vigilancia en el entorno digital mediante la reforma al Código Fiscal de la Federación (CFF) de 2026, la cual adiciona el artículo 30-B.

Esta disposición establece la obligación de los contribuyentes que proporcionan servicios digitales de permitir al Servicio de Administración Tributaria (SAT) el acceso en línea, de forma permanente y en tiempo real a la información que obre en sus sistemas o registros, relacionada con sus operaciones digitales. Los servicios digitales afectados incluyen streaming, comercio electrónico, transporte, hospedaje y enseñanza a distancia.

El objetivo oficial de esta medida es gestionar de forma más eficiente la información de los contribuyentes de la economía digital para mejorar la eficiencia recaudatoria y generar mayor equidad en el Impuesto al Valor Agregado (IVA). El SAT asegura que este acceso está limitado exclusivamente a verificar el cumplimiento de las obligaciones fiscales y que no constituye espionaje digital ni permite revisar la información personal de los usuarios.

No obstante, el núcleo de la controversia radica en que la medida vulnera principios constitucionales y derechos fundamentales. En primer lugar, especialistas en derecho digital y organizaciones como Artículo 19 y la Asociación Latinoamericana de Internet (ALAI) advierten que la redacción es vaga y ambigua, lo que habilita una interferencia descontrolada en la privacidad.

El texto jurídico, al facultar el acceso permanente y en tiempo real, sienta un precedente peligroso de vigilancia fiscal masiva sin control judicial ni salvaguardas suficientes.

También, el artículo 30-B contempla una sanción desproporcionada y extrema: el bloqueo temporal del acceso al servicio digital en México para las plataformas que incumplan con la obligación de acceso. Por consiguiente, esta sanción se traduce en la potencial restricción de acceso y uso de plataformas que la ciudadanía utiliza para ejercer derechos como la libertad de expresión, la información, el trabajo o la salud. Dicha medida se considera una forma de censura previa e indirecta prohibida expresamente por la Constitución y la Convención Americana sobre Derechos Humanos.

 

3.-Normatividad y tecnología: Ciberseguridad punitiva y enfoque de derechos 

En este contexto de tensión fiscal, la tendencia legislativa en México tiende a adoptar un enfoque punitivista de la ciberseguridad, lo que genera una confusión conceptual grave entre la seguridad informática (protección de la información) y los delitos informáticos (castigo de conductas). La securitización de la ciberseguridad ha llevado a criminalizar conductas legales y legítimas.

Por consiguiente, el derecho penal debe ser la última ratio (último recurso), no obstante, la legislación a menudo utiliza términos vagos y amplios, como cualquier medio o método, lo que puede penalizar acciones legítimas como la labor de periodistas, activistas o investigadores de ciberseguridad.

Más aún, la IA predictiva, si se utiliza en procesos de recaudación sin transparencia, puede generar riesgos de sesgos algorítmicos, que penalicen injustamente a los contribuyentes por diferencias en su comportamiento financiero o socioeconómico.

Un enfoque basado en derechos humanos (DDHH) exige que las políticas de ciberseguridad se centren en proteger a las personas y sus derechos, en lugar de percibir los sistemas informáticos únicamente desde la óptica del Estado.

Precisamente, esto implica establecer una política integral que incluya la prevención, el fortalecimiento de capacidades y la mitigación de daños. Además, las leyes deben incluir salvaguardas y excepciones que protejan expresamente el derecho a la información, la libertad de expresión y la privacidad de los datos personales, tal como lo requiere el DDHH.

 

4.-Propuestas de solución basadas en derechos digitales

Frente a la inminente amenaza de vigilancia y censura que representan medidas como el Artículo 30-B, las soluciones deben anclarse en la transparencia algorítmica y en la protección de la autonomía del ciudadano.

 

A. Blockchain como garantía de seguridad y trazabilidad fiscal

Una alternativa menos restrictiva que el acceso permanente y en tiempo real es la implementación de blockchain para la trazabilidad fiscal. Por medio de la cadena de bloques es un mecanismo digital para crear un libro de registros distribuido e inmutable, lo que garantiza la integridad de los datos y la seguridad.

El blockchain ofrecería una trazabilidad completa de las transacciones fiscales, permitiendo a las autoridades ver y verificar el pago de impuestos (como el IVA) al momento de la operación, sin requerir una conexión constante a los sistemas centrales de la plataforma.

Esto sustituye la intrusión centralizada por una integridad descentralizada, eliminando el riesgo de un punto único de falla o vulnerabilidad permanente que implica el acceso en tiempo real. Además, blockchain puede integrarse con técnicas de Prueba de Conocimiento Cero (ZKP) para verificar la veracidad de la información sin la necesidad de compartir los datos subyacentes, garantizando la privacidad de los usuarios.

 

B. Privacidad por Diseño (Privacy by Design) y por Defecto

La Privacidad por Diseño (PbD) es un principio fundacional que exige que las organizaciones, incluidos los gobiernos, apliquen medidas técnicas y organizativas para garantizar la privacidad y el respeto de los principios de protección de datos desde las fases iniciales del diseño.

Este enfoque, promovido por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, busca un pensamiento todos ganan (win-win), donde la privacidad no se sacrifica en aras de otros objetivos (como la seguridad o la fiscalización).

La PbD persigue el máximo nivel de privacidad por defecto, de modo que, si un individuo no realiza ninguna acción de configuración, su privacidad se mantiene intacta. La aplicación de este principio implica: la minimización de datos (solo tratar los estrictamente necesarios); la seudonimización y el cifrado; y el aseguramiento de la privacidad en todo el ciclo de vida del dato.

 

C. El derecho a la explicación y la transparencia algorítmica

El Derecho a la Explicación es fundamental ante el uso de sistemas automatizados que toman decisiones con efectos significativos sobre los ciudadanos. Este derecho implica que el sujeto afectado debe comprender por qué se llegó a una conclusión específica, siendo una extensión de la obligación de las autoridades de fundamentar y motivar sus decisiones.

La transparencia algorítmica debe ser significativa, yendo más allá de la mera divulgación del código fuente, pues este resulta insuficiente para personas sin conocimientos técnicos. Se debe proporcionar información sobre la lógica aplicada, los datos de entrenamiento utilizados (incluyendo la mitigación de sesgos) y los parámetros de rendimiento.

 

D. Evaluación de Impacto en la Protección de Datos Personales (EIPD)

Un mecanismo preventivo indispensable es la Evaluación de Impacto en la Protección de Datos Personales (EIPD). Dicho análisis es documentado mediante el cual las entidades del sector público valoran los impactos reales del tratamiento de datos, a fin de identificar posibles riesgos y mitigar los daños a los derechos de las personas.

La EIPD es obligatoria cuando un tratamiento se considera intensivo o relevante, lo que incluye el manejo de datos sensibles o la realización de transferencias de datos. Como demostró el caso PANAUT, la omisión de esta evaluación expone los derechos a la privacidad, la intimidad y la protección de datos personales a un riesgo que no puede ser avalado.

 

5.- Conclusión general

La ciberfiscalización es la respuesta ineludible del Estado mexicano ante los retos de la economía digital, impulsada por la necesidad legítima de combatir la evasión fiscal, cuantificada en billones de pesos.

Sin embargo, el camino elegido mediante reformas como el Artículo 30-B del CFF y los antecedentes punitivos como el PANAUT demuestran una peligrosa inclinación hacia la vigilancia desproporcionada, sacrificando derechos fundamentales en aras de la eficiencia recaudatoria.

En síntesis, la solución a este conflicto no radica en detener la digitalización de la administración tributaria, sino en transformarla para que sea compatible con los principios democráticos.

La implementación de tecnologías avanzadas como blockchain, sumada a la obligatoriedad del derecho a la explicación y de la privacidad por diseño, ofrece herramientas que permiten al Estado cumplir con su mandato fiscal (trazabilidad y control de cumplimiento) sin incurrir en la vigilancia masiva o la censura indirecta.

Es crucial que la rendición de cuentas del Estado se promueva activamente, garantizando que la privacidad y los derechos digitales no sean el costo de la recaudación.

 

Fuentes de consulta

-Agencia Española de Protección de Datos (AEPD). (2019). Guía de Privacidad desde el Diseño.

-Banco Interamericano de Desarrollo & Organización de los Estados Americanos. (2020). Ciberseguridad: Riesgos, avances y el camino a seguir en América Latina y el Caribe.

-Centro de Estudios Sociales y de Opinión Pública (CESOP). (2020). La facturación fraudulenta de operaciones simuladas (Documento de trabajo núm. 328). Cámara de Diputados, LXIV Legislatura.

-Código Fiscal de la Federación. (2025). [Última reforma publicada DOF 07-11-2025].

-Jiménez Urzua, L., Macías Llanas, G., & Pietrasanta Baldazo, F. (2025). Legislar y castigar: el punitivismo penal en nombre de la ciberseguridad. R3D: Red en Defensa de los Derechos Digitales.

-Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita. (2025). [Última reforma publicada DOF 16-07-2025].

-Organization for Economic Co-operation and Development (OECD). (2020). Tax Administration 3.0: The Digital Transformation of Tax Administration. OECD Publishing.

-Settle, M. (2021). Privacy By Design: From Principles to Requirements. Recuperado de https://medium.com/work-bench/cio-perspectives-with-mark-settle-privacy-by-design-from-principles-to-requirements-3c36cd5a5b30

-Servicio de Administración Tributaria. (2024). ANEXO 5 DE LA RESOLUCIÓN MISCELÁNEA FISCAL PARA 2025 [Publicado en el Diario Oficial de la Federación el 30 de diciembre de 2024].

-Servicio de Administración Tributaria. (2025). Plan Maestro 2025. Secretaría de Hacienda y Crédito Público.

-Simmple. (2025). Facturación falsa: medidas más estrictas por parte del SAT en 2025. Recuperado de https://www.simmple.mx/post/facturaci%C3%B3n-falsa-medidas-m%C3%A1s-estrictas-por-parte-del-sat-en-2025

-Suprema Corte de Justicia de la Nación. (2022). ACCIÓN DE INCONSTITUCIONALIDAD 82/2021 Y SU ACUMULADA 86/2021 [Sentencia del Tribunal Pleno, Promoventes: INAI y diversos Senadores].

 

***

Ro­dol­fo Gue­rre­ro es abo­ga­do por la Be­ne­mé­ri­ta Uni­ver­si­dad de Gua­da­la­ja­ra y maes­tro en de­re­cho con orien­ta­ción en ma­te­ria Cons­ti­tu­cio­nal y ad­mi­nis­tra­ti­vo por la mis­ma casa de es­tu­dios. Es So­cio Fun­da­dor y Re­pre­sen­tan­te Le­gal de la So­cie­dad Ci­vil Cof­fee Law “Dr. Jor­ge Fer­nán­dez Ruiz”. So­cio fun­da­dor de la Aca­de­mia Me­xi­ca­na de De­re­cho “Juan Ve­lás­quez” A.C. Ti­tu­lar de la Co­mi­sión de Le­gal­tech del Ilus­tre y Na­cio­nal Co­le­gio de Abo­ga­dos de Mé­xi­co A.C. Ca­pí­tu­lo Oc­ci­den­te. Vi­ce­pre­si­den­te de la Aca­de­mia Me­xi­ca­na de De­re­cho In­for­má­ti­co, Ca­pí­tu­lo Ja­lis­co.