Quiero que retengan este dato. La Agencia Tributaria considera, en su memoria de licitación, que tiene “trascendencia tributaria” lo que sucede con nuestros patrones de comportamiento en OnlyFans. Porque como veremos, la herramienta puede acceder a datos de terceros, de todos los terceros, aunque sea con la finalidad de scrapear informaciones determinadas.
Así que tenemos una herramienta de casi tres cuartos de millón de euros, capaz de “escanear” a 100.000 personas, en plataformas que incluyen contenido para adultos.
La pregunta evidente es: ¿qué van a mirar exactamente ahí dentro?, ¿se van a limitar a contar “me gustas”?
La respuesta corta (a mi juicio) es un no rotundo. Y da miedo.
Por supuesto, los documentos hablan de datos cuantitativos. El software va a contar seguidores, visualizaciones, likes, número de comentarios, etc. Es la métrica a mi juicio básica. El “alcance” y la “resonancia”. Para valorar un indicio de impacto de estos colectivos.
Pero, como revela la investigación, probablemente, el verdadero objetivo es cualitativo. La memoria de licitación es explícita: se busca analizar el contenido de las publicaciones, las fotografías, los vídeos y los metadatos.
Cito textualmente de la memoria, porque es una joya: buscan “fotos con metadatos de ubicación diversa” para “establecer un estilo de vida dispar a sus declaraciones”.
Traducido: “¿Dices que vives en Dubái, pero tus stories de Instagram te geolocalizan 300 días al año en Badajoz? Tenemos un patrón.” Y no solo quieren tus fotos, sino los comentarios que te dejan terceros.
Pero aquí viene la verdadera pregunta: ¿Cómo accedes a todo ese contenido?, ¿Cómo entras a un perfil que, quizás, no es 100% público (de acceso restringido)?, ¿O a una plataforma de pago como Patreon donde requieres ser suscriptor para ver el contenido?
Aquí es donde el expediente se pone francamente, distópico. Y no es una interpretación mía, es una cita directa del pliego de prescripciones técnicas: “La herramienta de análisis y/o la empresa adjudicataria se encargará de crear y mantener los avatares que fueran necesarios para la ejecución del análisis de los perfiles solicitados. “Avatares”. Perfiles falsos.
La Administración Tributaria ha solicitado un servicio que incluye, por diseño, la creación de identidades falsas para extraer información. Esto no es una observación pasiva de datos públicos; es una infiltración activa. Es la AEAT convirtiéndose en “seguidor” tuyo en Twitch o en suscriptor en Patreon para ver qué publicas, qué publicitas, qué escribes y te escriben.
Irónicamente, ganar a Hacienda como follower no parece una buena estrategia.
Y por si esta herramienta de 100.000 nicks nos parecía grande, mi investigación revela que por si era poco, esto es solo el principio.
El contrato tiene una “puerta trasera” maravillosa.
El pliego de cláusulas administrativas permite modificar el contrato, con un 20% de sobrecoste, para:
* a) Añadir más nicks (los 100.000 se pueden quedar cortos).
* b) Añadir más redes sociales (si mañana surge una nueva que cumple las mismas funciones [¿a juicio de?], se añade).
* c) Y cito: “incorporar nuevas plataformas”. El término “plataforma” es deliciosamente vago. ¿Un foro de criptomonedas?, ¿un servidor de Discord?, ¿para vigiliar influencers, contribuyentes y corruptos?
Así que, recapitulemos este punto. Tenemos una herramienta masiva (en teoría ya funcionando unos añitos), que no solo cuenta likes, sino que permite potencialmente analizar el contenido cualitativo de nuestras vidas, que utiliza perfiles falsos para acceder a esa información, y que además está diseñada para crecer en opacidad.
La pregunta que cualquier jurista se está haciendo ahora mismo es: ¿Pero Bernardo esto… esto es legal?
Llegamos a la pregunta clave. ¿Es legal que la AEAT use “avatares” y scrapee masivamente (hasta) 100.000 perfiles?
Aunque estas cuestiones se desarrollan en profundidad en el artículo de investigación que verá la luz el año que viene, la respuesta, empieza con el pilar fundamental de cualquier actuación pública: el principio de legalidad.
Como todos sabemos, la Administración no es un ciudadano. No puede hacer todo lo que la ley no le prohíbe. Al contrario: solo puede hacer aquello que la ley, expresamente, le habilita a hacer.
Si la AEAT quiere desplegar una herramienta de vigilancia masiva, necesita una norma con rango de Ley que, de forma clara y específica, le otorgue esa potestad y establezca garantías.
Y aquí es donde la investigación se pone interesante. ¿Cuál es esa ley?, ¿dónde está el artículo que dice “Se autoriza a la AEAT a crear perfiles falsos para extraer datos de redes sociales”?
No existe.
Lo que tenemos, en cambio, en el mejor de los casos es una interpretación… digamos… expansiva de normas genéricas. La AEAT podría basar su potestad en dos artículos:
El “santo grial” de las potestades de información: el artículo 93 de la Ley General Tributaria. El deber general de todos de “proporcionar” información con “trascendencia tributaria”. Y el artículo 55 de la Ley de Procedimiento Administrativo Común, que regula las “actuaciones previas” para conocer las “circunstancias del caso concreto”.
Y el problema es evidente:
El artículo 55 habla de un “caso concreto”. ¿Es “scrapear” 100.000 perfiles de forma automatizada un “caso concreto”? A mi juicio, es la definición de lo opuesto a un caso concreto. Es una actuación masiva e indiscriminada.
Y el artículo 93, como saben, se refiere al deber de “proporcionar”, lo que implica un requerimiento individualizado (o al menos la postivización de una obligación por suministro). No habla de la potestad de la Administración de extraer proactivamente y sin conocimiento del interesado.
Estas normas no se diseñaron para una vigilancia sistémica.
Usar estos preceptos para justificar el software de obtención de datos de 100.000 nicks no encaja con la habilitación legal; es más parecido a interpretar la norma como una “habilitación en blanco”.
Valiéndome del símil tributarista por excelencia, es la diferencia entre la pesca con caña (un requerimiento individual/suministro de información) y la “pesca de arrastre” (o fishing expedition).
Pero incluso si aceptásemos, solo por un momento, que la LGT y sus reglamentos de desarrollo lo permiten… esta práctica choca de frente con un muro legal mucho más denso. Un derecho fundamental. Y cuya legislación de desarrollo se proyecta a través de ese Reglamento General de Protección de Datos y su LOPD-GDD.
Por si alguien todavía tiene dudas, el Reglamento General de Protección de Datos no es una recomendación; es un reglamento de aplicación directa. Y la investigación que he realizado sobre este expediente concluye que este proyecto lo podría vulnerar, no en un matiz técnico, sino en sus principios más elementales.
Veamos los cuatro posibles incumplimientos clave, al que habría que añadir el principio de licitud, vinculado al principio de legalidad:
Primero. La antítesis de la minimización de datos. El artículo 5.1.c del RGPD exige que los datos sean “limitados a lo necesario”. Y me pregunto: ¿Es estrictamente necesario para calcular el IRPF con carácter previo a cualquier procedimiento de regularización tributaria analizar el contenido cualitativo de un vídeo de TikTok en el que aparecen terceros?, ¿es “necesario” desarrollar un software que podría llegar a establecer patrones para saber con quién interactúas en Twitch?, ¿en qué parte de la LIRPF entra como variable el número de suscriptores y sus interacciones (privadas) en OnlyFans?
Insisto, por lo que se deduce de la memoria de licitación y el alcance del software, en muchos casos probablemente al margen de un procedimiento tributario, para la selección del contribuyente más incumplidor.
Segundo. La “finalidad” ilimitada. El RGPD exige fines “explícitos y legítimos”. El fin declarado, “lucha contra el fraude fiscal”, es legítimo, pero se usa de forma genérica. El problema es que el fin real que confiesa la Memoria es “fijar patrones de comportamiento” o detectar “comportamientos delictivos”.
Preocupa. Eso no es un fin tributario; podría ser un fin de vigilancia general para el que (posiblemente) no tienen competencia.
Tercero. La opacidad como norma (adiós, transparencia). El artículo 14 del RGPD es clarísimo: si obtienes datos de un tercero (como redes sociales o plataformas), tienes la obligación de informar al interesado. ¿A alguno de nosotros nos ha llegado una notificación de la AEAT diciendo “Hola, estamos analizando sus stories de Instagram”?
Claro, si informara, arruinaría la investigación. Pero las únicas excepciones para no informar (las del art. 14.5) son que, en tales casos, el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información sobre el tratamiento o que la operación de tratamiento esté expresamente prevista en la ley.
¿Y qué sucede cuándo se limita de facto el derecho de acceso a la información personal a estos colectivos? Aquí es necesaria la limitación mediante mandato legal expreso, ¡sorpresa! No existe norma que se adecue al artículo 23 del RGPD.
Y cuarto, y posiblemente el más grave: el tratamiento de datos especialmente protegidos. Este es el “jaque mate”. El artículo 9 del RGPD prohíbe por defecto tratar datos de opiniones políticas, creencias religiosas, o vida y orientación sexual.
Pregunta: Cuando usas “avatares” para scrapear el contenido cualitativo de OnlyFans o los debates en un hilo de Facebook, ¿qué te encuentras? Inevitablemente, te encuentras con datos del artículo 9. La administración podría no tener base de legitimación del artículo 6 del RGPD, ni supuesto de exención del 9.2.
El RGPD solo permite levantar esa prohibición por un “interés público esencial” basado en una Ley. Una ley que, como insiste la doctrina del Tribunal Constitucional, debe tener “garantías adecuadas” y específicas.
Quizás me equivoque, creo que jurídicamente no son datos manifiestamente públicos vinculados a la finalidad de reutilización para fines tributarios. Son plataformas y redes sociales, en muchas ocasiones, de acceso restringido. Aun partiendo de dicha tesis, seguiría sin existir una base legal del artículo 6 del RGPD acorde al tratamiento de datos. No podría aplicarse a mi humilde entender la excepción del artículo 9.
En resumen, a mi juicio, la AEAT no solo carece de habilitación legal, sino que está operando en vulneración flagrante de los principios nucleares de la protección de datos de la UE. Esto nos lleva a la reflexión final: ¿Cuáles son las consecuencias de todo esto?
Llegamos al final. Hemos visto una herramienta masiva, con un coste de más de 700.000 euros. Hemos visto una capacidad de scrapear 100.000 perfiles.
Hemos visto el uso de “avatares” (perfiles falsos) para extraer contenido cualitativo. Y acabamos de ver que esta práctica no solo carece de una habilitación legal específica en la LGT, sino que además choca frontalmente con los principios de licitud, minimización (lealtad), transparencia y la prohibición de tratar datos especialmente protegidos del RGPD.
La conclusión es, por tanto, inequívoca: estas prácticas, en su configuración actual, no son compatibles con el marco legal vigente.
Pero lo más grave, para un foro como este, no es solo que se ignore la ley. Es que se está ignorando la doctrina jurisprudencial y administrativa reciente.
Esta práctica ignora al Tribunal Constitucional, que en su sentencia 76/2019 fue clarísimo: cualquier intromisión en datos sensibles requiere una ley con “garantías adecuadas”, no un cheque en blanco. Ignora al Tribunal de Justicia de la Unión Europea, que en el asunto C-175/20 ya declaró ilegal una recogida masiva de datos por parte de una administración tributaria sin una ley específica y proporcional.
E ignora a la propia Agencia Española de Protección de Datos, que en el caso SALER, en un contexto de consulta previa para el desarrollo normativo, ya advirtió de la ilegalidad de usar internet para fines de investigación administrativa previa al margen de cualquier procedimiento sin una ley que lo ampare.
La AEAT está actuando como si esta jurisprudencia y doctrina, sencillamente, no existiera.
Y aquí viene la ironía final de esta investigación: ¿Saben qué es lo más absurdo de este software tan intrusivo? Que en gran medida, podría ser innecesario.
La AEAT ya tiene medios legales y garantistas. Tiene los requerimientos individualizados. Tiene la cooperación administrativa internacional. Y tiene, por ejemplo, la Directiva DAC 7 y su transposición patria, que OBLIGA a plataformas como OnlyFans o Patreon a informar sobre los elementos con trascendencia tributaria de los prestadores de “servicios”.
Pero claro, esos métodos son más lentos. Son más garantistas. Es más fácil enviar un “avatar”, ¿o acaso no se busca sólo información con trascendencia tributaria?
Y como reflexión final:
¿Se ha convertido la “trascendencia tributaria” en un concepto jurídico expansivo, cuasi-ilimitado?, ¿una especie de “palabra mágica” que ahora justifica la vigilancia masiva y el uso de perfiles falsos, vaciando de contenido el principio de legalidad?
Si aceptamos que las administraciones tributarias usen “avatares” en la selección para “fijar patrones de comportamiento”, ¿Qué impedirá el día de mañana a otra Administración hacer lo mismo para otros fines?, ¿Dónde está el límite?
Y la pregunta final: ¿Estamos realmente asistiendo a una “modernización” de la lucha contra el fraude… o estamos asistiendo a la debacle de la interpretación expansiva del contenido de los derechos fundamentales y a la erosión de la seguridad jurídica?
Quizás este expediente sea una excepción, quizás estoy viendo más allá, quizás esto sea legal. Ya no lo sé.
O tal vez, necesitemos urgentemente una regulación legal específica, clara y garantista para todo lo que tenga que ver con la obtención de fuentes abiertas y software OSINT.
Mientras tanto el algoritmo sigue corriendo.
Red de Rol
via Transhumanismo, o no.
November 18, 2025 at 04:57PM
