Mucho se ha hablado estos últimos días de un posible ataque a las bases de datos de la Agencia Estatal de Administración Tributaria (“AEAT”) con el resultado de una filtración de millones de datos, algunos de carácter personal, de muchos contribuyentes. Esto me ha hecho reflexionar acerca de la cantidad ingente de datos que maneja la AEAT y, aunque estoy bastante segura de que las medidas de seguridad de las que dispone nuestra AEAT son de las mejores y más robustas, no puedo evitar pensar que son tantos datos y tan sensibles que es lógico que haya algunas personas u organizaciones que se quieran hacer con ello.
Imaginad, si las bases de datos las compañías de teléfono son carne de cañón y por ello recibimos muchísimas llamadas no deseadas a pesar de bloquear números, estar en la lista Robinson etc. porque buscan poder vendernos algo (en el mejor de los casos) y obtener más información y datos para estafarnos en otros, ¿no sería más apetecible para los ciberdelincuentes la base de datos de hacienda, que sin necesidad de preguntar ya tiene toda esa información?
Y es que no se trata sólo de la información que nosotros mismos como contribuyentes facilitamos sobre nosotros, sino toda la información que facilitamos sobre otros contribuyentes y el dato resultante de cruzar ambos. Es decir, pongamos por ejemplo un modelo 190 informativo de retenciones que presentan todas aquellas empresas y profesionales que tienen empleados a cargo, ya que hemos tenido los cierres anuales hace pocos días.
En esos modelos, a parte de la identificación de la propia empresa o profesional que presenta, se encuentran identificados con nombre, apellidos y DNI los empleados, así como la identificación del tipo de renta que se ha pagado y los importes. Si esto lo escuchara alguien que se dedique a marketing y estudio de los comportamientos de los consumidores, ¿no creéis que se parece bastante a la información que se puede obtener de algunas cookies? ¡Es incluso más completa! Te dice no sólo quién trabaja para quien sino cuánto ha ganado y en concepto de qué durante todo el año… y si además lo comparamos con años anteriores pueden tener información del comportamiento salarial: si ha habido incrementos, premios, otro tipo de rentas, etc.
Tenemos muy interiorizado que estos datos sean cumplimentados y enviados a Hacienda, y lo cierto es que al ciudadano de a pie le puede resultar de ayuda. Así, cuando empieza la campaña de la renta tiene su modelo prácticamente cumplimentado, sólo tiene que revisar y presentar, pero… ¿nos hemos planteado en el fondo qué significa que Hacienda tenga todos estos datos tuyos?
Con el avance de las tecnologías estos datos están incluso más pulidos, y Hacienda puede detectar incongruencias y ser más selectivo a la hora de enviar requerimientos. Tengo la sensación de que, aparte de recaudar, lo que más le interesa a la AEAT ahora mismo es la obtención de datos, DATOS en mayúsculas. Como decían antaño, la información es poder, y la AEAT tiene muchísimo poder ahora mismo.
A pesar de que Veri*factu se retrasó, no recuerdo que se propusiera una reducción de la carga burocrática que los contribuyentes soportan. Por ejemplo, si toda la facturación fuera verificable a través de Hacienda, ¿realmente sería necesario mantener el modelo 347? A mi entender, ese modelo debería desaparecer tan pronto como la información de facturación esté disponible de forma inmediata para Hacienda. ¡Un quebradero menos de cabeza para los contribuyentes! (espero poder celebrarlo en algún momento).
Este avance tecnológico no es únicamente en España. No sé si alguno habéis tenido oportunidad de utilizar el servicio de Ventanilla Única para las ventas a particulares dentro de la UE, el régimen conocido como “OSS”.
Aquí ya necesitamos manejar incluso datos personales de contribuyentes no españoles. Aunque este sistema tiene, a mi entender, mucho recorrido de mejora, es un punto de partida. Simplificando mucho, se trata de cerrar el círculo con las operaciones intracomunitarias y darle un tratamiento a aquellas ventas que se realizan a clientes no considerados empresarios o profesionales, por ejemplo particulares u ONGs.
No tengo constancia de qué hacen con esta información a nivel Europa, pero si nos ponemos a pensar, esto daría muchísima información… podría generar un “mapa de calor” con los flujos económicos y podría ayudar a detectar por qué se adquieren ciertos servicios o bienes en un determinado país o en otro. Con esto no quiero decir que haya fraude, que podría haber, simplemente digo que da información muy útil, por ejemplo sobre precios o calidad de servicios, etc.
Asumiendo que todas estas herramientas y avances tecnológicos han venido para quedarse, no seré yo la que diga que no son útiles, todo lo contrario. Lo que sí que me gustaría poner de manifiesto es que al igual que a las empresas se nos exige un control muy riguroso de los datos, ese rigor debería ser exigible, incluso en mayor medida, de los organismos públicos.
Si una empresa tiene una brecha de seguridad, puede recibir una multa importante, así como ser objeto de demandas por parte de los usuarios afectados. Frente a organismos oficiales, ¿qué opciones nos quedan? Estoy segura de que los tribunales darían algo de protección, pero no veo que este camino sea fácil, ni barato, de hecho pasarían bastantes años hasta que se tuviera algún tipo de resolución.
Hasta que esta filtración se confirme, si se confirma, sólo nos queda esperar o desear que no hayan sido nuestros datos los que hayan podido caer en manos de estos ciberdelincuentes.
