Dentro de las últimas reformas al CFF se han otorgado diversas facultades al SAT con el fin de lograr la fiscalización, sin embargo hay funciones que no le corresponden, ya que es un órgano que se encarga de la recaudación, por lo que el atribuirle la función de llevar a cabo la verificación de identidad de los usuarios, genera una violación directa a los derechos humanos y seguridad jurídica de los gobernados, al pretender que un ente fiscalizador sea el garante de los datos sensibles.
Así se pronunció el Pleno de la Suprema Corte de Justicia de la Nación (SCJN) y decide invalidar la parte normativa que faculta al SAT para fungir como órgano verificador de esos datos.
Efectivamente, se declaró la invalidez del tercer párrafo del artículo 17-F del CFF, en la porción que señalaba “así como el de la verificación de identidad de los usuarios” misma que facultaba al SAT para efectuar la verificación de identidad de particulares, ello derivado del análisis de las impugnaciones formuladas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en contra de diversas disposiciones del CFF publicadas el 8 de diciembre de 2020.
El artículo referido señala que los particulares que determinen el uso de la firma electrónica avanzada como medio de autenticación o firmado de documentos digitales, podrán solicitar al SAT que preste el servicio de verificación y autenticación de los certificados de firmas electrónicas avanzadas, así como el de la verificación de identidad de los usuarios. Los requisitos para otorgar la prestación de dicho servicio se indican mediante reglas de carácter general que emita dicho órgano administrativo desconcentrado.
Desde la perspectiva de la Corte, el servicio de verificación se relaciona directamente con el manejo de datos biométricos sensibles, y la norma no tiene elementos suficientes para impedir que se revelen a terceros sin consentimiento del titular.
Después de un largo análisis, la SCJN resuelve invalidar una porción del párrafo mencionado.
Argumento en contra de la invalidez
El servicio de verificación de la identidad de los usuarios no se entendería como un servicio que posibilitara la entrega de información personal, mucho menos los datos biométricos de los individuos y, en ese tenor, se salvaría la constitucionalidad de la norma y se darían efectos de seguridad jurídica a todas las personas respecto a que el uso de la firma electrónica avanzada, incluso cuando se utilizará para transacciones entre particulares, no implicaría el manejo y mucho menos la entrega de los datos personales de los usuarios.
Con la interpretación sistemática del precepto en estudio en relación con las demás normas aplicables del CFF, se pudiera dar lugar a una seguridad jurídica a efectos de entender que la norma impugnada no podría ser entendida, por ningún motivo, como una habilitación desmedida para que la autoridad certificadora, en este caso el SAT, pudiera entregar información personal o datos biométricos de persona alguna a otros terceros.
Al prever la norma que cuando los particulares, libre y voluntariamente, adopten la firma electrónica avanzada como mecanismo para firmar documentos digitales, podrán solicitar que el SAT verifique los certificados respectivos y la identidad de los usuarios participantes en estas operaciones.
En tal sentido, este procedimiento no implica la divulgación de los datos personales de quienes eligen obligarse a través de este método alternativo al uso de la firma autógrafa porque la norma reclamada nunca dispone que los servicios del SAT darán lugar a difundir la información biométrica o sensible que obre en su poder, dado que la redacción de la norma no permite asumir que habrá una apertura de información de tales dimensiones, ni siquiera el legislador se hizo cargo de pormenorizar el método para llevar a cabo la verificación, sino que estableció que en las reglas de carácter general se regularía en un procedimiento.
Además de lo expuesto, carecería de sentido exclusivamente verificar la autenticidad de los certificados de las firmas electrónicas avanzadas utilizadas en una operación si, al mismo tiempo, no se verifica la identidad del usuario que se obliga con ella, pues estas comprobaciones son inescindibles para evitar la suplantación de las personas, por lo que, lejos de ser una intromisión a su vida privada, se trata de una medida que facilita la realización de numerosos compromisos digitales con la seguridad de que, quien se ostenta como emisor de la firma electrónica corresponde, efectivamente, a la persona que se obliga.
La norma no viola directamente el derecho a la autodeterminación informativa, dado que no es evidente que esa norma implique necesariamente la revelación de datos personales sin consentimiento del titular.
Argumentos a favor de la invalidez
Predominaron los argumentos de invalidez, a razón de que se viola la protección de datos sensibles y seguridad jurídica de los gobernados.
Es claro que el tercer párrafo del artículo 17-F del CFF vulnera no solo los principios de finalidad, variación de la finalidad y de lealtad establecidos en los artículos 17 y 18 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, sino también una de las dimensiones del derecho de autodeterminación informativa.
La norma citada habilita al SAT para prestar el servicio de verificación de la identidad de los usuarios y, con ello, se actualiza una vulneración directa a los derechos humanos, a la intimidad, privacidad y protección de datos personales, lo que hace innecesario el empleo de esta metodología.
Con la invalidez no se afecta el servicio de verificación y autentificación de firma electrónica; toda vez que, el mismo está vigente, ya lo estaba antes y lo puede seguir prestando el SAT, la verificación de identidad es otro servicio y, eso sí, implica riesgos sólidos contra este derecho a la protección de datos personales y de datos sensibles.
Por consiguiente, dicho precepto viola el principio de seguridad jurídica, cuyas exigencias son altas en este caso, ya que el servicio de verificación está relacionado directamente con el manejo de datos biométricos sensibles, y la norma no establece elementos suficientes para impedir que se revelen indebidamente a terceros sin el consentimiento del titular o una causa de interés público que lo justifique legalmente autorizada.
En este servicio de verificación que presta el SAT se ven involucrados los datos biométricos de los usuarios, como pueden ser huellas dactilares, fotografía de frente y fotografía del iris; mismos que fueron entregados a la autoridad fiscal a cambio de la obtención de una firma electrónica avanzada, esto es, se trata de datos sensibles que potencialmente podrían quedar expuestos.
En virtud de los argumentos expuestos, es que el Pleno consideró que el precepto vulneraba el derecho de autodeterminación informativa, relativo al uso de los datos personales, inclusive datos biométricos, por que facultaba al SAT dar a conocer a terceros (autoridades y particulares) información personal que permita la verificación de la identidad de los usuarios de la firma electrónica avanzada, ello, sin mediar consentimiento de los titulares de esa información, ni condicionar su uso a la realización de fines legales legítimos, en detrimento de los derechos humanos a la intimidad, privacidad y protección de datos personales.
Conforme a lo precisado fue declarada la invalidez de la porción normativa del tercer párrafo del artículo 17-F del CFF, que establece: “así como el de la verificación de identidad de los usuarios”.
Se debe hacer hincapié que únicamente se declara la invalidez de la mencionada porción, por lo que el precepto seguirá vigente únicamente expulsando esta, es decir, el SAT sigue teniendo facultades para la verificación y autenticación de los certificados de firmas electrónicas avanzadas, no así para llevar a cabo la verificación de identidad de los usuarios.
