¿Es riesgoso el envío de documentos al SAT?

El inicio de 2015 en materia tributaria representó algunos cambios en la manera de operar de los contribuyentes, unos se reflejarán de inmediato y otros durante el transcurso del año.

Entre ellos se encuentra el tema de la facilidad para que los contribuyentes envíen a la autoridad hacendaria información utilizando a los prestadores de servicios de recepción de documentos digitales (PSRDD) que son personas morales autorizadas por el SAT.

Sin embargo, tal y como está regulada esa figura, no se brinda seguridad jurídica a los causantes en cuanto a la información sensible que manejarán esos terceros.

De ahí la importancia de saber qué tipo de datos se podrán enviar y advertir de los riesgos si se opta por esa medida, así como las tácticas a emplear para protegerse.

Qué se puede enviar

Los particulares que deseen podrán presentar solicitudes en materia del RFC, declaraciones, avisos o datos e información contable por Internet al SAT mediante los PSRDD (art. 28, fracc. IV y 31, CFF; reglas 2.8.10.1. y 2.8.10.2., RMISC 2015).

Esta facilidad se podrá utilizar hasta que se dé a conocer el Anexo 21 (art. vigésimo sexto, RMISC 2015), que al cierre de esta edición no ha sido publicado en el DOF, empero, conviene advertir a los contribuyentes de los riesgos que esa medida les puede ocasionar.

Requisitos

Para conseguir la autorización y operar como PSRDD es necesario:

• ser persona moral

• cumplir con las exigencias previstas en la regla 2.8.10.2. de la RMISC 2015, que intentan otorgar certeza al contribuyente que contrata sus servicios:

• estar al corriente en el cumplimiento de sus obligaciones fiscales
• mantener un capital social suscrito y pagado de por lo menos $10’000,000.00 durante la vigencia de la autorización
• presentar dictamen de estados financieros por el ejercicio en que se otorgue la autorización y por los que dure
• permitir y facilitar la realización de actos de verificación y de supervisión por parte del SAT y de los terceros habilitados de manera física o remota, respecto de tecnologías de la información, confidencialidad, integridad, disponibilidad, consistencia y seguridad de los datos y/o cualquier otra de las obligaciones relacionadas
• permitir a la autoridad hacendaria aplicar en cualquier momento evaluaciones de confiabilidad a su personal
• cumplir en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), con la reserva de la información contenida en los archivos que reciba y salvaguardar la confidencialidad de todos los datos proporcionados sean parte o no de los documentos digitales
• enviar a los contribuyentes el acuse de recepción de dichos documentos
• mandar al SAT los citados documentos, al momento en que los reciban conforme a las características y especificaciones técnicas de los Anexos 21 y 24
• proporcionar una herramienta para consultar el detalle de los archivos remitidos
• conservar los documentos digitales por tres meses en un medio electrónico, óptico o de cualquier tecnología, aun cuando no subsista la relación jurídica al amparo de la cual se validaron, esto sin perjuicio de haber transcurrido 30 días a partir de la revocación de la autorización
• administrar, controlar y resguardar a través de su sistema, los certificados de sellos digitales (CSD’s) proporcionados por el SAT para realizar su función
• comunicar por escrito o vía e-mail a sus clientes en caso de suspensión temporal de los servicios, con al menos 60 días de anticipación
• cumplir con los estándares de niveles de servicio establecidos y la “carta compromiso de confidencialidad, reserva y resguardo de información y datos”, además de la matriz de control, visibles en el portal de Internet del SAT
• resolver incidencias tecnológicas acaecidas en la transmisión de los documentos digitales de los contribuyentes al fisco federal

• efectuar la petición de conformidad con la ficha de trámite 176/CFF “Solicitud para obtener autorización para operar como prestador de servicios de recepción de documentos digitales” del Anexo 1-A

• ofrecer una garantía para responder por cualquier daño o perjuicio que por impericia o incumplimiento a la normatividad sobre la función de esos entes, se ocasione al fisco federal o a un tercero  (regla 2.8.10.7., RMISC 2015)

Una vez obtenida la autorización, esta tendrá una vigencia de dos años (regla 2.8.10.4., RMISC 2015).

En la página de Internet del SAT se darán a conocer el nombre, la denominación o razón social, la clave del RFC y el estatus del CSD del SAT, según corresponda, de los PSRDD, así como los datos de a quienes se les hubiese revocado o no renovado el permiso (regla 2.8.10.3., RMISC 2015).

Procedimiento de la recepción

Las fases para recibir los documentos son las siguientes:

La recepción de documentos ha de efectuarse directamente por los PSRDD, por lo tanto, no es factible que lo hagan por conducto de un tercero que opere en calidad de socio comercial, distribuidor o cualquier otra figura análoga.

 Si se prestan servicios complementarios a la recepción de documentos digitales, se realizará la precisión correspondiente en los contratos que celebren con los contribuyentes, y en la publicidad que elaboren han de señalar con transparencia y claridad a qué se refieren.

Sanciones 

El PSRDD se hará acreedor a una amonestación cuando (regla 2.8.10.9.):

• no cumpla en tiempo y forma con los avisos a que se refiere la ficha de trámite 178/CFF “Aviso para la actualización de datos del prestador de servicios de recepción de documentos digitales, publicado en la página de Internet del SAT”, contenida en el Anexo 1-A

• la garantía ofrecida contenga errores de fondo o forma, y si posteriormente incurre en alguna otra omisión se considerará como una nueva infracción, dando lugar a una segunda amonestación

• a consideración de la Administración General de Comunicaciones y Tecnologías de la Información (AGCTI), al seguir el procedimiento de verificación, se hubiese determinado el incumplimiento de los exigencias y deberes en materia de tecnologías de la información, confidencialidad, integridad, disponibilidad, consistencia y seguridad de los datos indicados en las disposiciones fiscales no afecta a los emisores de los documentos digitales

• la Administración Central de Gestión de Calidad (ACGC) detecte que el dictamen fiscal presentado como lo ordena la ficha de trámite 177/CFF “Presentación de la solicitud de renovación de autorización para operar como prestador de servicios de recepción de documentos digitales”, del Anexo 1-A, fue extemporáneo, a pesar de haber exhibido el acuse de aceptación

• la AGCTI, derivado de la verificación efectuada, considera la reincidencia de alguna infracción observada en una revisión previa

• no ofrezca y/o preste el servicio en los plazos máximos señalados en los Anexos 24 “Contabilidad en medios electrónicos” y 26

Causas de revocación

La autorización del PSRDD se revocará si (regla 2.8.10.10.):

• se gravan, ceden o transmiten parcial o totalmente los derechos derivados de la misma

• se incumple cualquiera de las obligaciones señaladas en las reglas 2.7.2.8. o 2.8.10.2.

• se declara por una autoridad competente la quiebra o suspensión de pagos del titular de la autorización

• no facilita, impide, obstaculiza o se opone a que la autoridad fiscal o el tercer habilitado por ésta lleve a cabo la verificación y/o supervisión de su función, o proporcione información falsa, incluso si es proporcionada por cualquiera de las personas relacionadas con la validación de documentos digitales

• no desvirtúa los incumplimientos detectados por la AGCTI en materia de confidencialidad, integridad, disponibilidad, consistencia y seguridad de la información señalados en las disposiciones fiscales, y ésta informe sobre los mismos a la ACGC

• en un mismo ejercicio se hace acreedor a tres o más amonestaciones

• no se cubren los requisitos y obligaciones que se indiquen en la autorización

• aparece en la lista publicada en el DOF de los contribuyentes que efectuaron operaciones inexistentes

La revocación se dará a conocer a los particulares mediante la publicación respectiva en la página de Internet del SAT, para que a más tardar dentro de los 90 días, contados a partir de la misma, los contribuyentes contraten los servicios de otro PSRDD.

 Una vez publicada la revocación, el PSRDD continuará prestando el servicio durante 30 días, contados a partir de la fecha de la publicación para que sus clientes cumplan en tiempo con el envío de la información. De no hacerlo así se ejecutará la garantía otorgada.

Problemáticas

En atención a la regulación aplicable a los PSRDD, si bien para poder operar es menester que cubran los requisitos previstos en la regla 2.8.10.2. de la RMISC 2015, entre ellos, el ofrecimiento de la garantía y la protección de la información que manejen en términos de LFPDPPP, eso no es suficiente para una auténtica certeza para el causante.

En primer término, porque esas exigencias únicamente van dirigidas a que los facultados para recibir documentos digitales respondan por su falta de cuidado e impericia frente al SAT, pero en ningún momento ante el contribuyente al tratarse de una prestación de servicios, pues si bien la garantía ofrecida se hará efectiva si se afecta a terceros no se señala el procedimiento a seguir para que el causante la haga válida, máxime que se otorga a favor del fisco federal.

En segundo, es impreciso el requisito relacionado con la aplicación de la LFPDPPP, cuando debiera estar más detallado para la seguridad jurídica del contribuyente porque no refiere los parámetros de aplicación o de excepción.

En terceras dicha ley únicamente señala como titular de la protección de datos personales a la persona física, no así a la moral.

En ese tenor, existe el riesgo de que el tercero difunda y haga mal uso de los datos del contribuyente.

Sugerencias

Para evitar peligros se aconseja que el interesado en enviar su información a la autoridad hacendaria por conducto de un tercero, incluya en el contrato de prestación de servicios cláusulas tendientes a proteger sus datos personales y en general de todos los archivos que remita, vinculadas con su confidencialidad, uso y manejo.

Dentro de esas cláusulas es imperioso estipular penas convencionales para el caso de que el PSRDD no resguarde la información o haga mal uso de ella, además de elaborar una carta compromiso de confidencialidad, reserva y resguardo de los datos.

También se ha de incluir un apartado que contenga normas por fallas en el sistema y el mecanismo a seguir.

Lo anterior con independencia de la responsabilidad civil en que se pudieran incurrir.

Por otro lado, surge la duda de si los contribuyentes (personas morales) tienen derecho a la protección de sus datos personales en términos de la LFPDPPP y su Reglamento, pues las deja fuera como se aprecia en los siguientes preceptos:

Artículo 3o (LFPDPPP). Para los efectos de esta Ley, se entenderá por:

I a IV…

V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.

Artículo 5o (Reglamento). Las disposiciones del presente Reglamento no serán aplicables a la información siguiente:

I. La relativa a personas morales

Al respecto, la Segunda Sala de la Suprema Corte de Justicia de la Nación al resolver el amparo en revisión 191/2008 señaló que el fin de la protección de esos datos es el respeto de un derecho personalísimo, como es el de la intimidad, del cual derivó el juicio respectivo.

Por otra parte, en el dictamen del Senado de la República relativo al reconocimiento del derecho a su protección, se indicó que México debía adecuar su marco constitucional para otorgar a toda persona una protección adecuada contra el posible mal uso de su información (¿Las personas morales tienen derecho a la protección de datos personales?, visible en www.jsd.mx/index.php/blog/770-las-personas-morales-tienen-derecho-a-la-proteccion-de-datos-personales).

En ese tenor, es innegable que puede darse un mal uso de la información tanto de personas físicas como de empresas.

Adicionalmente, el derecho a la protección de datos personales consiste en el control de cada individuo sobre el acceso y uso de la información en aras de preservar la vida privada de las personas, con fundamento en el artículo 16, segundo párrafo constitucional.

Tal prerrogativa podría entenderse, en primera instancia, como exclusiva de las personas físicas, ante la imposibilidad de afirmar que las morales son titulares del derecho a la intimidad y/o a la vida privada, sin embargo, el contenido de este derecho puede extenderse a cierta información de las sociedades.

Los bienes protegidos de las corporaciones, comprenden los documentos e información que les son inherentes, que deben permanecer ajenos al conocimiento de terceros, con independencia de que en materia de transparencia e información pública, opere el principio de máxima publicidad y disponibilidad (todo dato en posesión de las autoridades es pública, sin importar la fuente o la forma en la cual se hubiese obtenido).

Así, la información entregada incluso a las autoridades por las personas morales, será confidencial cuando tenga el carácter de privada por contener datos que pudieran equipararse a los personales, o bien, reservada temporalmente, si se actualiza alguno de los supuestos previstos legalmente.

Sirve de apoyo a lo anteriormente comentado este criterio sustentado por el Pleno: PERSONAS MORALES. TIENEN DERECHO A LA PROTECCIÓN DE LOS DATOS QUE PUEDAN EQUIPARARSE A LOS PERSONALES, AUN CUANDO DICHA INFORMACIÓN HAYA SIDO ENTREGADA A UNA AUTORIDAD, visible en la Gaceta del Semanario Judicial de la Federación, Décima Época, Tomo I, Libro 3, p. 274, Materia Constitucional, Tesis P. II/2014 (10a.), Tesis Aislada, Registro 2005522, febrero de 2014.

Aunado a lo ya reseñado, si a las sociedades se les ha reconocido como titulares de derechos humanos, entre ellos se encuentra el de protección a sus datos personales, y ante la transgresión a esa prerrogativa válidamente pueden instaurar su defensa (arts. 1o y 6o, Constitucional).

Comentario final

El uso de los PSRDD es una opción que puede resultar atractiva para quienes no cuentan con la infraestructura necesaria para enviar su información al SAT por medios electrónicos, sin embargo, representa varios riesgos si no se toman las medidas pertinentes de confidencialidad, reserva y resguardo de la información transmitida.