La sentencia 1206/2025 del Tribunal Supremo: el principio de eficacia administrativa frente al Estado de Derecho

La sentencia del Tribunal Supremo 1206/2025, de 29 de septiembre, dictada por la Sala Tercera, Sección Tercera, constituye uno de los pronunciamientos más controvertidos de los últimos años en materia tributaria y de protección de datos personales.

El Alto Tribunal avala que la Agencia Estatal de Administración Tributaria (AEAT) pueda utilizar, en procedimientos de comprobación e inspección, datos personales de terceros no integrados en el expediente, sin consentimiento, conocimiento previo ni posibilidad de intervención procesal de los afectados.

“Debe recordarse que la utilización de datos personales de terceras personas, distintas al obligado tributario, por la Administración Tributaria, sin el preceptivo consentimiento, debe considerarse legítima […] siempre que responda a objetivos de interés general relacionados con la persecución del fraude fiscal […] y no exceda de lo estrictamente necesario.”

Si bien el fallo se reviste de la loable finalidad de reforzar la eficacia de la lucha contra el fraude fiscal, su contenido y efectos prácticos suponen un grave retroceso en las garantías constitucionales de los contribuyentes, al erosionar el derecho fundamental a la protección de datos (art. 18.4 CE), el derecho de defensa (art. 24 CE) y el principio de transparencia y seguridad jurídica (art. 9.3 CE).

En un contexto de creciente inquietud por la expansión del poder administrativo, esta sentencia ha encendido las alarmas entre juristas, asociaciones profesionales y entidades europeas que advierten de un posible deslizamiento hacia prácticas incompatibles con los valores esenciales del Estado de Derecho.

Existe una  vulneración directa del principio de defensa y la indefensión estructural del tercero afectado. El aspecto más preocupante de la sentencia radica en la indefensión estructural que genera para el ciudadano cuyos datos son utilizados sin su conocimiento ni intervención.

La AEAT, amparada por esta doctrina, puede nutrir un expediente inspector con información obtenida de terceros —proveedores, clientes, entidades financieras o asesores— sin que el afectado tenga posibilidad alguna de conocer, impugnar o contextualizar tales datos.

La construcción probatoria de un expediente a partir de información privada ajena, sin comunicación ni traslado, quiebra el principio de contradicción, esencial en cualquier procedimiento administrativo con efectos desfavorables.

“Esta Sala […] debe precisar […] que la actuación de la Agencia Estatal de Administración Tributaria debe caracterizarse como tratamiento de datos personales (y no como cesión de datos, tal como sostiene la parte recurrente, pues propiamente no concurre el presupuesto de revelación inherente a la cesión o comunicación de datos).”

La interpretación del Tribunal, al calificar el uso de la información como un simple “tratamiento interno”, desnaturaliza el régimen garantista del Reglamento General de Protección de Datos (RGPD) y de la LOPDGDD, vaciando de contenido el derecho del interesado a conocer y controlar el destino de su información personal.

Bajo esta lógica expansiva, el ciudadano se convierte en objeto de investigación sin defensa posible, excluido del proceso en el que su información se utiliza y sin vías eficaces de oposición o reparación.

Es indiscutible que existe un  acceso indebido a datos sensibles y quiebra del principio de proporcionalidad. A esta primera vulneración se suma un efecto colateral aún más alarmante: cuando el inspeccionado accede al expediente completo en ejercicio de su derecho de defensa, puede acceder también a datos privados o sensibles de terceros —clientes, proveedores o colaboradores— cuya exposición carece de toda justificación.

Se genera así una doble infracción:

La AEAT trata datos de terceros sin legitimación individualizada ni consentimiento;

Y al mismo tiempo los difunde indirectamente al permitir su acceso al inspeccionado, sin medidas de seudonimización ni garantías de confidencialidad.

Tal práctica vulnera frontalmente los principios de minimización y proporcionalidad del artículo 5.1.c del RGPD, al incorporar al expediente datos que exceden lo estrictamente necesario para la comprobación tributaria.

(Imagen: E&J)

“La inclusión de los datos no se revela desproporcionada, ya que solo se recogen datos personales pertinentes y apropiados para tal fin.”

El resultado es un escenario inquietante: la Administración Tributaria se convierte en depositaria y difusora de información personal ajena, quebrantando la confianza legítima del ciudadano en la reserva de sus datos y alterando la relación de seguridad jurídica entre Administración y administrado.

Considero que es un  precedente que erosiona la esencia del Estado de Derecho. La doctrina que emana de esta sentencia trasciende el ámbito técnico tributario y afecta directamente a la arquitectura constitucional de garantías.

El principio de legalidad y el respeto a los derechos fundamentales ceden ante un concepto expansivo de “eficacia administrativa”, propio de un modelo de control estatal, más cercano a lógicas autoritarias que a los estándares democráticos europeos.

“El artículo 8 […] y el artículo 6 […] no se oponen […] a que la Agencia Estatal de Administración Tributaria […] utilice datos de carácter personal de terceras personas […] siempre y cuando […] la inclusión de los datos se limite a aquellos que se revelen adecuados, idóneos, pertinentes y necesarios […] y sea proporcionada al fin legítimo perseguido.”

Bajo esta interpretación, el Tribunal normaliza la excepcionalidad, admitiendo que la Administración pueda acceder, utilizar y compartir información privada sin límites claros ni consentimiento.

La línea divisoria entre legalidad y arbitrariedad se difumina peligrosamente, debilitando los cimientos de un Estado de Derecho fundado en la sujeción de los poderes públicos a la ley y en el respeto efectivo de los derechos fundamentales.

Me gustaría realizar una reflexión final: una llamada de alerta democrática.

“Consideramos legítimo el tratamiento de los datos personales de la recurrente […] referido a la gestión eficiente de la recaudación tributaria y a la persecución del fraude fiscal […]”

La sentencia del Tribunal Supremo 1206/2025 no solo redefine las facultades de investigación de la AEAT; reconfigura la relación entre el ciudadano y el Estado.

Al legitimar el uso y la difusión de datos personales sin control ni consentimiento, abre una senda peligrosa en la que la eficacia administrativa amenaza con suplantar el principio de legalidad y la garantía judicial efectiva.

Cuando los fines administrativos justifican la vulneración de derechos, el equilibrio constitucional se resquebraja.

La erosión del derecho de defensa, la exposición de datos sensibles y la indefensión de los terceros afectados conforman un panorama que exige una reacción legislativa y judicial urgente, así como una respuesta de la sociedad civil.

No es casual que en España y en Europa estén surgiendo asociaciones y plataformas ciudadanas contra los abusos de la Agencia Tributaria, reclamando una reforma profunda que restablezca las garantías procesales y los límites al poder investigador del Estado.

En definitiva, no hay justicia fiscal posible sin justicia procedimental, ni eficacia recaudatoria que pueda prevalecer sobre la dignidad, la privacidad y la libertad de los ciudadanos.

La consolidación de esta doctrina no solo amenaza la coherencia del sistema tributario, sino que pone en riesgo el Estado garantista que consagra nuestra Constitución Española.

Anexos normativos y observaciones técnicas

RGPD (Reglamento UE 2016/679)

• • Art. 13 y 14: Deber de información al interesado cuando los datos no se obtienen directamente de él.
  • Art. 5.1.c: Principio de minimización de datos.
  • Art. 25: Protección de datos desde el diseño y por defecto (incluida la seudonimización).

Constitución Española

• • Art. 18.4: Derecho fundamental a la protección de datos personales.
  • Art. 24: Derecho de defensa y contradicción.
  • Art. 9.3: Principios de legalidad, seguridad jurídica y proscripción de la arbitrariedad.

Ley General Tributaria (LGT)

• • Art. 95: Carácter reservado y finalista de los datos tributarios.
  • Art. 102.2.c: Motivación de los actos administrativos, sin que ello excluya medidas de minimización o anonimización.