IA en la AEAT: análisis jurídico del despliegue de sistemas automáticos en la Agencia Tributaria

El sistema HERMES decide qué contribuyente va a ser inspeccionado. Lo hace mediante perfiles de riesgo probabilísticos, cruzando millones de datos del repositorio Zújar con el análisis de grafos de Teseo. Y lo hace, por diseño, en secreto: el artículo 170.7 del RGGIT ampara la reserva de sus criterios de selección. El ciudadano no puede conocer por qué fue elegido. Tampoco puede rebatirlo.

Eso, en 2026, es un problema jurídico de primer orden.

Un ecosistema opaco con consecuencias muy reales

La AEAT ha construido a lo largo de los años una infraestructura analítica de notable sofisticación. Zújar almacena. Teseo cruza relaciones societarias. Dédalo identifica obligados tributarios con datos parciales. Y sobre todo ello opera HERMES, elaborando los perfiles que determinan quién merece la atención inspectora del Estado.

Lo que hace poderoso a este ecosistema —su capacidad de procesar patrones complejos sin intervención humana caso a caso— es exactamente lo que lo hace jurídicamente problemático. Porque cuando el funcionario revisa la propuesta del sistema y la valida sin ejercer un control sustantivo independiente, el TJUE ya nos ha dicho lo que ocurre: eso no es supervisión humana, es una decisión automatizada. La sentencia Schufa Holding AG (C-634/21) fue meridianamente clara en este punto. Si la puntuación de probabilidad recibe un peso determinante, el artículo 22 del RGPD entra en juego.

Y aquí es donde el análisis se complica. La AEAT invoca el artículo 96 LGT como base habilitante de todo su despliegue tecnológico. Un artículo redactado en 2003. Antes de machine learning. Antes de perfiles de riesgo probabilísticos. Antes, incluso, de que existiera el concepto jurídico de «decisión automatizada».

La paradoja del Reglamento de Inteligencia Artificial

Conviene recordar que el Reglamento (UE) 2024/1689 —el gran instrumento regulatorio europeo en materia de IA— clasifica los sistemas tributarios como de riesgo no elevado. El considerando 59 del RIA establece que los sistemas administrativos de las autoridades fiscales no deben, por regla general, considerarse de alto riesgo.

La consecuencia práctica es llamativa: la AEAT queda dispensada de las evaluaciones de impacto ex ante y de los controles más estrictos que el Reglamento impone a sistemas de empleo, educación o justicia, pese a que una inspección tributaria puede tener un impacto sobre la vida económica de un ciudadano tan invasivo —o más— que muchos de los supuestos de alto riesgo expresamente regulados.

Dicho esto, el artículo 86 del RIA introduce algo relevante: un derecho autónomo a la explicación de las decisiones adoptadas mediante IA, diferenciado del artículo 22 del RGPD. No es un derecho de no ser evaluado algorítmicamente —eso sería otra conversación—, sino el derecho a entender la lógica de la decisión. A recibir una explicación funcional que permita el ejercicio efectivo del derecho de defensa.

La pregunta que nadie puede evitar es si ese derecho puede ejercerse hoy frente a HERMES. Y la respuesta es que, bajo el régimen de reserva del artículo 170.7 RGGIT, no.

El Caso Bosco como punto de inflexión

La STS n.º 3826/2025 —el denominado Caso Bosco— es la pieza que faltaba en este rompecabezas. El Tribunal Supremo declaró que el derecho de acceso a la información regulado en la Ley de Transparencia de 2013 es aplicable a los algoritmos empleados por las Administraciones Públicas. La transparencia algorítmica deja de ser una aspiración doctrinal para convertirse en una exigencia con respaldo jurisprudencial directo.

Lo que más me llama la atención del fallo no es la declaración en sí —que era predecible a la vista de la doctrina europea—, sino sus implicaciones para los sistemas de «riesgo limitado» que la doctrina mayoritaria ha ignorado. La verdadera batalla no se librará en los grandes sistemas declarados de alto riesgo: se librará en las herramientas cotidianas que afectan a millones de contribuyentes sin que nadie lo discuta.

Y ese es el territorio donde la AEAT opera hoy con mayor libertad. Y, por tanto, con menor escrutinio.

Lo que viene en el informe completo

El análisis publicado en PDF aborda con detalle lo que este artículo solo puede apuntar:

• La disección técnica y jurídica del ecosistema completo de la AEAT: Zújar, Teseo, Dédalo y HERMES, con sus implicaciones bajo el artículo 22 del RGPD y el artículo 86 del RIA.
• El análisis de los nudges en Renta Web: si los avisos personalizados sobre deducciones «sospechosas» constituyen condicionamiento cognitivo ilegítimo (automation bias) y si vulneran el principio de proporcionalidad.
• El examen del artículo 96 LGT como base habilitante insuficiente para el despliegue actual, y el argumento de que su extensión analógica vulnera el principio de legalidad del artículo 9.3 CE.
• Las tres propuestas de reforma normativa: desarrollo in house con ALIA, creación de un Registro Algorítmico Estatal siguiendo el modelo del Algoritmeregister holandés, y modificación de la LGT para incluir un régimen expreso de responsabilidad derivada del uso de IA.
• La valoración crítica del Compromiso Ético de la AEAT (enero 2025): por qué el soft law sin mecanismos de impugnación no es suficiente.

El informe completo está disponible en PDF. Si trabajas en derecho tributario, administración pública o compliance tecnológico, es lectura directamente aplicable a los procedimientos que ya están ocurriendo.

Cinco conclusiones para llevarse

• El artículo 96 LGT no da cobertura suficiente al despliegue actual de IA en la AEAT; su aplicación analógica plantea un problema de legalidad constitucional.
• La exclusión de los sistemas tributarios de la categoría de alto riesgo del RIA es una anomalía regulatoria que el Anteproyecto de Gobernanza debería corregir.
• La doctrina Schufa del TJUE limita materialmente el margen de la AEAT cuando el funcionario valida mecánicamente la propuesta de HERMES sin control sustantivo.
• El Caso Bosco consolida la transparencia algorítmica como exigencia jurídicamente exigible, no como principio programático.
• El principio human in the loop solo tiene valor real si va acompañado de formación técnica del personal, mecanismos de impugnación claros y auditorías externas periódicas.