Factura electrónica obligatoria y RGPD: lo que Hacienda y la AEPD exigen

La factura electrónica obligatoria ya no es una tendencia: es una realidad que afectará a cómo emitimos, recibimos y custodiamos las facturas entre empresas. Mientras ajustas tu ERP y eliges proveedor, hay un frente igual de crítico: el cumplimiento del RGPD.

Hacienda marcará el qué y el cuándo; la AEPD vigilará el cómo se tratan los datos personales y qué garantías aplicas en tu circuito de facturación. Si anticipas ambos planos (tecnológico y jurídico), la implantación será fluida y sin sustos.

Qué cambia con la factura electrónica en tu día a día

La factura electrónica no es un simple “formato”. Es un ecosistema que abarca interoperabilidad entre soluciones, estados de factura, posibles repositorios o plataformas y una trazabilidad más fina. Todo ello conlleva metadatos, personas de contacto, identificadores y logs que, a efectos del RGPD, son datos personales.

En la práctica, afecta a todo el ciclo de ventas (presupuesto, pedido, entrega, facturación, cobro), al ciclo de compras (pedido, recepción, conformidad, pago) y a la contabilidad (registro, conciliación, conservación). En cada punto se decide qué datos capturas, con quién los compartes, cuánto tiempo los conservas y con qué seguridad los proteges.

Factura electrónica B2B y “software antifraude”: no son lo mismo

Aunque convivan en tu ERP, persiguen finalidades distintas. La e-factura impulsa la trazabilidad B2B y la reducción de morosidad; el llamado software antifraude busca la integridad e inalterabilidad de los registros. Mezclar requisitos suele generar gaps contractuales y sobrecostes. Conviene separar qué pide cada marco y dónde se tocan (por ejemplo, en logs y controles de acceso).

Lo que Hacienda pide y cómo impacta en la privacidad

Hacienda exige emisión electrónica, intercambio e incluso comunicación de estados para conocer el ciclo de vida de la factura. Para cumplir sin fricciones con RGPD:

• Define flujos: quién emite, quién recibe, quién intermedia y qué estados se registran.
• Ajusta metadatos: incluye solo los necesarios para la función contable y fiscal.
• Documenta la base jurídica para cada intercambio (obligación legal, interés público o legítimo, según proceda).
• Alinea proveedores: si hay SaaS o integradores, cubre su rol como encargados y la cadena de subencargados.

Si utilizas una plataforma pública para emitir o como repositorio de estados o copias, hay que precisar quién es responsable, con qué bases actúa y con qué garantías se accede a la información.

Este es un punto de atención para la AEPD, especialmente cuando los metadatos pueden revelar información no necesaria o cuando una copia fiel de la factura circula a un repositorio central.

Lo que la AEPD observará en tu implantación

La AEPD va a mirar proporcionalidad, minimización y licitud en cada paso. Donde suelen aparecer tensiones:

• Base jurídica del envío de estados y copias a plataformas o terceros.
• Categorías especiales en conceptos de factura (salud, afiliación u otros indicios que puedan aparecer si el concepto es demasiado descriptivo).
• Derechos de personas afectadas cuando la información reside en múltiples sistemas (ERP, proveedor de e-factura, repositorio público).
• Transferencias internacionales si tu proveedor cloud usa centros fuera del EEE o subencargados externos.

Principios RGPD que debes “aterrizar” ya:

• Licitud: cada flujo necesita base jurídica explicitada.
• Minimización: limita campos y metadatos a lo estrictamente necesario.
• Limitación de finalidad: contabilidad, fiscalidad y cobro; no más.
• Exactitud: evita duplicidades entre ERP, DMS y correo.
• Conservación: fija plazos, bloqueos y borrados coherentes.
  Integridad y confidencialidad: cifrado, control de accesos, registro de eventos y resiliencia.

Plan operativo de cumplimiento: del diagnóstico a la puesta en marcha

El éxito está en llegar a la prueba en preproducción con la documentación y la gobernanza cerradas. Nuestro enfoque prioriza lo que un auditor pediría mañana.

1) Registro de Actividades de Tratamiento (RAT) específico

Incluye finalidades, bases legales, categorías de datos, sistemas implicados, plazos de conservación, destinatarios (plataforma pública, integradores, cloud), transferencias y medidas técnicas. Es la columna vertebral de tu cumplimiento.

2) Análisis de riesgos y, si procede, EIPD

Valora volumen, exposición, interoperabilidad y consolidación de copias. Si identificas alto riesgo (p. ej., repositorios centrales o presencia probable de datos sensibles en conceptos), realiza una EIPD con plan de tratamiento.

3) Contratos de encargo (art. 28 RGPD)

Con tu ERP, proveedor de e-factura, SaaS y conectores. Exige instrucciones claras, subencargados listados, ubicaciones de datos, cifrado, MFA, segmentación, logs, notificación de brechas y auditorías. Si el proveedor define finalidades propias, valora corresponsabilidad.

4) Minimización aplicada a plantillas y adjuntos

Revisa plantillas: evita conceptos “habladores”. Sustituye detalles de diagnóstico, afiliación o asuntos por descripciones neutras. Revisa adjuntos (órdenes, albaranes) y metadatos de estados: muchos arrastran nombres y correos innecesarios.

5) Conservación, bloqueo y borrado efectivo

Define plazos según obligaciones fiscales; implementa bloqueo y borrado en ERP, DMS, backups y repositorios. Evita copias paralelas en correo y carpetas compartidas.

6) Derechos de las personas y trazabilidad

Tu plan de derechos debe contemplar múltiples sistemas y proveedores. Define propietarios, plazos, bitácoras y pruebas (capturas, tickets, hash de exportaciones).

Interoperabilidad: dónde aparecen los riesgos reales

La interoperabilidad entre soluciones privadas y una posible plataforma pública solo es segura si antes dibujas el ciclo de vida de la factura y marcas qué datos mínimos viajan en cada estado (emitida, aceptada, rechazada, cobrada, impagada). Evita texto libre, usa catálogos codificados para motivos y métodos, y prohíbe adjuntos que no tengan justificación contable. 

Con ese inventario reduces exposición y puedes cerrar contratos art. 28 a medida: tu empresa como responsable define finalidades y campos obligatorios; el proveedor/ERP como encargado ejecuta instrucciones con seguridad y retención; y la plataforma pública, si interviene, actúa con atribución legal y acceso limitado a metadatos imprescindibles. Todo ello documentado en el RAT, con plazos de conservación diferenciados para documento y metadatos.

Factura electrónica obligatoria y RGPD: cerrar el círculo de cumplimiento

Adoptar la factura electrónica obligatoria con garantías pasa por alinear software, contratos y gobernanza de datos bajo el RGPD.

Si definimos la base jurídica por flujo, aplicamos minimización en plantillas y metadatos, formalizamos encargos del art. 28, y blindamos la seguridad con controles auditables, el proyecto no solo cumple: reduce riesgos, acelera cobros y aporta trazabilidad real.

El mapa de roles y estados convierte la interoperabilidad en un proceso predecible y defendible ante auditorías o requerimientos.