La Agencia Estatal de Administración Tributaria (AEAT) está incorporando herramientas de análisis masivo y aprendizaje automático en sus procesos. En la práctica, algunos sistemas actúan como filtros que proponen aprobar o denegar trámites —una aparente eficiencia que puede esconder riesgos reales para personas y empresas.

¿Qué es ROI y cómo funciona?

El sistema ROI se describe como un “modelo predictivo de minería de datos” empleado por la AEAT para evaluar solicitudes de alta en el Registro de Operadores Intracomunitarios. El propio texto indica que ROI procesa más de 90.000 solicitudes al año y genera propuestas automáticas —aprobar, denegar o estudiar— con una precisión declarada cercana al 95%.

La Agencia Tributaria, por su parte, ha publicado su Estrategia de Inteligencia Artificial, donde anuncia la incorporación de la IA para mejorar la productividad y los servicios públicos. Esa estrategia confirma que la AEAT está integrando soluciones algorítmicas, aunque la información pública de la AEAT no siempre especifica el alcance técnico ni las métricas internas del ROI.

Por qué la cifra de 90.000 importa.

Una observación simple pero crítica: un sistema que procesa 90.000 solicitudes al año emite —en promedio— más de 240 propuestas diarias. Esa magnitud condiciona la plausibilidad de una “revisión humana exhaustiva” caso por caso y convierte un 1–5% de errores en decenas o centenares de personas afectadas al año. Esa aritmética proviene directamente de la cifra indicada en el documento y es la base para la preocupación: no es una exageración, es cálculo elemental.

¿Es ROI “IA de alto riesgo”? ¿Qué exige la ley?

El Reglamento Europeo sobre Inteligencia Artificial (AI Act, Regulation (EU) 2024/1689) establece obligaciones reforzadas para sistemas de alto riesgo: evaluaciones de impacto, documentación técnica, auditorías y medidas de supervisión humana efectiva. Si un sistema automatizado condiciona derechos (libertad de empresa, acceso a prestaciones, etc.), entra en el ámbito del AI Act y del RGPD. La combinación RGPD + AI Act obliga a mayor transparencia y garantías.

La Agencia Española de Protección de Datos (AEPD) ha publicado guías sobre cómo adecuar tratamientos que integran IA al RGPD, incluyendo obligaciones sobre decisiones automatizadas, derecho de acceso y explicaciones al afectado. En otras palabras: la ley y las guías administrativas ya contemplan que no todo “análisis automatizado” puede operar sin salvaguardas.

Precedentes peligrosos: SyRI (Países Bajos) y el caso BOSCO (España)

Hay precedentes europeos que muestran el daño potencial de sistemas opacos. El caso neerlandés SyRI (Systems Risico Indicatie) fue paralizado por tribunales por vulnerar derechos y por operar sin las garantías necesarias; el fallo puso de relieve el impacto en barrios y familias marcadas por decisiones algorítmicas. Es un ejemplo de cómo una “herramienta contra el fraude” puede convertirse en una máquina de estigmatizar y castigar sin elementos procesales adecuados.

En España, el caso BOSCO —el algoritmo que calcula quién tiene derecho al bono social eléctrico— ha llegado a debates y litigios sobre si el código fuente y el funcionamiento interno deben ser accesibles por razones de transparencia. Organizaciones como Civio han impulsado solicitudes de acceso y litigios con impacto público. Los medios han cubierto recientemente decisiones jurisdiccionales que obligan a abrir el debate sobre “cajas negras” en la administración pública.

Riesgos concretos para personas y empresas

  • Falsos positivos: un algoritmo que marca como “riesgoso” un número significativo de expedientes puede bloquear el ejercicio de una actividad económica legítima. Las consecuencias prácticas son pérdida de ingresos, reputación y costes legales. La magnitud del problema deriva directamente del volumen de expedientes procesados.
  • Opacidad y tutela debilitada: sin acceso a los criterios técnicos, el afectado solo ve la salida (denegación) y no puede contradecir el proceso que la generó; impugnar se vuelve lento y ante la espera de una resolución positiva por parte de los tribunales a bloqueado operaciones legales entre países UE.
  • Reproducción de sesgos: modelos entrenados con datos históricos tienden a perpetuar patrones discriminatorios si no se auditan. La AEPD y el AI Act exigen medidas sobre este punto.

Qué puede y debe hacer la ciudadanía (pasos prácticos, escalonados)

Resumen operativo mínimo: 1. Solicitar acceso RGPD: pedir por escrito qué datos se han tratado, si ha habido decisión automatizada, y pedir la documentación disponible. La AEAT está obligada a responder en plazos legales. 2. Si la respuesta falla, reclamar ante la AEPD: procedimiento administrativo con potestad sancionadora. 3. Agrupar casos y visibilizar: el impacto colectivo suele atraer atención mediática y movilizar recursos. Ese enfoque encaja con los recursos disponibles y con la experiencia de casos comparados (SyRI y BOSCO).

Limitaciones de la información pública y lagunas que hay que exigir

Existen carencias públicas importantes: la AEAT publica su estrategia y comunicados, pero no siempre desglosa métricas internas como las tasas reales de error del ROI, el método exacto de entrenamiento o la proporción de propuestas revisadas por humanos

Conclusión crítica y práctica

La IA puede ser una herramienta útil para la administración: reduce tiempos, detecta patrones y mejora procesos. Pero la eficiencia no es un salvoconducto: cuando una herramienta automatizada condiciona derechos debe someterse a reglas claras, auditorías independientes y mecanismos reales de reparación. El AI Act, el RGPD y las guías de la AEPD ya establecen esos requisitos; lo que falta muchas veces es aplicación efectiva, transparencia activa y vigilancia ciudadana. Si te afecta un expediente, actúa por las vías administrativas (RGPD/AEPD) y busca apoyo colectivo: los precedentes muestran que la transparencia y la presión pública son la palanca más rápida para someter estas “cajas negras” al escrutinio democrático.