Por Daniel Villanueva, Carlos Vela y Paulina Bojalil*
La transformación digital del sistema tributario mexicano ha traído consigo nuevas formas de fiscalización, más ágiles, pero también más invasivas. Dos ejemplos recientes ilustran esta tendencia: el Anexo 24 de las Reglas Generales de Comercio Exterior (RGCE) y la reciente propuesta de artículo 30-B del Código Fiscal de la Federación (CFF), pues representan modelos de acceso directo del Servicio de Administración Tributaria (SAT) a sistemas privados de contribuyentes.
Aunque ambos comparten el objetivo de mejorar la supervisión fiscal, sus diferencias jurídicas, técnicas y de impacto son sustanciales. Este artículo propone que la experiencia acumulada con el Anexo 24 debe servir como referencia para regular adecuadamente el acceso previsto en el artículo 30-B, que está a discusión en el Congreso.
El Anexo 24 tiene una historia de más de dos décadas como instrumento de control fiscal en el ámbito aduanero. Fue creado para establecer los lineamientos técnicos que deben cumplir los sistemas automatizados de control de inventarios de las empresas que importan mercancías temporalmente bajo programas como IMMEX (Industria Manufacturera, Maquiladora y de Servicios de Exportación). Su objetivo es asegurar la trazabilidad de las mercancías importadas, verificar que se utilicen conforme a lo declarado y asegurar su exportación o regularización en tiempo y forma.
Durante mucho tiempo, el cumplimiento del Anexo 24 se basó en la generación de reportes periódicos. Las empresas debían presentar información ante el SAT sin que existiera una obligación de conexión directa entre dicha autoridad y los sistemas internos de las compañías.
Sin embargo, a partir de 2024, el enfoque cambió radicalmente. La Segunda Resolución de Modificaciones a las RGCE 2024 introdujo la exigencia de otorgar al SAT acceso en línea y en tiempo real al sistema de inventarios, incluyendo la entrega de usuario y contraseña. Además, se estableció un plazo máximo de 48 horas para actualizar cualquier movimiento posterior al despacho aduanero.
Esta modificación generó una respuesta crítica por parte del sector privado. Las empresas señalaron que abrir sus sistemas internos al SAT implicaba riesgos de ciberseguridad, exposición de información sensible y posibles extralimitaciones en el uso de los datos.
En respuesta, la versión 2025 del Anexo 24 suavizó parcialmente la norma: se eliminó la referencia explícita a la conexión obligatoria con el ERP (Enterprise Resource Planning) corporativo, permitiendo que cada empresa decidiera cómo integrar los datos al sistema de control, siempre que se respetara el plazo de actualización. No obstante, se mantuvo la obligación de otorgar acceso remoto a la autoridad y de proporcionar manuales de uso del sistema.
En la práctica, muchas empresas han optado por implementar soluciones tecnológicas especializadas, desarrolladas por proveedores autorizados, para cumplir con el Anexo 24. Estos sistemas se integran con los ERPs corporativos para extraer datos de movimientos de mercancías, generar reportes normativos y permitir el acceso del SAT bajo condiciones controladas.
Las medidas de seguridad incluyen la creación de bases de datos espejo, el desfase de información, el cifrado, autenticación multifactor para el SAT y el monitoreo de accesos. A pesar de ello, se han reportado intentos de acceso no autorizado y preocupaciones sobre el uso indebido de la información por parte de funcionarios.
La experiencia con el Anexo 24 demuestra que es posible implementar esquemas de fiscalización digital sin comprometer la seguridad ni la privacidad. En contraste, la propuesta del artículo 30-B del CFF, incluido en el Paquete Económico 2026, contempla un modelo más amplio y ambicioso.
Este artículo busca imponer a todas las plataformas digitales que operan en México, desde servicios de streaming hasta marketplaces y aplicaciones de transporte, la obligación de permitir al SAT acceso en tiempo real a sus sistemas. A diferencia del Anexo 24, esta medida no está condicionada a beneficios fiscales ni limitada a empresas certificadas. Además, contempla como sanción por incumplimiento el bloqueo del servicio digital en territorio nacional, una acción de alto impacto que podría afectar a millones de usuarios.
Desde una perspectiva técnica, los riesgos se amplifican debido a la naturaleza de los datos involucrados: información personal de usuarios, historiales de consumo, ubicaciones y preferencias, entre otros, que podrían quedar potencialmente expuestos sin límites claros.
La propuesta no especifica qué datos serán accesibles ni cómo se protegerán, dejando estos aspectos a reglas generales que el SAT emitiría posteriormente. Esto genera incertidumbre jurídica y técnica, posibles vicios de constitucionalidad y violación a tratados internacionales de los que México es parte, además de preocupaciones legítimas sobre privacidad y derechos digitales.
La experiencia con el Anexo 24 ofrece una hoja de ruta para diseñar un marco regulatorio más equilibrado para regular el acceso del SAT a sistemas privados de forma responsable. A continuación, se presentan propuestas concretas para ajustar la iniciativa del artículo 30-B:
- Establecer un desfase razonable en la entrega de información (24–48 horas), en lugar de exigir acceso en tiempo real absoluto.
- Limitar el alcance de los datos a información fiscalmente relevante, excluyendo datos personales sensibles.
- Implementar un sistema de acceso seguro, con roles restringidos, autenticación multifactor y registro de auditoría.
- Crear un grupo de supervisión interinstitucional que incluya a la Secretaría Anticorrupción y Buen Gobierno y representantes de la industria digital.
- Aplicar la sanción de bloqueo solo como último recurso, previa advertencia formal y oportunidad de subsanar.
- Iniciar con una fase piloto para probar la viabilidad técnica y jurídica del esquema antes de su implementación general.
Estas recomendaciones buscan conciliar la necesidad legítima del Estado de recaudar impuestos con la protección de derechos fundamentales como la privacidad, la seguridad digital y la libertad de empresa. La fiscalización en línea puede ser una herramienta poderosa, pero debe estar acompañada de garantías jurídicas y técnicas que eviten abusos y errores.
Sin perjuicio de lo anterior, es necesario que se garantice que el SAT cumplirá con la normatividad en materia de protección de datos personales en posesión de los sujetos obligados. Resulta imperativo que el SAT lleve a cabo una Evaluación de Impacto de Privacidad, en el que se haga constar explícitamente qué información busca obtener, con qué objeto y cuáles serán las medidas normativas y de seguridad que el SAT implementará para evitar el acceso no autorizado a datos personales y de confidencialidad.
En conclusión, el caso del Anexo 24 demuestra que la fiscalización digital proactiva es viable si se implementa con inteligencia regulatoria y colaboración de la industria y la autoridad. Aplicar las lecciones del Anexo 24 al artículo 30-B permitiría modernizar la supervisión de la economía digital sin replicar los problemas que inicialmente aquejaron al Anexo 24, e incluso evitando riesgos mayores dada la escala de usuarios implicados.
Una regulación informada por la experiencia será clave para alcanzar los objetivos fiscales preservando la confianza en el entorno digital y los derechos fundamentales de los contribuyentes y usuarios.
C$T-GM
*Paulina Bojalil es licenciada en Derecho y maestra en Derecho y Tecnologías Digitales por la Universiteit Leiden en los Países Bajos, asociada en la oficina de Baker McKenzie Ciudad de México. Se especializa en privacidad y seguridad de datos, tecnología, medios y telecomunicaciones (TMT), comercio electrónico y contratos comerciales y de software. Asesora en asuntos relacionados con la industria aeronáutica y también a compañías tecnológicas globales en transacciones nacionales y transfronterizas.
*Carlos Vela es licenciado en derecho, socio de Baker McKenzie en la oficina de Ciudad de México donde Lidera el sector de Tecnología, Medios y Telecomunicaciones (TMT). Está certificado en Protección de Datos y Seguridad Informática (CIPM) por la IAPP y en Transformación Digital y Liderazgo Tecnológico. Ha sido premiado por su innovación legal y reconocido por Chambers and Partners, Legal 500 y otras publicaciones como uno de los abogados más prominentes en su especialidad en México. Previamente, dirigió la práctica de TMT para PwC.
