Ir al contenido principal
Verifactu

¿Cómo afecta el RGPD a Verifactu?

En los últimos meses se habla mucho de Verifactu, el nuevo sistema de facturación electrónica que quiere implantar Hacienda a partir de 2026. Y claro, entre tanto cambio normativo, es normal que surjan dudas como:

  • ¿Hay que enviar todas las facturas directamente a Hacienda?
  • ¿Qué datos se comunican exactamente?
  • ¿Cómo afecta esto al cumplimiento del RGPD si en la factura aparecen nombres de clientes o incluso tratamientos médicos?

Son preguntas muy habituales, y la buena noticia es que la respuesta no es tan complicada como parece. Vamos a verlo con calma.

¿Qué es realmente Verifactu?

En pocas palabras: Verifactu es un sistema que obliga a que las facturas emitidas sean verificables e inalterables.

Esto significa que ya no se podrá modificar una factura después de emitirla, ya que cada una llevará un código único y una especie de huella digital (hash) que garantiza su integridad.

Además, el sistema permite enviar las facturas en tiempo real a la Agencia Tributaria. Pero —y esto es clave— ese envío no es obligatorio.

¿Es obligatorio enviar todas las facturas a Hacienda?

No, no es obligatorio.
Lo que sí es obligatorio es utilizar un software de facturación homologado, que cumpla con los requisitos de Verifactu.

El envío en tiempo real a la AEAT es voluntario, pero si decides no hacerlo, deberás guardar todos los registros de forma inalterable, ya que Hacienda puede solicitarlos en cualquier momento.

En la práctica, muchas empresas y autónomos optarán por enviarlas directamente para ganar en tranquilidad: si Hacienda ya tiene las facturas, reduces riesgos ante una inspección.

¿Qué datos se comunican cuando decides enviar las facturas?

Aquí está el quid de la cuestión. No se transmite toda la información de la factura, solo los datos esenciales:

  • Número y serie de la factura
  • Fecha de emisión
  • NIF y datos básicos del emisor y del receptor
  • Bases imponibles, IVA, importe total
  • Códigos técnicos: hash y código identificador

Lo que no se envía es la descripción del producto o servicio.
Por ejemplo, si eres una clínica dental y en la factura aparece “empaste” u “ortodoncia”, esa parte no se comunica a Hacienda. Solo se reciben los importes y los datos fiscales básicos.

¿Cómo afecta el RGPD a Verifactu?

Una duda muy común es si se está cumpliendo el Reglamento General de Protección de Datos (RGPD) al enviar facturas a la AEAT.

La respuesta es . La base legal para ese tratamiento de datos es el cumplimiento de una obligación legal (art. 6.1.c del RGPD). No necesitas el consentimiento del cliente para enviar esa información a Hacienda.

Aun así, hay que respetar varios principios del RGPD:

  • Minimización: no incluyas más datos de los necesarios en la factura.
  • Seguridad: utiliza software homologado que garantice integridad y cifrado.
  • Transparencia: informa en tu política de privacidad que los datos de facturación pueden comunicarse a Hacienda.

¿Qué pasa con las facturas que reflejan datos sensibles?

Una factura normalmente no debería incluir datos de salud, creencias religiosas o ideología. Sin embargo, en sectores como clínicas médicas, dentales o psicológicas, la descripción del servicio puede dar pistas sobre el estado de salud del paciente.

En estos casos, puedes estar tranquilo: esa información sensible no se comunica a Hacienda. Solo permanece en la copia de la factura que entregas al paciente.

Recomendación: si puedes, evita poner descripciones clínicas detalladas. Usar conceptos genéricos como “consulta”, “tratamiento” o un código interno suele ser suficiente para justificar el gasto sin comprometer la privacidad.

¿Qué ocurre si no cumples con Verifactu?

No es un tema menor. Las sanciones pueden ser muy elevadas:

  • Usar un software que no esté homologado puede acarrear multas de hasta 150.000 €.
  • Manipular facturas o dificultar su trazabilidad también conlleva sanciones graves.
  • Además, si hay una infracción del RGPD (por ejemplo, comunicar más datos de los permitidos o no proteger adecuadamente la información), la AEPD puede intervenir con multas adicionales.

¿Cómo afecta Verifactu al día a día de empresas y autónomos?

La principal consecuencia es que habrá que adaptar el sistema de facturación. Esto implica:

  • Actualizar el software utilizado.
  • Formar al equipo administrativo sobre los nuevos procesos.
  • Decidir si se enviarán las facturas automáticamente a Hacienda o si se conservarán localmente.
  • Revisar las cláusulas de privacidad e informar correctamente a los clientes.

Para muchos negocios pequeños esto puede parecer una complicación, pero en realidad es una forma de tener todo más ordenado, seguro y conforme a la ley.

Conclusión: lo esencial sobre Verifactu y RGPD

  • Con Verifactu, no es obligatorio enviar todas las facturas a Hacienda, pero sí debes emitirlas con un formato verificable.
  • Si decides enviarlas, solo se comunican los datos básicos, nunca los detalles del producto o servicio.
  • El envío está amparado por una obligación legal, por lo que cumple con el RGPD. Aun así, aplica los principios de minimización, seguridad y transparencia.
  • Las clínicas y profesionales sanitarios pueden incluir el tratamiento en la factura sin problema, ya que esa información no se transmite a la AEAT.
  • En definitiva, Verifactu es un paso más hacia la digitalización de la facturación en España. Requiere adaptación, sí, pero también aporta mayor seguridad, control y transparencia fiscal.

Autora: Mariona Heredia, Abogada.

Si necesitas más información, ¡contacta con nosotros!:




    Acepto recibir el boletín de noticias

    Información sobre protección de datos:

    Denominación social: LEGAL IT GLOBAL 2017, SLP.

    Finalidad: Atender tu petición, envío Boletín.

    Legitimación: Cumplimiento prestación servicio. Consentimiento.

    Destinatarios: Tus datos no serán compartidos con terceros.

    Derechos: Accede, rectifica o suprime los datos. Puedes ejercer derechos mencionados en Pol. Privacidad.

    Denominación social:

    LEGAL IT GLOBAL 2017, SLP

    Finalidad:
    Prestar el servicio.

    Envío del Boletín informativo.

    Legitimización:
    Cumplimiento de la prestación del servicio.

    Consentimiento.

    Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Consulta la Política de Protección de datos completa a aquí.

    ¿Quieres estar en el día de toda la actualidad jurídica?

    Recibe nuestro boletín con noticias, artículos y acontecimientos.

    Subscríbete
    Nosotros
    Servicios

     

    cipp certification
    Powered by  GDPR Cookie Compliance
    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.