La Cámara de Diputados aprobó una reforma que permitirá al SAT acceder en tiempo real a plataformas digitales como Netflix, Uber o Mercado Libre. El objetivo es fiscalizar actividades económicas en línea, pero los vacíos legales y la falta de controles independientes abren la puerta a vigilancia masiva, bloqueos arbitrarios y filtraciones de datos sensibles.
La Cámara de Diputados dio luz verde ayer, por 335 votos a favor y 122 en contra, a una reforma de alto impacto: a partir de abril de 2026, el Servicio de Administración Tributaria (SAT) podrá acceder, de forma permanente y en tiempo real, a los sistemas de plataformas digitales que operan en el país.
El argumento oficial es combatir la evasión fiscal en entornos digitales, cada vez más complejos y difíciles de fiscalizar. Sin embargo, el alcance del nuevo artículo 30-B del Código Fiscal de la Federación genera alertas sobre vigilancia sin límites, riesgos para la privacidad y posibles abusos de poder.
La modificación aprobada por la mayoría de Morena y sus aliados representa un parteaguas. Obliga a todas las plataformas digitales —ya sean de streaming, comercio electrónico, transporte, enseñanza, entretenimiento o servicios personales— a otorgar al SAT acceso directo a sus registros informáticos para verificar el cumplimiento fiscal de quienes usan esos servicios. No se trata de auditorías por solicitud, ni de procesos supervisados por un juez. Se trata de conexión constante, en línea, sin intermediarios, y sin límite temporal.
Aunque el propósito declarado de la reforma es hacer más eficiente la recaudación y atacar esquemas de evasión y facturación simulada, su diseño actual permite al SAT operar con un nivel de visibilidad y control sobre la actividad digital de los ciudadanos sin precedentes en el país. Y, lo más crítico, sin establecer contrapesos institucionales que limiten ese poder.
Qué cambia exactamente en la ley
El nuevo artículo 30-B del Código Fiscal de la Federación establece que los prestadores de servicios digitales deberán dar al SAT acceso permanente y en tiempo real a los registros e información necesaria para verificar el cumplimiento de obligaciones fiscales. Esta medida incluye plataformas mexicanas y extranjeras.
Si una plataforma incumple esta disposición, el SAT tendrá la facultad de ordenar el bloqueo temporal de su servicio. La ley no detalla el procedimiento ni establece requisitos judiciales para aplicar esta medida, lo cual ha encendido alarmas entre expertos en derecho digital y legisladores de oposición.
Otro cambio importante es el endurecimiento de sanciones penales: se amplían las penas de prisión para quienes emitan, compren o utilicen facturas falsas, con castigos de hasta nueve años. Esta parte de la reforma busca frenar esquemas de facturación simulada que han drenado recursos públicos durante años.
Finalmente, se establece que las nuevas facultades entrarán en vigor el 1 de abril de 2026, otorgando a las empresas un margen para adaptarse tecnológicamente. No obstante, la ley no contempla lineamientos técnicos, protocolos de seguridad ni supervisión independiente que regulen cómo debe implementarse esta apertura de sistemas.
Lo que está en juego: privacidad, control y proporcionalidad
Más allá de los aspectos técnicos o fiscales, esta reforma plantea un debate de fondo sobre el alcance legítimo del poder del Estado en la era digital. Plataformas como Netflix, Uber, Amazon, Mercado Libre, OnlyFans o Tinder son hoy parte estructural de la vida cotidiana. Se usan para trabajar, comprar, comunicarse, estudiar, entretenerse o relacionarse. El hecho de que el SAT pueda ver en tiempo real lo que ocurre en esos entornos digitales —sin un control judicial ni límites claramente definidos— reconfigura la noción de privacidad para millones de personas.
Organizaciones civiles y de derechos digitales han calificado esta medida como una interferencia desproporcionada que puede habilitar una vigilancia masiva. Alertan que, si no hay protocolos claros sobre qué información se puede revisar y cuál debe permanecer protegida, el SAT podría tener acceso a datos que no son estrictamente fiscales, como patrones de consumo, interacciones personales o comportamiento de los usuarios.
También preocupa la facultad de bloquear servicios. Si bien se plantea como una herramienta contra plataformas incumplidas, no hay claridad sobre cómo se ejecutará, quién lo decide, ni si existe posibilidad de defensa o apelación para las empresas o usuarios afectados. Una decisión errónea podría dejar fuera de línea una plataforma completa, afectar miles de negocios o suspender un servicio esencial por una falla técnica.
¿Y los datos personales? El historial no da confianza
Más allá de los riesgos teóricos, existe un problema práctico aún más delicado: la fragilidad del Estado mexicano en el manejo de datos personales. En los últimos años, el gobierno federal y varias instituciones han sido protagonistas de filtraciones masivas que comprometen la seguridad digital de millones de ciudadanos.
En 2016, la base de datos del Instituto Nacional Electoral (INE) con información de más de 93 millones de votantes fue encontrada expuesta en internet. A pesar de tratarse de datos altamente sensibles —nombre, domicilio, clave de elector—, la información estuvo disponible por semanas en servidores sin protección.
En 2022, los Guacamaya Leaks revelaron más de seis terabytes de correos y documentos confidenciales de la Secretaría de la Defensa Nacional. Entre los datos filtrados había información personal del presidente, diagnósticos médicos, archivos sobre seguridad pública y estrategias militares. El incidente expuso la vulnerabilidad de las instituciones mexicanas frente a ataques cibernéticos y fallas internas.
Y en 2023, medios de investigación mostraron que millones de facturas electrónicas almacenadas por el SAT no estaban cifradas y podían ser accedidas por personal sin autorización clara. Aunque no se documentó una filtración masiva, el hallazgo dejó en evidencia la falta de estándares básicos de seguridad digital dentro del propio organismo que ahora tendrá aún más poder.
Con estos antecedentes, dar al SAT acceso ilimitado a los sistemas de plataformas digitales plantea una pregunta fundamental: ¿están nuestros datos seguros? ¿Qué mecanismos existen para evitar el mal uso, el espionaje interno, la comercialización ilegal de información o su uso político? Hoy, la ley no ofrece respuestas claras.
Una reforma con dientes, pero sin vigilancia
La intención de fiscalizar mejor el entorno digital es legítima. Nadie cuestiona que el Estado debe tener herramientas modernas para recaudar impuestos en una economía donde buena parte de las operaciones ya no pasa por ventanillas físicas. El problema está en cómo se hace: sin establecer límites, sin mecanismos de supervisión independientes y sin una política sólida de protección de datos.
México está a punto de convertirse en uno de los pocos países democráticos donde la autoridad fiscal podrá observar en tiempo real la actividad de plataformas digitales sin intervención judicial. El riesgo no es solo técnico, es político, social y estructural. Porque lo que se presenta como una mejora en la recaudación, también puede ser el primer paso hacia un modelo de vigilancia estatal sin frenos.
El ciudadano común —ese que vende por WhatsApp, que paga su suscripción a una app educativa, que usa Uber para trabajar o que maneja un pequeño emprendimiento digital— debe saber que a partir de 2026, parte de su actividad en línea estará bajo observación. No necesariamente por evasión, sino por diseño. Y en un país con baja rendición de cuentas, eso debe ser motivo de atención y exigencia ciudadana. ⑧