Agencia Estatal Boletín Oficial del Estado
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 113,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Parlamento Europeo (1),
Visto el dictamen del Comité Económico y Social Europeo (2),
De conformidad con un procedimiento legislativo especial,
Considerando lo siguiente:
|
(1) |
El Reglamento (UE) n.o 904/2010 del Consejo (3), establece, entre otras cosas, normas sobre el almacenamiento e intercambio de información específica a través de medios electrónicos en el ámbito del impuesto sobre el valor añadido (IVA). |
|
(2) |
El crecimiento del comercio electrónico facilita la venta transfronteriza de bienes y servicios a los consumidores finales en los Estados miembros. En ese contexto, comercio electrónico transfronterizo se refiere a un suministro en el cual el IVA se adeuda en un Estado miembro y el proveedor está establecido en otro Estado miembro, en un tercer territorio o en un tercer país. No obstante, las empresas fraudulentas, establecidas en un Estado miembro, en un tercer territorio o en un tercer país, aprovechan las oportunidades de comercio electrónico a fin de obtener ventajas comerciales desleales eludiendo sus obligaciones en materia de IVA. Cuando es de aplicación el principio de imposición en destino, debido a que los consumidores no están sujetos a obligaciones contables, los Estados miembros de consumo necesitan disponer de instrumentos adecuados para detectar y controlar a esas empresas fraudulentas. Es importante luchar contra el fraude transfronterizo del IVA provocado por la conducta fraudulenta de algunas empresas en el ámbito del comercio electrónico transfronterizo. |
|
(3) |
Hasta ahora, la cooperación entre las autoridades tributarias de los Estados miembros (en lo sucesivo, «autoridades tributarias») en la lucha contra el fraude en materia de IVA se basaba por lo general en los registros mantenidos por las empresas directamente implicadas en la operación sujeta al impuesto. En los suministros transfronterizos de empresas a consumidores, usuales en el ámbito del comercio electrónico, es posible que tal información no esté directamente disponible. Ello hace que se precisen nuevas herramientas para que las autoridades tributarias puedan combatir el fraude del IVA de manera eficaz. |
|
(4) |
En la gran mayoría de las compras en línea transfronterizas realizadas por los consumidores en la Unión, los pagos se ejecutan a través de proveedores de servicios de pago. A fin de ofrecer servicios de pago, el proveedor de servicios de pago dispone de información específica para identificar al destinatario o beneficiario de dicho pago transfronterizo, así como de datos relativos a la fecha, al importe y al Estado miembro de origen del pago. Esta información es necesaria para que las autoridades tributarias desempeñen sus tareas básicas de detección de las empresas fraudulentas y de determinación de las obligaciones en materia de IVA en relación con los suministros transfronterizos de empresas a consumidores. Así pues, es necesario y proporcionado que la información pertinente a efectos del IVA, que obra en poder de los proveedores de servicios de pago, se ponga a disposición de los Estados miembros y que los Estados miembros puedan almacenarla en sus sistemas electrónicos nacionales y la transmitan a un sistema electrónico central de información sobre pagos para detectar y combatir el fraude transfronterizo del IVA, en particular en lo que respecta a la facturación a los consumidores. |
|
(5) |
El dotar a los Estados miembros de las herramientas para recoger, almacenar y transmitir la información proporcionada por los proveedores de servicios de pago y facilitar el acceso a la misma a los funcionarios de enlace de Eurofisc cuando tiene relación con una investigación acerca de un presunto fraude del IVA o para detectar un fraude del IVA es una medida necesaria y proporcionada para luchar eficazmente contra el fraude del IVA. Esas herramientas son esenciales, dado que las autoridades tributarias necesitan esa información para fines de control del IVA, con objeto de proteger los ingresos públicos, así como a las empresas legítimas de los Estados miembros, lo que a su vez protege el empleo y a los ciudadanos de la Unión. |
|
(6) |
Es importante que el tratamiento por los Estados miembros, de la información relativa a los pagos, sea proporcionado al objetivo de luchar contra el fraude del IVA. Por tanto, los Estados miembros no deben recoger, almacenar o transmitir información sobre los consumidores o los ordenantes, ni sobre los pagos con pocas posibilidades de estar relacionados con actividades económicas. |
|
(7) |
Para lograr el objetivo de luchar de forma más efectiva contra el fraude del IVA, debe establecerse un sistema electrónico central de información sobre pagos (CESOP, por sus siglas en inglés), al cual los Estados miembros transmitan la información sobre pagos que recogen y pueden almacenar a nivel nacional. El CESOP debe almacenar, agregar y analizar, para cada beneficiario, toda la información pertinente a efectos del IVA en relación con los pagos transmitida por los Estados miembros. El CESOP debe permitir una visión completa de los pagos recibidos por los beneficiarios procedentes de ordenantes ubicados en los Estados miembros y poner a disposición de los funcionarios de enlace de Eurofisc el resultado de los análisis específicos de información. El CESOP debe reconocer el registro múltiple de los mismos pagos, por ejemplo, que un mismo pago pueda notificarse tanto desde el banco como desde el emisor de la tarjeta de un ordenante determinado, limpiar la información recibida de los Estados miembros, por ejemplo, eliminación de duplicados y corrección de errores en los datos, y permitir que los funcionarios de enlace de Eurofisc contrasten la información sobre pagos con la información sobre el IVA de que disponen, realicen indagaciones a efectos de investigaciones acerca de un presunto fraude del IVA o para detectar un fraude del IVA y añadan información complementaria. |
|
(8) |
La fiscalidad es un objetivo importante de interés público general de la Unión y de los Estados miembros, y esto se ha reconocido en relación con las restricciones que pueden imponerse a las obligaciones y derechos en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5). Las limitaciones en relación con los derechos de protección de datos son necesarias debido a la naturaleza y el volumen de la información procedente de los proveedores de servicios de pago y deberán basarse en las condiciones específicas que figuran en la Directiva (UE) 2020/284 del Consejo (6). Dado que la información sobre pagos es especialmente sensible, se necesita claridad en todas las etapas del tratamiento de datos sobre quién es el responsable o el encargado del tratamiento de conformidad con los Reglamentos (UE) 2016/679 y (UE) 2018/1725. |
|
(9) |
Por tanto, es necesario aplicar restricciones a los derechos de los interesados con arreglo a lo dispuesto en el Reglamento (UE) n.o 904/2010. De hecho, la plena aplicación de los derechos y las obligaciones de los interesados podría socavar gravemente el objetivo de luchar de forma efectiva contra el fraude del IVA y podría permitir a los interesados obstaculizar las investigaciones y análisis en curso debido al enorme volumen de información enviada por los proveedores de servicios de pago y a la posible proliferación de solicitudes presentadas por los interesados a los Estados miembros, a la Comisión o a ambos. Esto disminuiría la capacidad de las autoridades tributarias para perseguir el objetivo del presente Reglamento al poner en peligro las indagaciones, los análisis, las investigaciones y los procedimientos llevados a cabo de conformidad con el mismo. Por tanto, las restricciones a los derechos de los interesados deben aplicarse cuando se realice el tratamiento de la información de conformidad con el presente Reglamento. El objetivo de lucha contra el fraude del IVA no puede lograrse por otros medios menos restrictivos de igual eficacia. |
|
(10) |
Únicamente los funcionarios de enlace de Eurofisc deben tener acceso a la información sobre los pagos almacenada en el CESOP, y solo con el objetivo de luchar contra el fraude del IVA. Dicha información podría servir, además de para la evaluación del IVA, también para la evaluación de otros cánones, derechos e impuestos, tal como establece el Reglamento (UE) n.o 904/2010. Dicha información no debe utilizarse con fines distintos, como fines comerciales. |
|
(11) |
Al tratar la información sobre pagos de conformidad con el presente Reglamento, cada Estado miembro debe respetar los límites de lo proporcionado y necesario a efectos de investigación sobre un presunto fraude del IVA o para detectar un fraude del IVA. |
|
(12) |
A fin de proteger los derechos y obligaciones en virtud del Reglamento (UE) 2016/679, es importante que la información relativa a los pagos no se utilice para tomar decisiones individuales automatizadas y que, por lo tanto, siempre sea verificada mediante referencia a otros datos fiscales a disposición de las autoridades tributarias. |
|
(13) |
Con el fin de ayudar a los Estados miembros a luchar contra el fraude del IVA y detectar a los defraudadores, resulta necesario y proporcionado que los proveedores de servicios de pago conserven registros de la información relativa a los pagos en relación con los servicios de pago que proporcionen por un período de tres años naturales. Ese período da a los Estados miembros tiempo suficiente para realizar controles de manera eficaz e investigar presuntos fraudes del IVA o detectar fraudes del IVA, y también es proporcionado teniendo en cuenta el enorme volumen de información sobre pagos y su carácter sensible en términos de protección de los datos personales. |
|
(14) |
Los funcionarios de enlace de Eurofisc de cada Estado miembro deben poder tener acceso a la información sobre pagos almacenada en el CESOP únicamente con el objetivo de la lucha contra el fraude del IVA, y el personal de la Comisión debidamente acreditado ha de tener acceso a dicha información solo a efectos de desarrollar y mantener el CESOP. Todas las personas que accedan a dicha información deben estar sujetas a las normas de confidencialidad establecidas en el Reglamento (UE) n.o 904/2010. |
|
(15) |
Dado que la implantación del CESOP exigirá nuevos avances tecnológicos, es preciso aplazar la aplicación del presente Reglamento a fin de permitir que los Estados miembros y la Comisión desarrollen esas tecnologías. |
|
(16) |
A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución con respecto a las medidas técnicas para establecer y mantener el CESOP, las tareas de la Comisión en la gestión técnica del CESOP, los detalles técnicos para garantizar la conexión y la operatividad global entre los sistemas electrónicos nacionales y el CESOP, los formularios electrónicos normalizados para recoger información de los proveedores de servicios de pago, la información y los detalles técnicos relativos al acceso a la información por los funcionarios de enlace de Eurofisc, las modalidades prácticas para identificar al funcionario de enlace de Eurofisc que tendrá acceso al CESOP, los procedimientos que permitan la adopción de las adecuadas medidas de seguridad técnica y organizativa para el desarrollo y funcionamiento del CESOP, los cometidos y las responsabilidades de los Estados miembros y de la Comisión en relación con las funciones del responsable y del encargado del tratamiento de datos con arreglo a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y respecto a los procedimientos en relación con Eurofisc. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (7). |
|
(17) |
El fraude del IVA en el comercio electrónico es un problema común a todos los Estados miembros. Los Estados miembros, por sí solos, no tienen la información necesaria para asegurar que se apliquen correctamente las normas del IVA relativas al comercio electrónico transfronterizo o para luchar contra el fraude del IVA en el comercio electrónico transfronterizo. Dado que el objetivo del presente Reglamento, a saber, la lucha contra el fraude del IVA, no puede ser alcanzado de manera suficiente por los Estados miembros cuando se trata del comercio electrónico transfronterizo, sino que, debido a las dimensiones o los efectos de la acción, puede lograrse mejor a escala de la Unión, esta última puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo. |
|
(18) |
El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea, en particular el derecho de protección de los datos de carácter personal. En este sentido, el presente Reglamento limita estrictamente la cantidad de datos personales que se pondrá a disposición de los Estados miembros. El tratamiento de la información sobre pagos con arreglo al presente Reglamento únicamente debe realizarse para luchar contra el fraude del IVA. |
|
(19) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 14 de marzo de 2019 (8). |
|
(20) |
Procede, por lo tanto, modificar el Reglamento (UE) n.o 904/2010 en consecuencia. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
El Reglamento (UE) n.o 904/2010 se modifica como sigue:
1) En el artículo 2, se añaden las letras siguientes:
«s) “proveedor de servicios de pago”: cualquiera de las categorías de proveedores de servicios de pago enumeradas en el artículo 1, apartado 1, letras a) a d), de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (*1), o una persona física o jurídica que se acoja a una exención de conformidad con el artículo 32 de dicha Directiva;
t) “pago”: a reserva de las exclusiones que contempla el artículo 3 de la Directiva (UE) 2015/2366, una “operación de pago” según se define en el artículo 4, punto 5, de dicha Directiva, o un “servicio de envío de dinero” según se define en el artículo 4, punto 22, de la citada Directiva;
u) “ordenante”: un “ordenante” según se define en el artículo 4, punto 8, de la Directiva (UE) 2015/2366;
v) “beneficiario”: un “beneficiario” según se define en el artículo 4, punto 9, de la Directiva (UE) 2015/2366.
(*1) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).»."
2) El capítulo V se modifica como sigue:
a) el título del capítulo V se sustituye por el texto siguiente:
«RECOGIDA, ALMACENAMIENTO E INTERCAMBIO DE INFORMACIÓN ESPECÍFICA»;
b) antes del artículo 17, se inserta el encabezamiento siguiente:
«SECCIÓN 1
Acceso automatizado a la información específica almacenada en los sistemas electrónicos nacionales »;
c) después del artículo 24, se inserta la sección siguiente:
«SECCIÓN 2
Sistema electrónico central de información sobre pagos
Artículo 24 bis
La Comisión desarrollará, mantendrá, alojará y gestionará un sistema electrónico central de información sobre pagos (CESOP, por sus siglas en inglés) para realizar investigaciones sobre presuntos fraudes del IVA o para detectar un fraude del IVA.
Artículo 24 ter
1. Cada Estado miembro deberá recoger la información sobre los beneficiarios y las operaciones de pago contemplada en el artículo 243 ter de la Directiva 2006/112/CE.
Cada Estado miembro deberá recoger de los proveedores de servicios de pago la información a que se refiere el párrafo primero:
a) a más tardar al final del mes siguiente al trimestre civil a que se refiere la información;
b) por medio de un formulario electrónico normalizado.
2. Cada Estado miembro podrá almacenar la información recogida de conformidad con el apartado 1 en un sistema electrónico nacional.
3. La oficina central de enlace, o los servicios de enlace o funcionarios competentes designados por la autoridad competente de cada Estado miembro, transmitirá al CESOP la información recogida de conformidad con el apartado 1 a más tardar el décimo día del segundo mes siguiente al trimestre civil al que se refiere la información.
Artículo 24 quater
1. El CESOP tendrá las siguientes capacidades con respecto a la información transmitida de conformidad con el artículo 24 ter, apartado 3:
a) almacenamiento de la información;
b) agregación de la información respecto de cada beneficiario;
c) análisis de la información almacenada, junto con la correspondiente información específica comunicada o recogida en virtud del presente Reglamento;
d) permitir el acceso a la información a que se refieren las letras a), b) y c) del presente apartado a los funcionarios de enlace de Eurofisc contemplados en el artículo 36, apartado 1.
2. El CESOP conservará la información mencionada en el apartado 1 por un período máximo de cinco años a partir del final del año en que la información se haya transmitido.
Artículo 24 quinquies
El acceso al CESOP solo se concederá a los funcionarios de enlace de Eurofisc, contemplados en el artículo 36, apartado 1, que posean una identificación personal de usuario para el CESOP y cuando dicho acceso esté relacionado con una investigación sobre presunto fraude del IVA o se destine a detectar fraude del IVA.
Artículo 24 sexies
La Comisión adoptará, mediante actos de ejecución, lo siguiente:
a) las medidas técnicas para establecer y mantener el CESOP;
b) las tareas de la Comisión en la gestión técnica del CESOP;
c) los detalles técnicos de la infraestructura y las herramientas necesarias para garantizar la conexión y la operatividad global entre el CESOP y los sistemas electrónicos nacionales a que se refiere el artículo 24 ter;
d) los formularios electrónicos normalizados a que se refiere el artículo 24 ter, apartado 1, párrafo segundo, letra b);
e) los detalles técnicos y otros detalles relativos al acceso a la información a que se refiere el artículo 24 quater, apartado 1, letra d);
f) las modalidades prácticas para identificar al funcionario de enlace de Eurofisc, contemplados en el artículo 36, apartado 1, que tendrá acceso al CESOP de conformidad con el artículo 24 quinquies;
g) los procedimientos que la Comisión utilizará en todo momento para garantizar que se apliquen las adecuadas medidas de seguridad técnica y organizativa para el desarrollo y funcionamiento del CESOP;
h) los cometidos y las responsabilidades de los Estados miembros y de la Comisión en relación con las funciones del responsable y del encargado del tratamiento de datos con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*2) y al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (*3).
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 58, apartado 2.
Artículo 24 septies
1. Los costes de establecimiento, funcionamiento y mantenimiento del CESOP serán sufragados por el presupuesto general de la Unión. Estos costes incluirán los de la conexión segura entre el CESOP y los sistemas electrónicos nacionales mencionados en el artículo 24 ter, apartado 2, y los de los servicios necesarios para desarrollar las capacidades que se enumeran en el artículo 24 quater, apartado 1.
2. Los Estados miembros correrán con los costes y serán responsables de todos los cambios necesarios en su sistema electrónico nacional, a que se refiere el artículo 24 ter, apartado 2.».
(*2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1)."
(*3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39)."
3) El artículo 37 se sustituye por el texto siguiente:
«Artículo 37
1. El presidente de Eurofisc presentará un informe anual de las actividades desarrolladas en todos los ámbitos de trabajo al Comité mencionado en el artículo 58, apartado 1. El informe anual indicará como mínimo:
a) el número total de accesos al CESOP;
b) los resultados operativos, a tenor de la información a la que se acceda y tratada con arreglo al artículo 24 quinquies, identificados por los funcionarios de enlace de Eurofisc;
c) una evaluación de la calidad de los datos tratados por el CESOP.
2. La Comisión adoptará mediante actos de ejecución las modalidades de procedimiento en relación con Eurofisc. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 58, apartado 2.».
4) En el artículo 55, se inserta el apartado siguiente:
«1 bis. La información a la que se refiere el capítulo V, sección 2, solo podrá utilizarse para los fines a que se refiere el apartado 1, y cuando haya sido verificada mediante referencia a otra información tributaria que esté a disposición de las autoridades competentes de los Estados miembros.».
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 1 de enero de 2024.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 18 de febrero de 2020.
Por el Consejo
El Presidente
Z. MARIĆ
(1) Dictamen de 17 de diciembre de 2019 (pendiente de publicación en el Diario Oficial).
(2) DO C 240 de 16.7.2019, p. 29.
(3) Reglamento (UE) n.o 904/2010 del Consejo, de 7 de octubre de 2010, relativo a la cooperación administrativa y la lucha contra el fraude en el ámbito del impuesto sobre el valor añadido (DO L 268 de 12.10.2010, p. 1).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(6) Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago (véase la página 7 del presente Diario Oficial).
(7) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(8) DO C 140 de 16.4.2019, p. 4.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
