20.4.2010   

ES

Diario Oficial de la Unión Europea

C 101/1

1.

El 2 de febrero de 2009, la Comisión adoptó una propuesta de Directiva del Consejo relativa a la cooperación administrativa en el ámbito de la fiscalidad (3), la cual deberá sustituir a la Directiva 77/799/CEE relativa a la asistencia mutua entre las autoridades competentes de los Estados Miembros en el ámbito de los impuestos directos (4).

2.

Al entrar en vigor el TFUE (Tratado de Funcionamiento de la Unión Europea o Tratado de Lisboa) el 1 de diciembre de 2009, sus artículos 113 y 115 pasaron a ser el fundamento jurídico de la propuesta (5). Las decisiones basadas en estos artículos se adoptan siguiendo un procedimiento legislativo especial, en el que el Consejo decide por unanimidad sobre la propuesta de la Comisión y previa consulta al Parlamento Europeo y al Comité Económico y Social.

3.

No se ha consultado al SEPD conforme a lo dispuesto en el artículo 28, apartado 2, del Reglamento (CE) no 45/2001. Por consiguiente, el dictamen actual se basa en el artículo 41, apartado 2 del mismo Reglamento. El SEPD recomienda que en el preámbulo de la propuesta se incluya una referencia al presente dictamen.

4.

Uno de los principales objetivos de la propuesta es el de mejorar el intercambio de información, que en la mayoría de los casos consiste (también) en información relativa a personas físicas. El SEPD es consciente de la importancia de mejorar la eficacia de la cooperación administrativa entre Estados miembros en el ámbito de la fiscalidad. Por otra parte, reconoce las ventajas y la necesidad de intercambiar información, pero desea subrayar que el tratamiento de los datos debe respetar las normas de la Unión Europea en materia de protección de datos.

5.

Las situaciones que impliquen el intercambio transfronterizo de datos personales en el seno de la UE merecen una especial atención, ya que generan un aumento del tratamiento de datos que conlleva necesariamente mayores riesgos para los derechos y los intereses de las personas físicas en cuestión, dado que — en cualquier caso — los mismos datos personales se procesan en más de una jurisdicción. Esto exige un mayor esfuerzo para garantizar el cumplimiento de las obligaciones derivadas de la legislación comunitaria en materia de protección de datos. Pero esta situación produce además cierta inseguridad jurídica para los interesados: puede que haya partes intervinientes de todos los demás Estados miembros y quizá sean aplicables las legislaciones nacionales de esos otros Estados miembros, las cuales pueden diferir ligeramente de la legislación a la que están acostumbrados los interesados o ser aplicables en un sistema jurídico con el que no estén familiarizados. En un contexto transfronterizo, se deben distinguir claramente las responsabilidades de las diferentes partes intervinientes, también para facilitar la supervisión por parte de las autoridades competentes y el control judicial en diferentes contextos.

6.

Lamentablemente, el SEPD no tuvo conocimiento de la actual propuesta hasta hace poco. Esto puede explicarse por el hecho de que el conocimiento de las disposiciones sobre protección de datos en materia fiscal se encuentra todavía en una fase inicial. El SEPD observa que ese conocimiento va en aumento, pero insiste en que se puede y se debe lograr mucho más a este respecto.

7.

La propuesta actual es un claro ejemplo de la falta de conocimiento en materia de protección de datos, ya que esta cuestión se ha soslayado casi por completo. Por lo tanto, la propuesta contiene varios elementos que no respetan las obligaciones aplicables en materia de protección de datos.

8.

El SEPD es consciente de que en el Parlamento Europeo, el procedimiento ha llegado prácticamente a su etapa final en el ámbito de las comisiones parlamentarias. Sin embargo, puesto que no se ha abordado adecuadamente cómo influye en la protección de datos la cooperación propuesta, el SEPD sigue considerando necesario presentar su dictamen sobre la cuestión. Asimismo, manifiesta el deseo de que las observaciones que figuran en el presente dictamen sean tenidas en cuenta y que, a tenor de éstas, el sistema de cooperación administrativa se desarrolle en el respeto del derecho a la protección de los datos de los ciudadanos europeos (6).

9.

Tal como se dijo anteriormente, la propuesta actual deberá sustituir a la Directiva 77/799/CEE. Ésta, aprobada el 19 de diciembre de 1977, se refiere al intercambio de información acerca de los impuestos sobre la renta y sobre el capital.

10.

Inicialmente, la cooperación administrativa en relación con el IVA y con los impuestos especiales entraba dentro del ámbito de aplicación de la Directiva 77/799/CEE. Sin embargo, desde los días 7 de octubre de 2003 y 16 de noviembre de 2004, respectivamente, estos temas se tratan en actos jurídicos separados, en concreto el Reglamento (CE) no 1798/2003 y el Reglamento (CE) no 2073/2004 (7). La Comisión publicó el 18 de agosto de 2009 una propuesta de refundición del Reglamento (CE) no 1798/2003 (8), sobre la que el SEPD presentó un dictamen el 30 de octubre de 2009 (9).

11.

La Comisión propone que el ámbito de aplicación de la nueva directiva no se limite a los impuestos sobre la renta y sobre el capital, sino que se extienda a todos los impuestos indirectos. Aunque el IVA y los impuestos especiales siguen estando excluidos del ámbito de aplicación, con la propuesta se pretende ajustar la cooperación basada en la nueva directiva a la cooperación en estas dos áreas específicas. Por consiguiente, algunos de los comentarios que figuran en la parte III del presente dictamen son semejantes a los formulados en el dictamen de 30 de octubre de 2009.

12.

Tras un primer capítulo que contiene varias disposiciones generales, el capítulo II de la propuesta trata sobre el intercambio de información entre Estados miembros. Éste se realiza a través de las oficinas de enlace de las autoridades competentes designadas por cada Estado miembro para la aplicación de la Directiva. La información se puede intercambiar previa solicitud, de forma automática o espontáneamente.

13.

El capítulo III de la propuesta contiene disposiciones sobre otras modalidades de cooperación administrativa aparte del intercambio de información, tales como los controles simultáneos, la notificación administrativa y la puesta en común de experiencias y buenas prácticas. El capítulo IV establece las condiciones de la cooperación administrativa. Contiene disposiciones sobre la comunicación de información y de documentación a otras autoridades, sobre las condiciones necesarias para una buena cooperación, sobre formularios normalizados y formatos electrónicos y sobre el uso de la red común de comunicación/interfaz común de sistemas (red CCN).

14.

El capítulo V contempla la evaluación de la cooperación administrativa y el capítulo VI trata del intercambio de información con terceros países. Por último, el capítulo VII prevé un procedimiento de comitología para la adopción de normas más detalladas.

15.

En la legislación sobre protección de datos, se define «datos personales» de forma general como «toda información sobre una persona identificada o identificable» (10). Es evidente que, en virtud de la directiva propuesta, las autoridades competentes de los diferentes Estados miembros van a procesar e intercambiar datos personales. En tales circunstancias, son aplicables y deberán respetarse las normas nacionales de aplicación de la Directiva 95/46/CE. Aunque huelga decirlo, en aras de una mayor claridad, el SEPD insta al legislador a que incluya una referencia a la Directiva 95/46/CE al menos en los considerandos de la propuesta actual, y preferiblemente también en una disposición sustantiva, indicando que las disposiciones de la Directiva no prejuzgan lo dispuesto por las normas nacionales de aplicación de la Directiva 95/46/CE.

16.

Aunque la Comisión no intervenga directamente en el intercambio de datos entre las autoridades competentes, la Directiva propuesta muestra que la Comisión, en algunas circunstancias, procesará datos de carácter personal sobre la base de la Directiva. Según el artículo 20, apartado 2, de la propuesta, «corresponderá a la Comisión efectuar cualquier adaptación de la CCN que resulte necesaria para permitir el intercambio de esa información entre Estados miembros». Tal y como se desprende del apartado 3 del mismo artículo, esta responsabilidad puede, en determinadas condiciones, implicar el acceso a la información intercambiada a través del sistema.

17.

No queda excluido que otras disposiciones impliquen igualmente el tratamiento de datos personales por parte de la Comisión. Según el artículo 22, por ejemplo, la Comisión deberá recibir «toda información pertinente» que sea necesaria para evaluar la eficacia de la cooperación administrativa prevista en la Directiva. Asimismo, la Comisión recibirá «datos estadísticos», de los que se elaborará una lista siguiendo el procedimiento de comitología previsto en el artículo 24 de la propuesta.

18.

En el caso de que la Comisión procese datos de carácter personal, está sujeta a las normas sobre protección de datos aplicables a las instituciones y órganos de la UE que están recogidas en el Reglamento (CE) no 45/2001 y están sometidas a la supervisión del SEPD (11). En aras de una mayor claridad y para evitar cualquier duda sobre la aplicabilidad del Reglamento (CE) no 45/2001, el SEPD insta al legislador a que incluya una referencia al Reglamento al menos en los considerandos de la Directiva propuesta, y preferiblemente también en una disposición sustantiva, indicando que la Comisión, cuando procese datos personales sobre la base de la Directiva, está sujeta a lo dispuesto por el Reglamento (CE) no 45/2001.

19.

Si se procesan datos personales, los artículos 16 y 17 de la Directiva 95/46/CE y los artículos 21 y 22 del Reglamento (CE) no 45/2001 exigen que se garanticen la confidencialidad y la seguridad del tratamiento de los datos. El citado artículo 20 de la propuesta no expone claramente si la Comisión es responsable del mantenimiento y la seguridad de la red CCN (12). Para evitar dudas sobre a quién corresponde la responsabilidad de garantizar la confidencialidad y la seguridad, el SEPD insta al legislador a que defina más claramente la responsabilidad de la Comisión a este respecto, a que haga hincapié en las obligaciones de los Estados miembros y a que analice estos aspectos teniendo en cuenta las obligaciones derivadas de la Directiva 95/46/CE y del Reglamento (CE) no 45/2001.

20.

Un requisito básico de la ley de protección de datos es que la información debe ser procesada con fines determinados, explícitos y legítimos y que no puede ser procesada posteriormente de manera incompatible con dichos fines (13). Por otra parte, los datos utilizados para lograr los fines deben ser necesarios, y ser adecuados, pertinentes y no excesivos en relación con los mismos (14). Tras analizar la Directiva propuesta, el SEPD llega a la conclusión de que, en su conjunto, el sistema de intercambio de información definido en la Directiva no cumple con estos requisitos.

21.

En lo que respecta a la limitación de la finalidad, el artículo 5, apartado 1, de la propuesta, que trata sobre el intercambio de información previa solicitud, se refiere al intercambio de información que pueda resultar relevante de cara a la «correcta determinación de los impuestos mencionados en el artículo 2». En el artículo 2 se define el ámbito de aplicación de la Directiva especificando a qué impuestos es aplicable. El SEPD sustenta la opinión de que no se precisa suficientemente qué se quiere decir con la «correcta determinación de los impuestos». Además, el mencionado artículo no alude a la necesidad de evaluar si el intercambio de información es necesario.

22.

Por otra parte, en el apartado 1 del artículo 5 no se especifica ni se pone límite al tipo de datos que se pueden intercambiar. Tal como se ha mencionado antes, se hace referencia a «información que pueda resultar relevante» para la correcta determinación de los impuestos mencionados. Según el artículo 5, apartado 1, esta información incluye «cualquier información relacionada con uno o varios casos específicos». En el artículo 17, apartado 1, de la propuesta se hace hincapié en que dicha información también incluye información que el Estado miembro al que se dirige la solicitud no necesita para sus propios fines fiscales. Por otra parte, el artículo 5, apartado 2, obliga a la autoridad requerida a comunicar a la autoridad requirente toda información relevante que obre en su poder o que obtenga a raíz de investigaciones administrativas. Además, al artículo 9 de la propuesta, que trata del intercambio espontáneo de información, habla sobre el intercambio de «cualquier información», expresión a la que añade «mencionada en el artículo 1». El artículo 1, sin embargo, no proporciona ninguna aclaración pertinente. El uso de conceptos amplios en los artículos 5, 9 y 17 parece que fomenta un intercambio de datos que es excesivo en relación con los fines y, por lo tanto, contrario al principio de calidad de los datos.

23.

El artículo 8 de la propuesta hace posible cumplir con las normas mencionadas en el anterior punto 20, pero sólo en lo relativo al intercambio automático obligatorio de información sin solicitud previa. Según este artículo, el tipo de información que se intercambiará deberá definirse mediante el procedimiento de comitología. Esto permite a la Comisión limitar y especificar los datos que se van a intercambiar, lo que sin duda debe hacerse conforme a las disposiciones sobre protección de datos. Además, en el artículo se hace referencia a la necesidad de intercambiar información para la correcta determinación de los impuestos mencionados en el artículo 2 y se enuncian varias situaciones específicas. Sin embargo, tal como se ha dicho, el artículo 8 sólo se refiere al intercambio automático obligatorio de información y no impone límites al intercambio de información previa solicitud o de forma espontánea. Por consiguiente, en este contexto son igualmente válidas las críticas antes expresadas con respecto a los artículos 5, 9 y 17 de la propuesta.

24.

Teniendo en cuenta lo anterior, el SEPD insta al legislador a que, por lo que se refiere al intercambio de datos entre las autoridades competentes previa solicitud o espontáneamente, especifique el tipo de información personal que se puede intercambiar, defina mejor los fines para los que se pueden intercambiar datos personales y evalúe la necesidad de la transmisión, o al menos garantice que se respete el principio de necesidad.

25.

El principio de limitación de la finalidad se ve comprometido aún más en el artículo 15, apartado 1, de la propuesta. Según este artículo, la información y la documentación obtenidas por la autoridad requirente o requerida de conformidad con la Directiva podrán comunicarse a otras autoridades del mismo Estado miembro, en la medida en que así lo autorice la legislación de ese Estado miembro, «aun cuando dicha información pueda utilizarse con fines distintos de los mencionados en el artículo 2». El SEPD desea subrayar que la última parte de esta disposición es absolutamente contraria al principio de limitación de la finalidad. El tratamiento de información personal para fines distintos al original sólo se permite bajo estrictas condiciones. Sólo se puede prescindir del principio de limitación de la finalidad cuando ello esté previsto por ley y sea necesario por razones importantes que se exponen exhaustivamente en el artículo 13 de la Directiva 95/46/CE. La referencia que se hace en el artículo 15, apartado 1, a la legislación del Estado miembro interesado podría implicar tal requisito, pero no es suficientemente clara. Por consiguiente, el SEPD insta al legislador a que añada al artículo 15, apartado 1, de la propuesta que el tratamiento de la información para fines distintos a los contemplados en el artículo 2 «está sujeto a las condiciones establecidas en el artículo 13 de la Directiva 95/46/CE».

26.

Los artículos 10 y 11 de la Directiva 95/46/CE contienen la obligación de que la persona o la entidad responsable del tratamiento de los datos, que en la terminología de protección de datos se denomina «responsable del tratamiento» (15), informe al interesado antes de que se recaben los datos o, en caso de que éstos no se obtengan del propio interesado, en el momento de realizarse el registro de los datos. Se ha de comunicar al interesado la identidad del responsable del tratamiento, los fines de dicho tratamiento y cualquier otra información, como quiénes son los destinatarios de los datos o la existencia de derechos de acceso y rectificación de los datos que le afecten. Se puede considerar que los artículos 10 y 11 de la Directiva 95/46/CE desarrollan el principio general de transparencia, que forma parte de la lealtad en el tratamiento exigida por el artículo 6, apartado 1, letra a) de la Directiva 95/46/CE.

27.

El SEPD ha observado que la propuesta no contiene disposiciones que traten sobre el principio de transparencia, por ejemplo sobre cómo se comunica el intercambio de información al público en general o cómo se informará a los interesados acerca del tratamiento de los datos. El SEPD, por consiguiente, insta al legislador a que adopte una disposición en la que aborde la transparencia del intercambio de información.

28.

El artículo 23 prevé la posibilidad de que se realice un intercambio de información con terceros países. Según el mismo, «las autoridades competentes podrán facilitar a un tercer país, de conformidad con sus disposiciones nacionales sobre comunicación de datos personales a terceros países, la información obtenida con arreglo a la presente Directiva». Al SEPD le complace que la Comisión haya tenido presentes las normas específicas de protección de datos que se aplican al intercambio de datos personales con países de fuera de la UE. No obstante, desea subrayar que, antes de poder realizar un análisis con arreglo a las normas de protección de datos para saber si esos datos pueden transmitirse a un tercer país, en primer lugar la información debe intercambiarse entre los Estados miembros respetando tales normas.

29.

En aras de la claridad, podría incluirse en el texto una referencia explícita a la Directiva 95/46/CE, indicando que dicha transmisión debe atenerse a las normas nacionales de aplicación de lo dispuesto en el capítulo IV de la Directiva 95/46/CE, que se refiere a la transmisión de datos personales a países terceros.

30.

Hay varias cuestiones de interés para la protección de datos que se desarrollarán posteriormente en normas adoptadas según el procedimiento de comitología contemplado en el artículo 24 de la propuesta. Aunque el SEPD comprende la necesidad práctica de emplear este procedimiento, desea subrayar que las principales normas y garantías de protección de datos deben establecerse en la ley básica.

31.

El SEPD desea hacer hincapié en que, si se examinan nuevas normas a través de la comitología, ello deberá hacerse teniendo presentes las obligaciones de protección de datos derivadas de la Directiva 95/46/CE y del Reglamento (CE) no 45/2001. Además, el SEPD insta a la Comisión a que cuente con el SEPD y solicite su asesoramiento si efectivamente llegan a examinarse nuevas normas que afecten a la protección de datos.

32.

A fin de garantizar la participación del SEPD cuando se adopten nuevas normas con arreglo al procedimiento de comitología que revistan interés para la protección de datos, el SEPD recomienda al legislador que incluya en el artículo 24 un cuarto párrafo indicando que «cuando las medidas de aplicación tengan relación con el tratamiento de datos personales, deberá consultarse al Supervisor Europeo de Protección de Datos».

33.

En el actual dictamen, el SEPD recomienda al legislador: