Por: Carlos A. FERREYROS SOTO
Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento relativo a la protección de los depósitos, la cooperación transfronteriza y la transparencia
(C/2023/897)
El Supervisor Europeo de Protección de Datos (SEPD) es una institución independiente de la Unión Europea responsable, en virtud del artículo 52, apartado 2, del Reglamento (UE) 2018/1725, “[c]en lo que respecta al tratamiento de datos personales, [... ] garantizar que las instituciones y órganos de la Unión respeten los derechos y libertades fundamentales de las personas físicas, en particular el derecho a la protección de datos” y, en virtud del artículo 52, apartado 3, “asesorar a las instituciones y órganos de la Unión y sujetos en todas las materias relativas al tratamiento de datos personales”.
Según el Reglamento (UE) 2018/1725, «tras la adopción de propuestas de actos legislativos, recomendaciones o propuestas al Consejo con arreglo al artículo 218 del Tratado de Funcionamiento de la Unión Europea o al elaborar actos delegados o de ejecución, la Comisión consultará al [SEPD] en caso de cualquier impacto en la protección de los derechos y libertades de las personas físicas con respecto al procesamiento de datos personales”. El presente dictamen se refiere a la propuesta de Directiva del Consejo sobre una reducción más rápida y segura del exceso de retención en origen1
Este dictamen no excluye que el SEPD pueda hacer más observaciones o recomendaciones en el futuro, en particular si surgen nuevas preguntas o se dispone de nueva información. Además, el presente Dictamen se entiende sin perjuicio de cualesquiera medidas futuras que pueda adoptar el SEPD en el ejercicio de las competencias que le confiere el Reglamento (UE) 2018/1725. Este dictamen se limita a las disposiciones de la propuesta relevantes desde el punto de vista de la protección de datos.
El 19 de junio de 2023, la Comisión Europea publicó una propuesta de Directiva del Consejo relativa a un régimen más rápido y seguro de los excesos de retención de impuestos. La propuesta tiene por objeto introducir procedimientos de retención a cuenta más eficientes y, al mismo tiempo, proporcionar a los Estados miembros las herramientas necesarias para luchar eficazmente contra el fraude y los abusos fiscales.
El SEPD señala que la propuesta implicaría el tratamiento de datos personales, en particular datos personales relativos a los contribuyentes como personas físicas con derecho a recibir dividendos o intereses procedentes de valores sujetos a impuestos retenidos en la fuente en un Estado miembro. Además, la propuesta obligaría a los Estados miembros a establecer un proceso automatizado para la expedición del certificado de residencia fiscal digital («eTRC») a efectos fiscales de manera más general.
El SEPD acoge con satisfacción que la propuesta tenga como objetivo abordar aspectos pertinentes de la protección de datos, como la limitación de la finalidad, la minimización de los datos y la limitación del almacenamiento. El SEPD recuerda, sin embargo, que cualquier uso del eTRC para un fin distinto de la aplicación de los procedimientos del impuesto sobre el valor añadido establecidos por la Propuesta requeriría su propia base jurídica (independiente) con arreglo al Derecho de la Unión o de los Estados miembros. Por este motivo, el SEPD recomienda que se suprima el artículo 4, apartado 2, letra g) de la Propuesta o que se especifiquen los fines (distintos de la exención del impuesto sobre el valor añadido) para los que se utilizaría el eTRC, así como las categorías pertinentes de datos personales.
El SEPD también acoge con satisfacción que la propuesta circunscriba en qué medida pueden restringirse los derechos de los interesados. Para garantizar que las restricciones propuestas no se prolonguen más de lo estrictamente necesario y solo se apliquen en casos justificados, el SEPD recomienda incluir la expresión «en la medida en que el ejercicio de tales derechos pueda poner en peligro las investigaciones» en el artículo 20, apartado 1, de la propuesta.
1. Introducción
2. Observaciones generales
3. Certificado de residencia fiscal digital
4. Restricción de los derechos de los interesados
5. Papel de los intermediarios financieros certificados y autoridades competentes de los Estados miembros
6. Conservación de datos
7. Conclusiones
EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, organismos y agencias de la Unión y a la libre circulación de estos datos (en adelante, el “PDUE”)2 , y en particular su artículo 42.1,
HA ADOPTADO EL PRESENTE DICTAMEN:
1. Introducción
1. El 19 de junio de 2023, la Comisión Europea publicó la Propuesta de Directiva del Consejo relativa a una reducción más rápida y segura del exceso de retenciones a cuenta
(1) («la Propuesta»).
2. Según su exposición de motivos
(2), los objetivos principales de la Propuesta son:
— apoyar el buen funcionamiento de la Unión de Mercados de Capitales («UMC») facilitando la inversión transfronteriza; y
— garantizar una fiscalidad justa mediante la prevención del fraude y los abusos fiscales.
3. Para lograr estos objetivos, la propuesta introduciría procedimientos de retención a cuenta más eficientes y, al mismo tiempo, proporcionaría a los Estados miembros las herramientas necesarias para luchar eficazmente contra el fraude y los abusos fiscales
(3).
4. Como se explica en la exposición de motivos
(4), la propuesta se basa en el Plan de acción para una fiscalidad equitativa y sencilla que apoya la estrategia de recuperación
(5) y en el Plan de Acción para una Unión de los Mercados de Capitales para las personas y las empresas
(6).
5. Este Dictamen del SEPD se emite en respuesta a una consulta de la Comisión Europea, de 19 de junio de 2023, de conformidad con el artículo 42, apartado 1, del RPDUE
(7). El SEPD también observa positivamente que se le haya consultado informalmente con anterioridad, de conformidad con el considerando 60 del EUPDTR.
2 DO L 295 de 21.11.2018, p. 39.
3 COM(2023) 324 final,
4 COM(2023) 324 final, p. 3.
5 COM(2023) 324 final, p. 3.
6 COM(2023) 324 final. p. 3
7 Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Una unión de los mercados de capitales para las personas y las empresas – nuevo plan de acción, COM/2020/590 final.
8 Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada "Plan de acción para una fiscalidad justa y simplificada en apoyo de la estrategia de recuperación", COM/2020/312 final.
2. Observaciones generales
6. El SEPD acoge con satisfacción los objetivos de la propuesta, a saber, apoyar el buen funcionamiento de la Unión de los Mercados de Capitales facilitando las inversiones transfronterizas y, al mismo tiempo, garantizando la justicia fiscal evitando el fraude y el abuso fiscales. .
7. El SEPD observa que la propuesta implicaría el tratamiento de datos personales, en particular datos personales relativos a los contribuyentes como personas físicas con derecho a recibir dividendos o intereses de valores sujetos a retención en origen en un Estado miembro. Además, la propuesta requeriría que los Estados miembros proporcionen un proceso automatizado para emitir un certificado de residencia fiscal digital (CRFN) a efectos fiscales más generales.
8. Según la exposición de motivos, los datos personales sólo se tratarían con el fin de verificar la aplicación correcta del tipo de retención en origen al contribuyente y mitigar el riesgo de fraude y abuso fiscal. Los datos personales solo se transmitirán entre entidades involucradas en procedimientos de desgravación fiscal en origen conforme a esta Directiva. La cantidad de datos personales que se transmitirán se limitaría a lo necesario para detectar casos de subdeclaración o no declaración, evasión o abuso fiscal. Finalmente, los datos personales sólo se conservarán durante el tiempo necesario para esta finalidad9
9. El SEPD acoge con satisfacción que la propuesta pretenda abordar aspectos relevantes de la protección de datos. El SEPD también observa con satisfacción que la propuesta contiene un considerando10 que recuerda que el Reglamento general de protección de datos11 (RGPD) se aplica a cualquier tratamiento de datos personales realizado en el marco de la propuesta. En el resto de este Dictamen, el SEPD hace observaciones y recomendaciones específicas sobre las disposiciones de la Propuesta que son particularmente relevantes desde una perspectiva de protección de datos.
3. Certificado de Residencia Fiscal Digital
10. De conformidad con el artículo 4, apartado 1, de la propuesta, los Estados miembros deben proporcionar un procedimiento automatizado para la emisión de un certificado de residencia fiscal digital (CRFN) a una persona considerada residente en su jurisdicción a efectos fiscales. Si bien la propuesta regularía el uso del CRFN en procedimientos de retención de impuestos, la exposición de motivos establece que el CRFN estandarizado también puede usarse para otros fines12.
11. El artículo 4(2) enumera la información que debe incluirse en el CRFN13.
El SEPD señala que la letra g) del artículo 4, apartado 2, se refiere a "cualquier información adicional que pueda resultar útil cuando el certificado se expida para fines distintos de la desgravación del exceso de retención en origen en virtud de la presente Directiva (...)".
12. A este respecto, el SEPD desea recordar que, de conformidad con el artículo 5, apartado 1, letra b), del RGPD, los datos personales deben recopilarse para fines específicos, explícitos y legítimos, y no procesarse posteriormente de manera que incompatible con estos fines. El artículo 6, apartado 1, del RGPD proporciona una lista exhaustiva y restrictiva de casos en los que el tratamiento de datos personales puede considerarse lícito14. De conformidad con el artículo 6, apartado 4, del RGPD, el tratamiento para un fin distinto de aquel para el que se recogieron los datos personales es posible si se basa en el derecho de la Unión o en el derecho del Estado miembro de que se trate, lo que constituye una obligación necesaria y proporcionada medida en una sociedad democrática para garantizar los objetivos mencionados en el artículo 23, apartado 1, del RGPD. Cualquier uso del CRFN para fines distintos de la aplicación de los procedimientos de retención de impuestos previstos en la propuesta requeriría, en principio, su propia base jurídica (separada) en el Derecho de la Unión o del Estado miembro en cuestión.
13. En este contexto, el SEPD recomienda eliminar el artículo 4(2)(g) de la propuesta o especificar en la propuesta los fines (distintos de la desgravación del exceso de retención en origen) para los cuales se utilizaría el CRFN. Después de especificar estos fines (fiscales) adicionales, la propuesta debe especificar las categorías de datos personales relevantes que se requerirían para cada uno de estos fines, teniendo en cuenta los principios de necesidad y proporcionalidad15.
4. Restricción de los derechos de los interesados
14. El artículo 20, apartado 1, de la propuesta establece que los Estados miembros limitarán los derechos de los interesados en virtud de los artículos 15 a 19 del RGPD (derecho de acceso, derecho de rectificación, derecho de supresión, derecho de limitación del tratamiento y obligación de notificación) sólo en la medida y durante el tiempo que sea estrictamente necesario para que sus autoridades competentes reduzcan el riesgo de fraude o evasión fiscal en los Estados miembros, en particular verificando que se aplica el tipo correcto de retención en origen al propietario registrado o que el propietario registrado obtiene la reparación, si tiene derecho, a su debido tiempo.
15. El SEPD recuerda que el artículo 23 del RGPD autoriza, en condiciones específicas, a un legislador nacional o de la Unión a limitar, mediante una medida legislativa, el alcance de las obligaciones y derechos previstos en los artículos 12 a 22, cuando tales La limitación respeta la esencia de los derechos y libertades fundamentales y constituye una medida necesaria y proporcionada en una sociedad democrática para garantizar, entre otras cosas, los objetivos.
13. Si el contribuyente es una persona natural, el CRFN incluirá al menos (a) el apellido, nombre, fecha y lugar de nacimiento del contribuyente; (b) número de identificación fiscal; (c) la dirección del contribuyente; (d) fecha de emisión; e) el período cubierto; f) identificación de la autoridad tributaria que expide el certificado.
14. Sentencia del Tribunal de Justicia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, apartado 67.
16. El SEPD acoge con satisfacción el artículo 20, apartado 1, de la propuesta, que limita en qué medida pueden restringirse los derechos de los interesados en virtud de esta propuesta. El SEPD recuerda que los derechos de los interesados pueden limitarse, pero no negarse. Tan pronto como dejen de existir las circunstancias que justificaron la limitación, deberán restablecerse los derechos de los interesados.
17. El SEPD acoge con satisfacción el artículo 20, apartado 2, de la propuesta, que establece que, al procesar datos personales, los intermediarios financieros certificados y las autoridades competentes de los Estados miembros se consideran responsables del tratamiento, en el sentido del artículo 4, apartado 7, del RGPD. Directrices del SEPD 10/2020 sobre las restricciones previstas en el artículo 23 del RGPD, Por ejemplo, puede ser apropiado limitar el derecho de acceso en los casos en que dicho acceso comprometa una investigación17. 7 Sin embargo, esta restricción debería limitarse a la duración necesaria para la investigación específica y debería levantarse tan pronto como la administración tributaria cierre la investigación18. Para garantizar que la restricción propuesta no exceda la duración estrictamente necesaria y que se aplique sólo en casos justificados, el SEPD recomienda incluir las palabras "en la medida en que el ejercicio de estos derechos pueda comprometer las investigaciones" en el artículo 20de interés público general de la Unión o de un Estado miembro, incluso en materia fiscal16.
16 Artículo 23(1)(e) del RGPD.
18 6. Retención de datos 5. Papel de las autoridades e intermediarios financieros certificados autoridades competentes de los Estados miembros
19 Artículo 5(1)(e) del RGPD.
6. Conservación de los Datos
18. De conformidad con el principio de limitación del período de conservación19, los datos personales deben conservarse en una forma que permita la identificación de las personas interesadas durante un período que no exceda el necesario para los fines para los cuales se procesan estos datos. Por lo tanto, el SEPD acoge con satisfacción los artículos 9, apartado 5, y 20, apartado 3, de la propuesta, que establecen un período máximo de conservación para el tratamiento de datos personales.
7. Conclusiones
19. En vista de lo anterior, el SEPD formula las recomendaciones siguientes:
(1) suprimir la letra g) del apartado 2 del artículo 4 de la Propuesta o especificar los fines (distintos de la desgravación del impuesto sobre el valor añadido) para los que se utilizaría el eTRC, así como las categorías pertinentes de datos personales;
(2) incluir la expresión «en la medida en que el ejercicio de dichos derechos pueda poner en peligro las investigaciones» en el artículo 20, apartado 1, de la propuesta.
Bruselas, 8 de agosto de 2023.
p.o. Leonardo CERVERA NAVAS
Secretario general
Wojciech Rafał WIEWIÓROWSKI
(2) COM(2023) 324 final, p. 3.
(3) COM(2023) 324 final, p. 3.
(4) COM(2023) 324 final, p. 3.
(5) Comunicación de la Comisión al Parlamento Europeo y al Consejo «Un Plan de Acción para una fiscalidad justa y simple en apoyo de la estrategia de recuperación», COM/2020/312 final.
(6) Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «Una Unión de los Mercados de Capitales para las personas y las empresas: nuevo plan de acción» [COM(2020) 590 final].
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (
DO L 295 de 21.11.2018, p. 39).
No hay comentarios:
Publicar un comentario