Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre el paquete de propuestas legislativas sobre el IVA en la era digital

(2023/C 113/11)

[El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD: https://edps.europa.eu]

El 8 de diciembre de 2022, la Comisión Europea publicó el paquete de propuestas legislativas sobre el IVA en la era digital, que consta de: una propuesta de Directiva del Consejo por la que se modifica la Directiva 2006/112/CE en lo que respecta a las normas del IVA en la era digital (1); una propuesta de Reglamento del Consejo por el que se modifica el Reglamento (UE) n.o 904/2010 en lo que respecta a las disposiciones de cooperación administrativa en materia de IVA necesarias en la era digital (2); y una propuesta de Reglamento de Ejecución del Consejo por el que se modifica el Reglamento de Ejecución (UE) n.o 282/2011 en lo que respecta a los requisitos de notificación aplicables a determinados regímenes del IVA (3).

El SEPD acoge con satisfacción los objetivos perseguidos por el paquete sobre el IVA en la era digital, en particular la modernización de las obligaciones de declaración del IVA, la adaptación de las normas del IVA aplicables a la economía de plataformas y la introducción del registro único a efectos del IVA. Teniendo en cuenta las nuevas normas de notificación digital previstas en la propuesta de Directiva del Consejo, el SEPD recuerda que todo tratamiento de datos personales debe cumplir plenamente el RGPD (4) y el RPDUE (5), incluidos los principios de «limitación de la finalidad» y «minimización de datos». Para garantizar el cumplimiento del principio de limitación de la finalidad, el SEPD recomienda especificar explícitamente en la parte dispositiva de la propuesta que la información recogida solo ser tratado por la administración tributaria competente con el fin de luchar contra el fraude del IVA.

La información contenida en las facturas puede revelar información sensible relativa a personas físicas concretas, como la información relativa a los bienes adquiridos (incluidos productos íntimos), preparativos de viaje o servicios jurídicos. El SEPD acoge con satisfacción que la información que debe facilitarse a la administración tributaria en virtud de los requisitos de información digital sea un extracto (un subconjunto especificado) de la información de la factura y no toda la factura como tal. Se trata de una salvaguardia clave para garantizar el cumplimiento del principio de minimización de datos contemplado en el artículo 5, apartado 1, letra c), del RGPD y el artículo 4, apartado 1, letra c), del RPDUE y para reducir el impacto del tratamiento de datos personales en los derechos y libertades de las personas interesadas. A este respecto, el SEPD acoge con satisfacción que la propuesta de Directiva del Consejo excluya de la información que debe transmitirse el nombre y la dirección del cliente y del sujeto pasivo.

El SEPD también acoge con satisfacción que la propuesta de Reglamento del Consejo designe explícitamente las funciones de los Estados miembros y de la Comisión en virtud de la legislación de la UE en materia de protección de datos. Al mismo tiempo, el SEPD recuerda que la designación debe estar en consonancia con las responsabilidades asignadas a cada agente. Además, cualquier especificación adicional de las responsabilidades de los Estados miembros y de la Comisión mediante actos de ejecución debe estar plenamente en consonancia con las funciones establecidas por el acto legislativo.

Por último, el SEPD destaca que las garantías establecidas en el capítulo XV del Reglamento (UE) n.o 904/2010 del Consejo (6) (Condiciones aplicables al intercambio de información) deben seguir siendo aplicables al tratamiento de datos personales establecido en la propuesta de Reglamento del Consejo.

1. INTRODUCCIÓN

El 8 de diciembre de 2022, la Comisión Europea publicó el paquete de propuestas legislativas sobre el IVA en la era digital, que consta de: una propuesta de Directiva del Consejo por la que se modifica la Directiva 2006/112/CE en lo que respecta a las normas del IVA en la era digital («la propuesta de Directiva del Consejo»); una propuesta de Reglamento del Consejo por el que se modifica el Reglamento (UE) n.o 904/2010 en lo que respecta a las disposiciones de cooperación administrativa en materia de IVA necesarias en la era digital («la propuesta de Reglamento del Consejo»); una propuesta de Reglamento de Ejecución del Consejo por el que se modifica el Reglamento de Ejecución (UE) n.o 282/2011 en lo que respecta a los requisitos de notificación aplicables a regímenes de IVA («la propuesta de Reglamento de Ejecución del Consejo»). En el contexto del presente dictamen, nos referimos a las tres propuestas legislativas como el «paquete sobre el IVA en la era digital».

El paquete sobre el IVA en la era digital forma parte del Plan de acción para una fiscalidad equitativa y sencilla que apoye la recuperación de 2020 (7). Tiene tres objetivos principales (8):

modernizar las obligaciones de notificación a efectos del IVA mediante la introducción de requisitos de notificación digital, que normalizarán la información que deben presentar, en formato electrónico, los sujetos pasivos a las autoridades tributarias sobre cada operación. Al mismo tiempo, estos requisitos impondrán el uso de la facturación electrónica para las operaciones transfronterizas;

2)	actualizar las normas sobre el IVA aplicables a la economía de plataformas especialmente mediante el refuerzo del papel de las plataformas en la recaudación del IVA;

evitar la necesidad de múltiples registros a efectos del IVA en la UE y mejorar el funcionamiento de la herramienta utilizada para declarar y pagar el IVA adeudado por las ventas a distancia de bienes 14 , mediante la introducción del registro único a efectos del IVA («SVR», por sus siglas en inglés). Es decir, mejorar y ampliar los sistemas existentes de ventanilla única («OSS», por sus siglas en inglés), de ventanilla única de importación («IOSS», por sus siglas en inglés), y de inversión del sujeto pasivo con el fin de minimizar los casos en los que un sujeto pasivo está obligado a registrarse en otro Estado miembro.

Además, la propuesta de Reglamento del Consejo introduce una serie de modificaciones en el Reglamento (UE) n.o 904/2010, por el que se establece, entre otras cosas, el desarrollo de un nuevo sistema central para el intercambio de información sobre el IVA entre las administraciones tributarias de los Estados miembros a escala de la UE que se adapte a las especificidades de los requisitos de notificación digital («sistema VIES central») (9)..

El presente Dictamen del SEPD se emite en respuesta a una consulta de la Comisión Europea, de 10 de enero de 2023, de conformidad con lo dispuesto en el artículo 42, apartado 1, del RPDUE. El SEPD acoge con satisfacción la referencia a esta consulta en el considerando 25 de la propuesta de Reglamento del Consejo. Sin embargo, no se hace referencia a esta consulta en los considerandos de la propuesta de Directiva del Consejo ni en los considerandos de la propuesta de Reglamento de Ejecución del Consejo. Por lo tanto, el SEPD recomienda incluir una referencia a esta consulta en ambas propuestas.

4. CONCLUSIONES

28.

En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

—

en relación con la propuesta de Directiva del Consejo:

(1)	añadir un considerando que recuerde que la propuesta garantiza el pleno respeto de los derechos fundamentales a la intimidad y a la protección de los datos personales, así como la aplicabilidad del RGPD y del RPDUE al tratamiento de datos personales en el contexto de la propuesta;

(2)	especificar explícitamente en la parte dispositiva de la propuesta que la información recogida solo puede tratarse con el fin de que la administración tributaria pertinente pueda luchar contra el fraude del IVA;

—

en relación con la propuesta de Reglamento del Consejo:

(3)

suprimir en el considerando 24 las palabras «pretende» para indicar claramente que el presente Reglamento «garantiza» plenamente el derecho de protección de los datos personales establecido en el artículo 8 de la Carta y recordar explícitamente la aplicabilidad del RGPD y del RPDUE al tratamiento de datos personales en el contexto de la propuesta.

Bruselas, 3 de marzo de 2023.

Wojciech Rafał WIEWIÓROWSKI

(1) COM(2022) 701 final.

(2) COM(2022) 703 final.

(3) COM(2022) 704 final.

(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(6) Reglamento (UE) n ° 904/2010 del Consejo, de 7 de octubre de 2010 , relativo a la cooperación administrativa y la lucha contra el fraude en el ámbito del impuesto sobre el valor añadido (DO L 268 de 12.10.2010, p. 1).

(7) COM(2022) 701 final, p 1.

(8) COM(2022) 701 final, p. 2.

(9) COM(2022) 703 final, p. 3.