| Informe | 2023-0065 |
| Enlace | 📋 |
Informe de la AEPD sobre el Proyecto de Ley 13/2023 (Transposición DAC 7, DAC 6 y DAC 8)
Contexto normativo y objetivo del Proyecto
El Proyecto de Ley transpone al ordenamiento español tres directivas de la UE:
DAC 7 (Directiva (UE) 2021/514): Regula la cooperación administrativa en fiscalidad, implementando el intercambio automático de información sobre rentas obtenidas a través de plataformas digitales (economía colaborativa).
DAC 6 (Directiva (UE) 2018/822): Refuerza el intercambio automático de información sobre mecanismos transfronterizos de planificación fiscal («Modelo 6»).
DAC 8 (Directiva (UE) 2021/2105): Modifica DAC 1 y DAC 6 para mejorar la transparencia fiscal.
Además, desarrolla la llamada «autoliquidación rectificativa» (modificación de la Ley General Tributaria – LGT).
Tratamiento de datos personales en el ámbito tributario
La AEPD recuerda que todo tratamiento de datos en fiscalidad debe cumplir el RGPD, con especialidades en la normativa nacional (ej. art. 95 LGT o LOPDGDD). Las transferencias internacionales de datos tributarios están reguladas en la LOPDGDD y la LGT.
El Proyecto se refería a la trasposición de las directivas y a los acuerdos internacionales suscritos por España:
Directiva DAC 7*: Contenía menciones específicas a la protección de datos, declarando que todo tratamiento en el marco de DAC 7 y DAC 6 debe ajustarse al RGPD.
Acuerdos Multilaterales (OCDE): Garantizaban la confidencialidad y protección de datos intercambiados, remitiéndose al RGPD y a la normativa nacional.
Elementos clave en materia de protección de datos
A. Ámbito subjetivo de aplicación y reserva de ley
El Proyecto regulaba obligaciones para «operadores de plataforma obligados a comunicar información» y «vendedores», pero estos términos no estaban definidos en la ley (DA 25ª LGT), sino que se remitía al desarrollo reglamentario.
Problema identificado por la AEPD: La definición de estos sujetos afecta directamente a derechos fundamentales (como el de protección de datos), y debe tener rango de ley. La STC 76/2019 y la jurisprudencia constitucional exigen que la ley determine los límites de cualquier injerencia en derechos fundamentales, sin poder delegar en un reglamento.
Ejemplo: La Directiva DAC 7 define «entidad» como persona jurídica (sociedad, fideicomiso, etc.), por lo que no se aplica a personas físicas. Sin embargo, el real decreto de desarrollo podría ampliar este concepto, extendiendo las obligaciones a sujetos no previstos en la Directiva, lo que sería contrario al principio de determinación legal.
B. Definición de términos esenciales en la Directiva
La AEPD sugirió que la DA 25ª LGT reprodujera (o se remitiera a) los términos esenciales de la Directiva, como:
«Operador de plataforma obligado a comunicar información» (persona jurídica).
«Vendedores» (personas físicas o jurídicas).
«Excluidos» (plataformas que no operan en la economía colaborativa).
Razón: Estos elementos esenciales establecen el ámbito subjetivo de aplicación, que no puede variarse por un reglamento posterior.
Por ejemplo:
DAC 7 exige ciertos datos mínimos (Anexo V, Sección II) para cumplir el principio de minimización de datos (art. 5.1.c RGPD).
El desarrollismo reglamentario español recogía estos datos, pero podría aumentarse en el futuro, lo que sería contrario a la seguridad jurídica. La Directiva ya los determina, por lo que no pueden ser modificados por una Orde Ministerial ou un reglamento posterior.
C. Datos personales del «operador de plataforma»**
La Directiva DAC 7 define «operador de plataforma» como entidad (persona jurídica), por lo que no aplica a personas físicas.
Problema identificado en el informe:
El real decreto pretendía modificar el art. 54 ter.4 RGAT para incluir en la declaración informativa el dato de: «1º. Nombre y apellidos de la persona física o denominación social de la entidad».
Análisis de la AEPD:
Imposibilidad material: Por definición, un «operador de plataforma» no puede ser una persona física. Por lo tanto, este dato no está subjecto ao RGPD, pois non atoparia a definición de dado persoal entendida polo regulamento europeo.
Consequências: A menção a este elemento no real decreto carece de aplicabilidade e evidenciaria un erro de técnica normativa no projecto.
Adicionalmente:
A ausencia de Directiva, a normativa inglesa non contemplaria a obrigatoriedade de rexistro para os “operadores excluídos” (plataformas que non teñen a consideración de actividades colaborativas ou economía dixital).
O real decreto pretendía incluír disposicións non previstas na Directiva, no que podería ser entendido como un exceso na regulamentación.
Cuestiones específicas sobre la protección de datos en el Proyecto
A. Deber de información aos interessados (arts. 13 e 14 RGPD)
En relación con a Disposición adicional décima do real decreto sobre o tratamiento de dados persoais:
“Los datos personales aportados por los obligados tributarios en el cumplimiento de sus derechos y obligaciones tributarias serán tratados con la finalidad de la aplicación del sistema tributario y aduanero, siendo responsable del tratamiento de dichos datos la Administración tributaria competente”.
Análisis da AEPD:
Texto foi considero favorable, porén sinalou a necesidade dunha aclaración.
A frase final: “En la Sede electrónica de la Administración tributaria competente se facilitará la información relativa a los posibles tratamientos y el ejercicio de los derechos sobre los mismos”.
Interpretación correcta: Non pode supoñerse que un contribuínte xa coñecerá os seus dereitos de protección de datos só por ser advertido dunha forma xenérica de facilitar esta información na sede electrónica. A Administración ten a obriga legal (art. 31.2 LOPDGDD) de informar aos contribuínte das finalidades do tratamento dos datos, dos seus dereitos (acceso, rectificación, supresión, limitación, portabilidade e oposición), e das formas de exercer estes dereitos, sen poder delegar esta obriga nun texto de carácter informativo.
Recomendación: Debería ser incluída información máis detallada no momento no que se poida rexistrar ou tratar datos persoais dos contribuínte, cumprindo coas exixencias dos arts. 13 e 14 do RGPD.
B. Modificacións nos Regulamentos Tributarios
O informe sinalou varias modificacións:
Art. 5 do real decreto: Refería a non necesidade de comunicar certa información baixo o marco do Acordo Multilateral, pero non facía esta mesma referencia para o marco da Directiva (DAC 7).
Art. 49 ter do RGAT: Debería incluírse información sobre as Normas Tipo de comunicación obrigatoria para abordar mecanismos de elusión da estándar común de comunicación de información, estruturas opacas e a súa forza vinculante.
A referencia á DAC 8 na Exposición de Motivos: Xa estaba superada pola publicación da Directiva (UE) 2023/2226 (de 17 de outubro de 2023).
Conclusiones do Informe
Transposición de directivas e protección de datos:
A lei 13/2023 que modifica a LGT (con a DA 25ª) introduce obrigacións que afectan directamente ao tratamento de datos persoais.
Debería terse rango de lei., pois as obrigacións impostas supoñen unha inxelría nos dereitos fundamentais dos cidadáns, como o dereito á protección de datos.
Sugestión da AEPD: Que ou se modificase a lei para incluír nelas as definicións esenciales (como «operador de plataforma» ou «entidade»), ou que o real decreto de desenvolvemento se remitise textualmente ás definicións da Directiva, sen poder ampliar nin modificalas desde a Administración.
Datos persoais que deben obterse:
O contido mínimo dos datos persoais que deben ser recollidos do contribuínte.
Isto está xa determinado pola Directiva DAC 7 (Anexo V, Sección II), polo que non pode ser modificado por un rexulamento posterior, posto que supoñería un incumprimento do principio de minimización de datos.
Detalles técnicos e erros formais:
Definición incorrecta: A referencia á Sentencia do TJE C-694/22 non era correcta, pois a sentencia en cuestión é a C-694/20.
Erros de referencia: O real decreto non facía referencia á non necesidade de comunicar certa información baixo o marco da Directiva DAC 7, cando así estaba previsto na normativa europea.
Falta de análise das Normas Tipo: O real decreto non analisaba nin a data de publicación nin o rango normativo das Normas Tipo de comunicación obrigatoria para abordar mecanismos de planificación fiscal transfronteiros.
A revisión da DAC 8: Xa estaba superada pola publicación da Directiva (UE) 2023/2226.
Recomendaciones finais da AEPD
Para garantir o cumprimento do RGPD e a seguridade xurídica nas obrigacións impostas polo desenvolvemento normativo do real decreto, a AEPD sinala as seguintes recomendacións:
Modificar a lei (DA 25ª LGT) para que incorpore textualmente as definicións esenciales da Directiva DAC 7, ou que se remita expresamente ás definicións da normativa europea.
Garantir que os datos persoais recollidos do contribuínte (vendedor ou operador de plataforma) cumpren co principio de minimización de datos (art. 5.1.c RGPD), e que non poden ser aumentados por unha Orde Ministerial posterior.
Incluir información detallada no momento no que poidan rexistrarse ou tratarse datos persoais dos contribuínte, cumprindo coas obrigas dos arts. 13 e 14 do RGPD.
Corrixir os erros formais identificados, como as referencias incorrectas a sentencias do TJE, ou a falta de análise das Normas Tipo no seu rango normativo.
Revisar a normativa de forma que as obrigaións impostas supoñen unha inxelría nos dereitos fundamentais dos cidadáns* (tales como o direito à proteção de datos), cumprindo o disposto na lei e nas directivas europeias.
Nota final: O informe destaca a necesidade dunha transposición precisa e respetuosa co RGPD nas obrigacións tributarias relativas á economía dixital e á planificación fiscal. Para evitar conflitos coas exixencias constitucionais e coas directivas europeas, suxire modificacións na lei e unha análise máis detallada das normas de desenvolvemento por parte da Administración.