LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 904/2010 del Consejo, de 7 de octubre de 2010, relativo a la cooperación administrativa y la lucha contra el fraude en el ámbito del impuesto sobre el valor añadido (1), y en particular su artículo 24 sexies,
Considerando lo siguiente:
(1) |
La Directiva 2006/112/CE del Consejo (2), modificada por la Directiva (UE) 2020/284 del Consejo (3), introduce obligaciones de información para los proveedores de servicios de pago a partir del 1 de enero de 2024. Desde ese momento, los proveedores de servicios de pago que estén establecidos en la Unión Europea u ofrezcan servicios de pago en ella deberán mantener determinados registros de pagos transfronterizos procedentes de pagadores de los Estados miembros y determinada información sobre los beneficiarios, y transmitir esos registros a los Estados miembros en aras de la lucha contra el fraude en el impuesto sobre el valor añadido (IVA). |
(2) |
De conformidad con el Reglamento (UE) n.o 904/2010, modificado por el Reglamento (UE) 2020/283 del Consejo (4), los Estados miembros deben transmitir esos registros a un sistema electrónico central de información sobre pagos (en lo sucesivo, «CESOP»), de cuyo desarrollo, mantenimiento, alojamiento y gestión técnica debe ocuparse la Comisión. |
(3) |
Para garantizar el correcto funcionamiento del CESOP, y de conformidad con el artículo 24 sexies, letra a), del Reglamento (UE) n.o 904/2010, es necesario adoptar las medidas técnicas para establecer el CESOP. Esas medidas deben prever las funcionalidades necesarias en el CESOP para el desarrollo de las capacidades de este descritas en el artículo 24 quater del Reglamento (UE) n.o 904/2010. Las medidas también deben asegurar un elevado nivel de facilidad de uso mediante herramientas de búsqueda y visualización integradas en el CESOP. Además, el CESOP debe facilitar los intercambios de información entre los funcionarios de enlace de Eurofisc, permitiéndoles intercambiar información sobre el fraude en el IVA de manera rápida y segura directamente en el CESOP. También deben establecerse las medidas que la Comisión ha de adoptar para el mantenimiento del CESOP una vez que este haya entrado en funcionamiento, con el fin de garantizar los estándares de calidad operativa de la infraestructura informática del sistema y sus funcionalidades y de asegurar que las actualizaciones pertinentes se llevan a cabo cuando sea necesario para abordar los incidentes del sistema entre la Comisión y los Estados miembros. |
(4) |
Si bien los Estados miembros, como responsables del tratamiento en el CESOP, se hacen cargo de su gestión, corresponden a la Comisión una serie de responsabilidades, limitadas a la gestión técnica del sistema y de su ordenador anfitrión y procesador, de conformidad con el artículo 24 sexies, letra b), del Reglamento (UE) n.o 904/2010. Estas responsabilidades deben incluir las tareas técnicas necesarias para la administración cotidiana del CESOP, como el mantenimiento de registros de los funcionarios de enlace de Eurofisc que accedan a él, el mantenimiento de registros de los proveedores de servicios de pago que hayan transmitido datos a los Estados miembros, el establecimiento de medidas adecuadas de seguridad organizativa para el CESOP y la provisión de la formación y el apoyo necesarios para que los funcionarios de enlace de Eurofisc utilicen el CESOP de manera eficaz. |
(5) |
De conformidad con el artículo 24 ter, apartado 1, letra b), del Reglamento (UE) n.o 904/2010, los Estados miembros deben enviar los datos al CESOP siguiendo un formato común. Deben concretarse los elementos de datos que han de comunicar los proveedores de servicios de pago en el formato de un documento XML. Con el fin de garantizar la operatividad general entre los sistemas electrónicos nacionales y el CESOP de conformidad con el artículo 24 ter, apartado 3, del Reglamento (UE) n.o 904/2010, los Estados miembros deben comprobar que los datos transmitidos por los proveedores de servicios de pago incluyen los elementos de datos obligatorios y sintácticamente correctos de conformidad con el artículo 243 quinquies de la Directiva 2006/112/CE, dado que el CESOP solo puede funcionar si los datos obligatorios se han reflejado correctamente en él. |
(6) |
Los Estados miembros deben designar a los funcionaros de enlace de Eurofisc que tendrán acceso al CESOP e informar a la Comisión de su decisión. A este respecto, la Comisión debe facilitar a esos funcionarios un identificador único para el acceso al CESOP y mantener una lista de todos los funcionarios de enlace de Eurofisc que tengan acceso al sistema, basada en la información recibida de los Estados miembros. |
(7) |
De conformidad con el artículo 24 sexies, letra g), del Reglamento (UE) n.o 904/2010, la Comisión debe establecer procedimientos para garantizar que existen las medidas adecuadas de seguridad técnica y organizativa para el desarrollo y el funcionamiento del CESOP. Determinados aspectos de seguridad de los componentes centrales del CESOP también dependen de la aplicación de medidas de seguridad nacionales, como medidas destinadas a controlar la seguridad de los datos transmitidos o medidas para garantizar que únicamente el funcionario de enlace de Eurofisc con un identificador único válido pueda acceder al CESOP. Por tanto, los Estados miembros deben facilitar a la Comisión información acerca de sus propias medidas de seguridad. Los Estados miembros y la Comisión deben mantenerse informados de las medidas de seguridad adoptadas y de cualquier necesidad de actualizar dichas medidas. |
(8) |
El tratamiento de datos personales en virtud del presente Reglamento, así como las responsabilidades de los Estados miembros y de la Comisión, están sujetos a las normas establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5) y en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6). De conformidad con el artículo 24 sexies, letra h), del Reglamento (UE) n.o 904/2010, deben fijarse los cometidos y las responsabilidades de los Estados miembros y de la Comisión en relación con la responsabilidad del tratamiento en el marco del CESOP. Los Estados miembros deben ser considerados conjuntamente responsables del tratamiento en el CESOP, dado que deciden sobre los medios de tratamiento y uso de los datos que este contiene. La Comisión debe ser considerada encargada del tratamiento, dado que actúa en nombre de los Estados miembros en el cumplimiento de todas sus tareas. |
(9)
(10)
(11) |
El presente Reglamento debe comenzar a aplicarse el 1 de enero de 2024, para armonizarse con la aplicabilidad del Reglamento (UE) 2020/283 y la Directiva (UE) 2020/284.
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 2 de febrero de 2022.
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité Permanente de Cooperación Administrativa. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Medidas técnicas para establecer y mantener el CESOP
1. La Comisión desarrollará medidas técnicas para el establecimiento del CESOP con las funcionalidades siguientes:
a) recibir datos de pago transmitidos por los Estados miembros;
b) almacenar los datos de pago de forma segura por un período máximo de cinco años desde el final del año natural en que los Estados miembros hayan transmitido la información al sistema;
c) corregir las anomalías y errores relacionados con los datos de pago, incluidas las duplicaciones del mismo pago;
d) agregar los datos de pago relacionados con un mismo beneficiario;
e) permitir las búsquedas y la visualización de los datos de pago en el CESOP;
f) analizar los datos de pago y verificarlos cotejándolos con los datos almacenados e intercambiados de conformidad con el artículo 17, apartado 1, letras a), b), d), e) y f), y el artículo 32, apartado 2, letra b), del Reglamento (UE) n.o 904/2010;
g) llevar a cabo análisis automáticos y señalar a los beneficiarios sospechosos;
h) permitir a los funcionarios de enlace de Eurofisc llevar a cabo controles y análisis no automáticos;
i) generar informes sobre los resultados de los análisis y controles llevados a cabo por el CESOP y los funcionarios de enlace de Eurofisc;
j) facilitar infraestructuras para gestionar el control de acceso de usuarios en relación con los funcionarios de enlace de Eurofisc;
k) permitir a los funcionarios de enlace de Eurofisc intercambiar directamente en el CESOP información relativa a la investigación y detección del fraude del IVA transfronterizo;
l) facilitar la infraestructura técnica necesaria para que los Estados miembros gestionen los derechos de acceso de sus funcionarios de enlace de Eurofisc.
2. La Comisión llevará a cabo las tareas siguientes para el mantenimiento del CESOP:
a) garantizar la operatividad del CESOP y de sus funcionalidades;
b) llevar a cabo el mantenimiento fuera del horario de trabajo;
c) acometer las actualizaciones técnicas necesarias para el buen funcionamiento y la mejora del CESOP;
d) resolver problemas técnicos.
Tareas de la Comisión en la gestión técnica del CESOP
La Comisión llevará a cabo las tareas siguientes para la gestión técnica del CESOP:
a) conservar y actualizar la lista de funcionarios de enlace de Eurofisc que tienen acceso al CESOP y su identificación única de usuario personal de conformidad con el artículo 5;
b) implantar las medidas de seguridad organizativa y técnica a que se refiere el artículo 6;
c) crear, conservar y mantener una lista de proveedores de servicios de pago que hayan comunicado datos de conformidad con el artículo 24 ter, apartado 1, del Reglamento (UE) n.o 904/2010, con arreglo a los datos facilitados por los Estados miembros;
d) conceder a los funcionarios de enlace de Eurofisc con acceso al CESOP acceso automático a la lista mantenida de conformidad con la letra c);
e) facilitar asistencia técnica a los funcionarios de enlace de Eurofisc cuando utilicen el CESOP;
f) impartir formación a los funcionarios de enlace de Eurofisc en cuanto al uso del CESOP.
Conexión e interoperabilidad general del CESOP con los sistemas electrónicos nacionales
1. Los Estados miembros tomarán todas las medidas necesarias para garantizar que los sistemas electrónicos nacionales para la recogida de información sobre pagos establecidos de conformidad con el artículo 24 ter, apartado 2, del Reglamento (UE) n.o 904/2010 son funcionales y pueden recoger la información sobre pagos de conformidad con el artículo 24 ter, apartado 1, de dicho Reglamento.
2. Los Estados miembros transmitirán al CESOP únicamente la información sobre pagos que esté completa con todos los campos obligatorios con arreglo al artículo 243 quinquies de la Directiva 2006/112/CE y que se ajuste a los requisitos establecidos en el anexo del presente Reglamento.
3. La Comisión garantizará la interoperabilidad del CESOP con los sistemas electrónicos nacionales a los que se refiere el apartado 1.
Formulario electrónico normalizado
El formulario electrónico normalizado al que se refiere el artículo 24 ter, apartado 1, letra b), del Reglamento (UE) n.o 904/2010 se presentará en un formato normalizado XML de conformidad con el cuadro de datos que figura en el anexo del presente Reglamento.
Disposiciones prácticas relativas a los funcionarios de enlace de Eurofisc que tendrán acceso al CESOP
1. Los Estados miembros designarán a los funcionarios de enlace de Eurofisc que tendrán acceso al CESOP y comunicarán sus nombres y direcciones de correo electrónico a la Comisión.
2. Los Estados miembros informarán a la Comisión de cualquier cambio en la información facilitada con arreglo al apartado 1, incluidos los cambios de los funcionarios de enlace de Eurofisc, oportunamente y a más tardar treinta días después de que se haya producido el cambio.
3. La Comisión facilitará inmediatamente a los funcionarios de enlace de Eurofisc a que se refiere el apartado 1 una identificación única de usuario personal para el acceso al CESOP.
Procedimientos para las medidas de seguridad técnica y organizativa relacionadas con el desarrollo y la funcionamiento del CESOP
1. Los Estados miembros facilitarán a la Comisión información sobre la aplicación y las actualizaciones de sus propias medidas de seguridad a nivel nacional.
Dicha información detallará las medidas adoptadas para garantizar que únicamente los funcionarios de enlace de Eurofisc a que se refiere el artículo 5 tienen acceso al CESOP y las medidas adoptadas para garantizar la encriptación de los datos transmitidos por los Estados miembros.
2. La Comisión, a más tardar el 30 de abril de cada año a partir del año siguiente al de la fecha de comienzo de la aplicación del presente Reglamento, informará a los Estados miembros de las medidas adoptadas para garantizar la seguridad del CESOP.
La información indicará, como mínimo, lo siguiente:
a) los incidentes de seguridad que se hayan producido durante el año anterior y el modo en que se han resuelto;
b) los detalles de las medidas de seguridad adoptadas o los cambios en las medidas de seguridad actuales;
c) una evaluación de las medidas de seguridad actuales, que dirima si la Comisión considera necesario introducir cambios en las mismas.
Funciones y responsabilidades de los responsables y del encargado del tratamiento
1. Los Estados miembros serán conjuntamente responsables del tratamiento, según la definición del artículo 4, punto 7, del Reglamento (UE) 2016/679, en el marco del CESOP. Las responsabilidades de los responsables del tratamiento del CESOP se determinarán en un acuerdo entre los responsables del tratamiento, que establecerá las normas para el ejercicio de los derechos del interesado y sus obligaciones en relación con el suministro de información a la que se refieren el artículo 13 y el artículo 14 del Reglamento (UE) 2016/679.
Los Estados miembros serán responsables de lo siguiente:
a) establecer las especificaciones técnicas del CESOP, y adaptarlas cuando sea necesario, para que la Comisión pueda:
a) establecer y mantener el CESOP de conformidad con el artículo 1 del presente Reglamento;
b) gestionar técnicamente el CESOP de conformidad con el artículo 2 del presente Reglamento;
c) garantizar la interoperabilidad de los sistemas electrónicos nacionales a que se refiere el artículo 24 ter del Reglamento (UE) n.o 904/2010 con el CESOP, de conformidad con el artículo 3, apartado 3, del presente Reglamento;
d) adoptar las medidas de seguridad a que se refiere el artículo 6, apartado 2, párrafo primero, del presente Reglamento;
b) establecer las normas y procedimientos para la selección de los funcionarios de enlace de Eurofisc que tendrán acceso al CESOP;
c) responder a las solicitudes de los interesados en lo que respecta al ejercicio de los derechos establecidos en el capítulo III del Reglamento (UE) 2016/679.
2. La Comisión será la encargada del tratamiento, según la definición del artículo 3, punto 12, del Reglamento (UE) 2018/1725, en el marco del CESOP.
La Comisión:
a) tratará los datos personales en nombre de los Estados miembros acorde a sus instrucciones y conservará la documentación relativa a dichas instrucciones;
b) garantizará la confidencialidad de los datos personales cuando sean tratados en virtud del presente Reglamento;
c) facilitará a los Estados miembros la infraestructura técnica necesaria para dar respuesta a las solicitudes a que hace referencia el apartado 1, letra c);
d) asistirá a los Estados miembros en el cumplimiento de las obligaciones que les imponen los artículos 33 a 41 del Reglamento (UE) 2016/679;
e) garantizará la supresión de todos los datos personales almacenados en el CESOP de conformidad con el artículo 24 quater, apartado 2, del Reglamento (UE) n.o 904/2010;
f) pondrá a disposición de los Estados miembros toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permitirá, además de contribuir a ellas, las auditorías, en particular las inspecciones, llevadas a cabo por los Estados miembros u otro auditor autorizado por ellos, respetando plenamente el Protocolo (nº 7) del Tratado de Funcionamiento de la Unión Europea sobre los privilegios y las inmunidades de la Unión Europea.
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 1 de enero de 2024.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 6 de abril de 2022.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 268 de 12.10.2010, p. 1.
(2) Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del impuesto sobre el valor añadido (DO L 347 de 11.12.2006, p. 1).
(3) Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago (DO L 62 de 2.3.2020, p. 7).
(4) Reglamento (UE) 2020/283 del Consejo, de 18 de febrero de 2020, por el que se modifica el Reglamento (UE) n.o 904/2010 en lo que respecta a las medidas para reforzar la cooperación administrativa a fin de combatir el fraude en el ámbito del IVA (DO L 62 de 2.3.2020, p. 1).
(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
Casilla n.o |
Nombre del elemento de datos |
Artículo 243 quinquies |
Descripción |
Ejemplo del formato |
Obligatorio |
Controles llevados a cabo en la transmisión al CESOP |
1 |
BIC/ID del PSP notificante |
Apartado 1, letra a) |
BIC según la definición del artículo 2, punto 16, del Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo (1) o cualquier otro código de identificación empresarial que identifique inequívocamente al proveedor de servicios de pago que transmite los datos. |
BIC del proveedor de servicios de pago que facilita los datos. |
Sí |
Presencia, control sintáctico del BIC |
2 |
Nombre del beneficiario |
Apartado 1, letra b) |
Todos los nombres del beneficiario que figuren en los registros de los proveedores de servicios de pago, incluidos la denominación legal y el nombre comercial. |
Nombre del aceptante de tarjeta, nombre del comerciante, nombre del acreedor |
Sí |
Presencia |
3 |
IVA/NIF del beneficiario |
Apartado 1, letra c) |
Número de identificación del IVA y/o cualquier otro número fiscal nacional del beneficiario. |
|
Opcional obligatorio |
Control sintáctico de los números de IVA de los Estados miembros de la UE |
4 |
ID de cuenta del beneficiario |
Apartado 1, letra d) |
IBAN según la definición del artículo 2, punto 15, del Reglamento (UE) n.o 260/2012 o, si no está disponible, cualquier otro identificador que identifique inequívocamente al beneficiario de la operación e indique su ubicación. |
IBAN, ID del aceptante de tarjeta, ID del comerciante, identificador de cuenta electrónica |
Sí, cuando los fondos se transfieren a una cuenta de pago del beneficiario |
Presencia, control sintáctico del IBAN |
5 |
BIC/ID del PSP pagador |
Apartado 1, letra e) |
BIC o cualquier otro código identificador de la entidad que identifique inequívocamente e indique la ubicación del proveedor de servicios de pago que actúe en nombre del beneficiario, cuando este último reciba fondos sin disponer de cuenta de pago. |
BIC. |
Únicamente cuando el beneficiario reciba fondos sin disponer de cuenta de pago. |
Presencia, control sintáctico del BIC |
6 |
Dirección del beneficiario |
Apartado 1, letra f) |
Todas las direcciones del beneficiario que figuren en los registros de los proveedores de servicios de pago (dirección legal, dirección comercial y la dirección de los almacenes). |
Calle del aceptante de tarjeta, dirección del comerciante, dirección del titular de la cuenta. |
Opcional obligatorio |
|
7 |
Devolución |
Apartado 1, letra h) |
Cualquier referencia que indique que la operación es una devolución y vínculo a la operación previa notificada. |
|
Si procede |
Presencia |
8 |
Fecha/hora |
Apartado 2, letra a) |
Fecha y hora de ejecución de la operación de pago o de la devolución del pago. |
Fecha de compra, fecha de ejecución, fecha de creación de la operación. |
Sí |
Presencia, control sintáctico |
9 |
Importe |
Apartado 2, letra b) |
Importe de la operación de pago o de la devolución del pago. |
|
Sí |
Presencia |
10 |
Divisa |
Apartado 2, letra b) |
Divisa de la operación de pago o de la devolución del pago. |
|
Sí |
Presencia, control sintáctico del código de moneda |
11 |
EM de origen del pago |
Apartado 2, letra c) |
Estado miembro de origen del pago recibido por el beneficiario. |
Código de país del pagador. |
Si la operación es un pago |
Presencia, control sintáctico del código de país |
12 |
EM de destino de la devolución |
Apartado 2, letra c) |
Estado miembro de destino de la devolución. |
Código de país del beneficiario de la devolución. |
Si la operación es una devolución que figura en la casilla 7 |
Presencia, control sintáctico del código de país |
13 |
Información de ubicación del pagador |
Apartado 2, letra c) |
Indicación de la información utilizada para determinar el origen del pago o el destino de la devolución. Los detalles de la información no se transmitirán para evitar la identificación del pagador. |
Los proveedores de servicios de pago indican que la ubicación se ha deducido de: — el IBAN del pagador, — el rango del BIN del titular de la tarjeta, — otros datos. El propio ID (número IBAN, número BIN, dirección) no debe transmitirse nunca. |
Sí |
Presencia |
14 |
ID de la operación |
Apartado 2, letra d) |
Cualquier referencia que identifique inequívocamente la operación de pago. |
Referencia del adquirente, ID de la operación. |
Sí |
Presencia |
15 |
Presencia física |
Apartado 2, letra e) |
Cualquier referencia que indique la presencia del pagador en las instalaciones físicas del comerciante al iniciar el pago. |
Modo de entrada en el punto de venta |
Si procede |
Presencia |
(1) Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por el que se establecen requisitos técnicos y empresariales para las transferencias y los adeudos domiciliados en euros, y se modifica el Reglamento (CE) n.o 924/2009 (DO L 94 de 30.3.2012, p. 22).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid