RESUMEN
El 6 de octubre de 2020, el TJUE volvió a examinar la transposición de la Directiva 2011/16/UE del Consejo, de 15 de febrero de 2011 llevada a cabo por la Ley luxemburguesa de 25 de noviembre de 2014, relativa a la cooperación administrativa en el ámbito de la fiscalidad, a la luz del art. 47 de la Carta de los Derechos Fundamentales de la Unión Europea. En concreto, el art. 6 de dicha ley permite a la Administración tributaria luxemburguesa dictar una orden de divulgación de información, datos personales incluidos, bajo pena de sanción. A diferencia de su pronunciamiento previo en el asunto Berlioz, el Tribunal incorpora ahora en su análisis el nuevo marco jurídico adoptado por la UE en materia de protección de datos y, en concreto, el Reglamento General de Protección de Datos (RGPD). Con esto, al interesado se le garantiza un sistema sui generis de recursos del que son responsables distintos órganos administrativos más un órgano judicial. Sin embargo, en su razonamiento, el Alto Tribunal no llega a garantizar el derecho a recurrir la orden de divulgación por parte del contribuyente/interesado ni de los terceros afectados por la orden. A la luz de las garantías previstas en el RGPD, se elabora una crítica del fallo del TJUE a partir de la consideración del derecho fundamental a la protección de los datos personales consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
Palabras clave: Cuestión prejudicial; transposición de la Directiva 2011/16/UE; RGPD; arts. 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea.
ABSTRACT
On October 6, 2020, the CJEU re-examined the transposition of the Council Directive 2011/16/EU, of 15 February 2011, by the Luxembourg Law of 25 November 2014 on administrative cooperation in the taxation field in the light of Article 47 of the Charter of Fundamental Rights of the European Union. In particular, Article 6 of the national Law allows the Luxembourg tax administration to issue an order for the disclosure of information, including personal data, under penalty. In contrast to its previous ruling Berlioz, the Court now incorporates in its analysis the new legal framework adopted by the EU in the field of data protection and, in particular, the General Data Protection Regulation (GDPR). In the latter, the system of protection granted to the data subject is deployed by means of a sui generis system of remedies for which various administrative bodies plus a judicial one are responsible. However, in its reasoning, the High Court does not guarantee the right to appeal against the disclosure order neither to the taxpayer/data subject nor to third parties affected by that order. In the light of the guarantees provided for in the GDPR, a critique of the CJEU’s ruling is elaborated on the basis of the consideration of the fundamental right to the protection of personal data enshrined in Article 8 of the Charter of Fundamental Rights of the European Union.
Keywords: Reference for a preliminary ruling; transposition of Directive 2011/16/EU; GDPR; Articles 7, 8, and 47 of the Charter of Fundamental Rights of the European Union.
RÉSUMÉ
Le 6 octobre 2020, la CJUE a réexaminé la transposition de la Directive 2011/16/UE du Conseil, du 15 février 2011, effectuée par la Loi luxembourgeoise du 25 novembre 2014 relative à la coopération administrative dans le domaine fiscal à la lumière de l’article 47 de la Charte des droits fondamentaux de l’Union européenne. En particulier, l’article 6 de cette Loi nationale permet à l’administration fiscale luxembourgeoise démettre un ordre de divulgation d’informations, y compris de données à caractère personnel, sous peine de sanction. Contrairement à son précédent arrêt dans l’affaire Berlioz, la Cour intègre désormais dans son analyse le nouveau cadre juridique adopté par l’UE en matière de protection des données et, en particulier, le Règlement général sur la protection des données (RGPD). Dans ce dernier, le système de protection garanti à la personne concernée est déployé au moyen d’un système sui generis de recours dont la responsabilité incombe à divers organes administratifs ainsi qu’à une instance judiciaire. Toutefois, dans son raisonnement, la Cour ne garantit pas le droit de recours contre l’ordonnance de divulgation de la part du contribuable/concernée ou des tiers affectés par l’ordonnance. A la lumière des garanties prévues par le RGPD, une critique de l’arrêt de la CJUE est élaborée sur la base de la prise en compte du droit fondamental à la protection des données personnelles consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
Mots clés: Demande de décision préjudicielle; transposition de la Directive 2011/16/UE; RGPD; Articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne.
SUMARIO
En la reciente sentencia État luxembourgeois[2] (García Prats, F. A. (2017). Berlioz Investment Fund SAY Directeur de l’administration des contributions directes. Sentencia del TJUE (Gran Sala) de 16 de mayo de 2017 Asunto: C-682/15 (Berlioz). Revista Técnica Tributaria, 2 (117), 170-175. García Prats, 2017: 170-175) (Ribes Ribes, A. (2021). État luxembourgeois y B (Asunto C-245/19) y entre État luxembourgeois y B, C, D, F.C., con intervención de A (Asunto C-246/19). Revista Técnica Tributaria, 1 (132), 213-219.Ribes Ribes, 2021: 213-219), el Tribunal de Justicia de la Unión Europea (TJUE) volvió a valorar la compatibilidad de la Ley luxemburguesa de 25 de noviembre de 2014[3], en cuanto transposición de la Directiva 2011/16[4], con el derecho a la tutela judicial efectiva del art. 47 de la Carta[5] (Aalto, P.; Hofmann, H. C.; Holopainen, L.; Paunio, E.; Pech, L.; Sayers, D. y Ward, A (2014). Article 47 – Right to an Effective Remedy and to a fair Trial. En S. Peers, T. Hervey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights. A Commentary (pp. 1197-1276). Oxford: Hart Publishing. Disponible en: https://bit.ly/3gzcbSS.Aalto et al., 2014: 1197-1276) y del art. 6.1 del Convenio Europeo de Derechos Humanos de 4 de noviembre de 1950 (CEDH)[6]. A diferencia de su sentencia previa en el asunto Berlioz[7], el nuevo fallo del Tribunal mira al paquete legislativo sobre protección de datos personales adoptado por la Unión Europea (UE) entre 2016 y 2018[8], de tal manera que el TJUE declara expresamente que los arts. 7, 8 y 47 de la Carta deben considerarse complementarios entre sí[9].
Este comentario pretende resaltar cómo la evolución del derecho a la protección de los datos personales madurada en el seno de la UE (Linskey, O. (2016). The Foundations of EU Data Protection Law. Oxford: Oxford Studies in European Law. Disponible en: https://bit.ly/3gKkJVU. Linskey, 2016) predispone nuevas garantías en el marco del procedimiento de intercambio de información regulado por la Directiva 2011/16 (Sánchez de Castro Martín-Luengo, E. (2020). Intercambio de información previa solicitud bajo la Directiva 2011/16/UE y protección de datos: Alguna casuística sobre la identidad de la persona bajo investigación e información con pertinencia previsible. En Derechos fundamentales y tributación. Monográfico nueva fiscalidad (pp. 255-283). Madrid: Dykinson. Disponible en: https://bit.ly/3iNaDq5.Sánchez de Castro Martín-Luengo, 2020: 257). Algunas de ellas, pero no todas, han sido resaltadas por la propia abogada general Kokott en sus Conclusiones del 2 de julio de 2020[10]. A pesar de esto, el Alto Tribunal se muestra reacio a integrar las salvaguardias predispuestas por el derecho fundamental a la protección de los datos personales en su razonamiento. Dicha posición deja indefenso al interesado/contribuyente (Cannas, F. (2020). Taxpayers’ right of defence in the international context: The case of exchange of tax information and a proposal for the English Wednesbury Doctrine as the OECD (BEPS) standard. World Tax Journal, 12 (2), 377-408.Cannas, 2020: 377-408) y desampara a las terceras partes afectadas en los términos que a continuación se exponen.
El asunto État luxembourgeois tiene su origen en dos solicitudes[11] de la Administración tributaria española remitidas a la Administración luxemburguesa para el intercambio de información personal sobre F. C., una mujer que ejerce una profesión artística con residencia en España, de conformidad con el mecanismo de asistencia mutua establecido en virtud de la Directiva 2011/16.
En primer lugar, la Administración tributaria española solicitó a la Administración tributaria luxemburguesa que facilitara información sobre las actividades desarrolladas por F. C. entre el 1 de enero de 2011 y el 31 de diciembre de 2014. A tal efecto, la Administración tributaria luxemburguesa se puso en contacto con la sociedad luxemburguesa de Derecho B para recaudar información sobre F. C. En marzo de 2017, la Administración tributaria española presentó una segunda solicitud en relación con la misma persona, F. C., respecto al período comprendido entre el 1 de enero de 2011 y el 31 de diciembre de 2014. Por su parte, la Administración tributaria luxemburguesa solicitó al banco A que le transmitiera información sobre F. C. y las sociedades controladas por F. C., entre ellas, las B, C y D. En ambos casos, la Administración tributaria precisó que la decisión no podía ser recurrida con arreglo al art. 6.2 de la Ley luxemburguesa de 25 de noviembre de 2014 y que, en caso de incumplimiento, la sociedad B y el banco A serían objeto de sanción[12].
La sociedad B, por un lado, y F. C., junto a las sociedades B, C y D, por otro, interpusieron recurso ante el Tribunal Contencioso-Administrativo luxemburgués solicitando la modificación o, con carácter subsidiario, la anulación de las decisiones correspondientes, alegando una vulneración del derecho a la tutela judicial efectiva garantizado por el art. 47 de la Carta. El Tribunal luxemburgués anuló parcialmente las dos decisiones, razón por la cual Luxemburgo recurrió las sentencias ante el Tribunal Supremo de lo Contencioso-Administrativo, que plantea al TJUE dos cuestiones prejudiciales.
Mediante la primera de ellas, el tribunal de reenvío pregunta al TJUE si la persona obligada a revelar la información, el contribuyente y los terceros interesados tienen derecho a un recurso efectivo contra la orden de divulgación dictada por la Administración tributaria luxemburguesa en virtud de la Ley luxemburguesa de 25 de noviembre de 2014, con independencia de que a dicha resolución haya seguido o no una sanción por incumplimiento. Por consiguiente, se solicita al TJUE que analice si la decisión sobre la divulgación de información constituye en sí misma[13] una injerencia en los derechos fundamentales de las personas al respeto de la vida privada y familiar y a la protección de los datos personales, y en qué términos debería haberse concedido el derecho a la tutela judicial efectiva a esos tres colectivos de personas.
Con la segunda cuestión prejudicial, el tribunal de reenvío solicita, además, que se examine por el TJUE si se ha respetado el criterio de la «pertinencia previsible» para la investigación en curso, en los términos establecidos en los arts. 5 y 1.1 de la Directiva 2011/16. El Tribunal Supremo de lo Contencioso-Administrativo destaca que el concepto de «pertinencia previsible» ha sido extraído del art. 26 del Modelo de Convenio Tributario para evitar la doble imposición de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) que describe los casos típicos en los que se presumirá cumplido dicho criterio.
A diferencia de lo que se estableció en el asunto Sabou[14], la persona en cuestión tanto en el asunto Berlioz como en el caso État luxembourgeois es, en primer lugar, la persona jurídica —o sea la sociedad B— a la que se dirige la resolución[15]. Ha de destacarse que el Alto Tribunal declara abiertamente que las personas, físicas o jurídicas, pueden ampararse en el derecho a la tutela judicial efectiva en cuanto este «[…] constituye un principio general del Derecho de la Unión la protección de las personas […] contra las intervenciones de los poderes públicos en la esfera de su actividad privada que sean arbitrarias o desproporcionadas»[16]. Al respecto, el TJUE subraya que, al reconocer la Ley luxemburguesa de 25 de noviembre de 2014 el derecho a un recurso en caso de sanción, en la práctica la persona reclamada estaba obligada a infringir la decisión de divulgación para tener acceso a la justicia[17]. En este sentido, el TJUE vuelve a confirmar que el administrado debe poder impugnar la legalidad de la decisión de requerimiento[18] y sanciona la ilegalidad de Ley luxemburguesa de 25 de noviembre de 2014 por no respetar el contenido esencial del derecho fundamental a la tutela judicial efectiva[19].
Hasta aquí, el fallo del Alto Tribunal no permite realizar ninguna observación novedosa de cara a la interrelación entre los arts. 7, 8 y 47 de la Carta, pues el TJUE considera que el art. 47 per se no ha sido respetado[20]. Sin embargo, ya en su premisa el Alto Tribunal viene destacando cómo el derecho a un recurso efectivo en virtud del art. 47 de la Carta está estrechamente vinculado a la tutela de los derechos sustantivos subyacentes reconocidos por la Carta y, en el supuesto en examen, a sus arts. 7 y 8[21]. En su razonamiento posterior, el TJUE analiza si la Ley Luxemburguesa de 25 de noviembre de 2014 restringe indebidamente estos últimos derechos para, en su caso, sentenciar la necesidad de que al contribuyente y a las terceras partes interesadas se les garantice el derecho a recurrir la orden de divulgación de información expedida por la Administración tributaria del Estado requirente.
El TJUE señala, justamente, que el contribuyente sujeto a la investigación tributaria debe considerarse un «interesado» con arreglo al RGPD y que, por lo tanto, la orden de revelación de información personal representa una injerencia en el derecho a la intimidad y en el derecho a la protección de los datos personales —arts. 7 y 8 de la Carta[22]—. Entre otras cosas, la obligación de divulgar información permitiría a las autoridades públicas acceder a los datos personales del contribuyente sin su consentimiento previo[23].
A continuación, el TJUE examina si el derecho a la tutela judicial efectiva está suficientemente tutelado por la Ley luxemburguesa de 25 de noviembre de 2014, de conformidad con el art. 52.1 de la Carta. El Alto Tribunal valora positivamente el hecho de que la restricción al derecho en cuestión esté establecida por ley y declara que el alcance de las limitaciones impuestas al art. 47 está definido de manera clara y precisa. El TJUE destaca que, de forma diferente en el caso de la sociedad B, al contribuyente no se le pide que cumpla la decisión de presentar datos personales a la autoridad pública ni se le impone una sanción en caso de incumplimiento. En este sentido, la esencia del derecho a un recurso efectivo no se ve mermada y, según el TJUE, se debe conceder al contribuyente el derecho a ser oído ante el órgano jurisdiccional únicamente en una fase posterior a la investigación, cuando se haya evaluado ya su situación y se presente al contribuyente una propuesta de corrección o ajuste. En definitiva, el TJUE mantiene que un recurso incidental contra el auto respeta el contenido esencial del art. 47 de la Carta.
El Alto Tribunal prosigue en el análisis de la conformidad de la Ley luxemburguesa de 25 de noviembre de 2014 con el art. 52.1 de la Carta y pasa a evaluar los principios de necesidad y proporcionalidad de la medida para la consecución de un objetivo de interés general reconocido por el derecho de la Unión[24]. Para ello, el TJUE observa que la lucha contra el fraude y la evasión fiscales internacionales, mediante el refuerzo de la cooperación entre las autoridades nacionales competentes en este ámbito, es un motivo legítimo para restringir los derechos de los arts. 7, 8 y 47, leídos conjuntamente o por separado. Por consiguiente, la proporcionalidad de la medida que impide al contribuyente recurrir la orden de divulgación se satisface frente a la necesidad de las autoridades nacionales competentes de cooperar rápida y eficazmente para luchar a favor de dichos intereses. A la luz de estas consideraciones, el TJUE afirma que la Ley luxemburguesa de 25 de noviembre de 2014 supera la prueba de la proporcionalidad con éxito.
En una introspección más cercana, la lectura realizada por el TJUE es cuestionable de cara a la salvaguardia del derecho fundamental a la protección de los datos personales del interesado/contribuyente. En primer lugar, por lo que respecta al sujeto pasivo, el TJUE no contempla la hipótesis por la cual la investigación tributaria podría terminar sin notificación de liquidación alguna. En este caso, el contribuyente se quedaría a ciegas de cara al desarrollo de la inspección. Esta omisión tendría importantes repercusiones sobre el contribuyente en cuanto persona interesada respecto al tratamiento de sus datos personales. En concreto, al no revelarse la investigación, es difícil imaginar cómo la persona titular de los datos personales podría ejercer los derechos subjetivos garantizados por la normativa en materia de protección de datos[25]. A falta de información[26], el contribuyente se vería obstaculizado en el ejercicio del derecho de acceso y rectificación de sus datos personales lo que pone en discusión, en última instancia, la vulneración del contenido esencial del derecho fundamental a la protección de los datos personales[27]. En efecto, la peculiaridad del sistema de recursos construido en el marco de la protección de los datos personales hace que los derechos de acceso, rectificación, supresión y limitación del tratamiento de dichos datos complementen el derecho a la tutela judicial concebida en un sentido estricto como recurso ante la autoridad judicial (Galletta, P. y De Hert, P. (2015). The proceduralisation of Data protection Remedies under EU Data Protection Law: Towards a More Effective and Data Remedial System? Review of European Administrative Law, 8 (1), 125-151. Disponible en: https://bit.ly/3wzeWt0. Galletta y De Hert, 2015: 125-151)[28]. Por esta razón, el núcleo esencial del derecho a la tutela judicial efectiva parece extenderse hasta garantizar como mínimo el derecho a acceder a los datos recogidos y a obtener su rectificación[29]. En su defecto[30], debería empoderarse a la autoridad de control independiente para impedir el uso arbitrario de la información perteneciente a los ciudadanos[31].
Si en el asunto État luxembourgeois el derecho a un recurso efectivo hubiese sido interpretado en esta clave, al contribuyente se le habría podido garantizar finalmente el derecho a recurrir la orden de divulgación en caso de que el interesado considerase que sus datos personales hubieran sido tratados ilícitamente[32]. Ahora bien, debe apreciarse que es precisamente la configuración especial conferida al derecho a una tutela judicial efectiva en el marco de la protección de datos personales, o sea, su proyección hacia el aparato de recursos administrativo, lo que termina atribuyendo al contribuyente el derecho a recurrir directamente la orden de requerimiento[33].
En su tercer punto de análisis, el TJUE toma en cuenta el derecho a la tutela judicial efectiva en relación con terceras partes implicadas en la investigación, a saber, las empresas B, C y D, siempre que mantengan o puedan mantener relaciones jurídicas, bancarias, financieras o, en general, económicas con el interesado/contribuyente. El TJUE afirma que se concede también a terceros el derecho de recurso contra las intervenciones arbitrarias o desproporcionadas de las autoridades públicas en el ámbito de sus actividades privadas, «[…] aunque la divulgación a una autoridad pública de información jurídica, bancaria, financiera o, más en general, económica que les concierna no pueda considerarse en modo alguno destinada al núcleo de dichas actividades […]»[34]. El TJUE pasa a evaluar si la restricción del derecho a la tutela judicial efectiva es legal, en virtud del art. 52.1 de la Carta. En primer lugar, se observa que el derecho luxemburgués establece claramente los límites impuestos al ejercicio del derecho a la tutela judicial efectiva. En segundo lugar, el Alto Tribunal señala nuevamente que, a diferencia de la sociedad objeto de la decisión, los terceros no están obligados a cumplir la orden ni son objeto de sanción. Aunque el TJUE es consciente de que las empresas B, C y D pueden ver vulnerado el derecho a la privacy en el ámbito de sus actividades privadas en caso de que se divulgase la información solicitada, el Alto Tribunal declara que el derecho a un recurso efectivo contra una infracción de los derechos garantizados por la Unión se da
[…] cuando el juez que conoce del litigio tiene la posibilidad de revisar el acto o medida que ha dado lugar a dicha infracción y ese perjuicio[35].
Por último, el TJUE valora la necesidad y proporcionalidad de la restricción aportada al art. 47 de la Carta y afirma que el objetivo de interés general perseguido, es decir, la lucha contra el fraude y la evasión fiscal internacional, justifica dicha limitación «habida cuenta, por un lado, de los plazos que deben respetarse para garantizar la eficacia y la rapidez del procedimiento de intercambio de información […] y, por otro, de la posibilidad de que las personas afectadas ejerciten una acción judicial con el fin de que se declare que se han vulnerado derechos que les garantiza el Derecho de la Unión y se repare el perjuicio ocasionado por esa vulneración»[36].
Aun así, la abogada general Kokott subraya que las consecuencias de una injerencia en el art. 7 de la Carta para los terceros interesados pueden ser similares a las del destinatario de la orden de la autoridad requerida y del contribuyente. En sus palabras:
[…] La transferencia de los datos a una autoridad pública da acceso a ellos a una persona desconocida, con independencia de si el propietario de los datos lo ha dado o no. Sin embargo, esto es precisamente lo que el art. 7 de la Carta pretende evitar. Este ejemplo ilustra la necesidad práctica de las terceras partes afectadas de obtener recursos efectivos contra tales requerimientos[37].
De forma diferente a la posición adoptada por el TJUE, la abogada general Kokott sostiene que existe una injerencia en el art. 7 desde el momento en que otro particular transmite los datos a las autoridades tributarias de conformidad con la orden dictada, a pesar de que posteriormente podrían liquidarse otros daños financieros o morales. Kokott añade que en caso de infracción del art. 7, los terceros deben poder salvaguardar su derecho al respeto a la vida privada y familiar por medio de una tutela judicial efectiva que les habilite a impugnar la orden de puesta a disposición de los datos. En efecto, al ser completamente excluidos del procedimiento administrativo, los terceros afectados no pueden impugnar una posible sanción ni una liquidación tributaria posterior.
Estas conclusiones deben ser matizadas en vista del ámbito de aplicación de la Carta[38], que, leída conjuntamente al RGPD, excluye a las personas jurídicas de su alcance. En efecto, solo el art. 7 de la Carta es pertinente para defender las actividades profesionales o empresariales de las empresas B, C y D en la medida en que la Administración luxemburguesa habría recabado información sobre cuentas bancarias y activos que les conciernen[39]. Dicha circunstancia priva a las personas jurídicas de las garantías específicas ofrecidas por el RGPD al amparo del art. 8 de la Carta[40]. Al contrario, las personas jurídicas se ven reconocido el derecho a la privacy (Julicher, M. et al. (2019). Protection of the EU Charter for Private Legal Entities and Public Authorities? The Personal Scope of Fundamental Rights within Europe Compared. Utrecht Law Review, 15 (1), 1-25. Disponible en: https://bit.ly/3wF2Bn5. Julicher et al., 2019: 6-7) en su calidad de derecho humano[41] que entra en el ordenamiento jurídico supranacional como principio general de derecho de la UE común a las tradiciones constitucionales de sus Estados miembros (Liñán Nogueras, D. J. (2020). Derechos Humanos y Libertades Fundamentales en la Unión Europea. En A. Mangas Martín y D. J. Liñán Nogueras. Instituciones y Derecho de la Unión Europea (pp. 126-157). Madrid: Tecnos.Liñán Nogueras, 2020)[42]. Aun así, la interpretación jurisprudencial desarrollada sobre la base del art. 8 del CEDH limita el alcance del art. 7 de la Carta a la protección de las personas contra intervenciones arbitrarias o desproporcionadas de los poderes públicos en el ámbito de las actividades privadas[43]. A diferencia del art. 8, en virtud del cual el acceso a los datos personales constituye por sí mismo una injerencia en dicho derecho, el derecho a una vida privada y familiar llega a impedir el abuso del poder público frente a sus ciudadanos. Fuera de esta esfera, el art. 7 no es un derecho directamente exigible frente a la autoridad sino un principio regulador que debe inspirar al poder público en sus actuaciones (Ward, A. (2014). Article 51 – Field of Application. En S. Peers, T. Hervey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights. A Commentary (pp. 1413-1454). Oxford: Hart Publishing. Disponible en: https://bit.ly/3gCdoc5.Ward, 2014: 1417). Con todo, y a pesar de que el art. 7 siga siendo usado como una norma alternativa en el caso de que el art. 8 no pueda ser aplicado, parece evidente que los dos artículos no llegan a ofrecer el mismo nivel de garantías[44].
En la segunda parte de la sentencia, el TJUE evalúa si la información solicitada a través de la orden de requerimiento debería considerarse «previsiblemente pertinente» de conformidad con el art. 1.1 de la Directiva 2011/16, a la luz de la interpretación evolutiva dada en el seno de la OCDE al art. 26 del Modelo de Convenio Tributario[45]. En este sentido, el TJUE recuerda que la autoridad requirente solicita la información que considera razonablemente pertinente para los fines de su investigación, sin autorizarla a superar manifiestamente los parámetros de dicha investigación ni a imponer una carga excesiva a la autoridad requerida[46]. El noveno considerando de la Directiva 2011/16 aclara que los Estados miembros no pueden recurrir a fishing expeditions ni solicitar información de improbable pertinencia para los asuntos fiscales de un contribuyente determinado. De lo contrario, la orden dirigida por el Estado miembro que solicita la información a la autoridad competente del Estado miembro requerido debe considerarse inválida junto con la sanción impuesta en caso de incumplimiento[47]. Según el razonamiento del TJUE, la información solicitada en el caso cuestionado es «previsiblemente pertinente» para la investigación en curso, aunque la información relativa a los contratos, facturas y pagos no estaba claramente identificada. En efecto, y en relación con los contratos, facturas y pagos solicitados, el TJUE precisa que por estar la información requerida limitada al período de tiempo objeto de la investigación, debido a su vinculación con el contribuyente afectado (Serrat Romaní, M. (2021). La relevancia de la pertinencia previsible: Comentario crítico a la Sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2020, asuntos acumulados C-245/19 y C-246/19. ECJ Leading Cases [blog], 1-05-2021. Disponible en: https://tinyurl.com/uypr9uka.Serrat Romaní, 2021), la orden de divulgación debe considerarse suficientemente precisa como para evitar cualquier fishing expeditions.
Cabe recordar que en la sentencia Berlioz el TJUE ya había declarado que, si bien la autoridad requirente dispone de un margen de apreciación para evaluar la pertinencia previsible de la información, el control de la autoridad requerida no se limita a la comprobación de la regularidad del procedimiento, sino a analizar si la información solicitada «[…] no carece de pertinencia previsible para la investigación que lleva a cabo la autoridad requirente»[48]. Para llevar a cabo este examen, la autoridad requirente especifica en la carta de solicitud los fines de la información solicitada en relación con la investigación en curso y, en segundo lugar, la autoridad requerida puede pedirle explicaciones adicionales para asegurarse de que los datos cumplen el criterio de la «pertinencia previsible». Por su parte, el órgano judicial ante el que se impugna la sanción impuesta por la Administración tributaria puede controlar la legalidad de la orden de información, así como comprobar si la información solicitada carece manifiestamente de tal pertinencia. Como precisa la abogada general Kokott en sus Conclusiones:
[…] tal motivación es importante para el derecho fundamental a la tutela judicial efectiva del destinatario […], del contribuyente afectado […] y de los terceros interesados […], de modo que puedan defenderse eficazmente frente a una solicitud de información injustificada de la autoridad requerida […] Estos motivos deben permitir al Estado requerido justificar la asistencia mutua junto con las correspondientes injerencias en los derechos fundamentales (del destinatario, del contribuyente o de terceros interesados). Los requisitos de la obligación de motivación se hacen más estrictos a medida que aumentan el alcance y el carácter sensible de la información solicitada[49].
Las observaciones de la abogada general resultan muy pertinentes de cara a la protección del derecho fundamental a la protección de los datos personales, pero se echa en falta una ulterior matización. A la luz del RGPD, el criterio de la «pertinencia previsible» debe ser concretado en el más estricto principio de la minimización de datos, al menos en la medida en que el intercambio de la información es a la vez una actividad de procesamiento de los datos personales[50]. Este principio reconocido por el art. 5.1.c) RGPD impide el tratamiento de datos personales más allá de lo estrictamente necesario para alcanzar una finalidad legítima perseguida. En este sentido, el principio de la minimización de datos es una herramienta útil para el Alto Tribunal a la hora de valorar el respeto de los parámetros de necesidad y proporcionalidad exigidos por el art. 52.1 de la Carta. Siguiendo este razonamiento, podría cuestionarse la posibilidad de que la información solicitada por la autoridad requirente pueda resultar finalmente «no pertinente a la luz de los resultados de dicha investigación»[51], aunque los datos recaudados no sirvan para alcanzar el propósito perseguido[52]. A esto se añadiría el hecho de que el principio de la minimización de datos subvierte la carga de la prueba imponiendo al responsable y al encargado del tratamiento la obligación de demostrar su respeto[53]. Por consiguiente, y en el marco del procedimiento de intercambio de información aquí cuestionado, tanto la autoridad requirente como aquella requerida estarían llamadas a demostrar su cumplimiento en cuanto corresponsables del tratamiento[54]. Desafortunadamente, la abogada general Kokott no ha tomado nota de este principio tampoco en sus recientes Conclusiones État luxembourgeois (Derecho de recurso contra una solicitud de información en materia fiscal). En ellas, Kokott afirma que la solicitud de información dirigida por una Administración a otra puede versar sobre un grupo de contribuyentes identificables siempre y cuando se proporcione formación adicional que permitan encontrar al contribuyente[55]. Al respecto, considero que la abogada general habría podido señalar cómo dicha información integra el concepto de «datos personales» del RGPD[56] para así vincular el principio de la minimización de datos con el contenido de la solicitud. Este enfoque representaría un punto de inflexión importante en la corriente jurisprudencial hasta ahora emprendida por el TJUE[57], pero estimo que es necesario para la consecución de una protección efectiva de los derechos consagrados en la Carta y, en particular, su art. 8.
En el asunto État luxembourgeois, el TJUE ha reconocido la existencia de una complementariedad entre los derechos fundamentales a la intimidad y/o a la protección de los datos personales con el del derecho a una tutela judicial efectiva en el marco del procedimiento de solicitud de información regulado por la Directiva 2011/16. Sin embargo, el Alto Tribunal se muestra remiso a la hora de reconocer el derecho fundamental a la protección de los datos personales consagrado en el art. 8 de la Carta, al menos respecto a dos de los colectivos afectados.
De esta manera el TJUE no reconoce al interesado/contribuyente el derecho a un recurso efectivo consagrado por el art. 47 de la Carta, a pesar de que el sistema de recursos administrativos concretado por el RGPD le garantiza el derecho de acceso y rectificación a sus datos personales. En efecto, en la medida en que la orden de requerimiento de la información supone un tratamiento de datos personales, esta debe serle notificada cuanto menos al final de la inspección tributaria. Es distinta la posición de las terceras partes interesadas que, al ser personas jurídicas, están excluidas del ámbito de aplicación del RGPD. A las terceras partes interesadas se le reconoce el derecho al respeto de una vida privada y familiar en virtud del art. 7 de la Carta, frente a una actuación arbitraria, desproporcionada y perjudicial por parte de las autoridades públicas; lo que no ha tenido lugar en el asunto cuestionado.
Finalmente, se ha de destacar que el TJUE habría podido brindar el criterio de la «pertinencia previsible» regulado por los arts. 1.1 y 5 de la Directiva 2011/16 a la luz de un ulterior principio en materia de protección de datos personales. En efecto, este criterio llevado al marco del RGPD es reconducible al principio de la minimización de datos personales que impone, por un lado, limitar el tratamiento de los datos personales a lo estrictamente necesario para alcanzar la finalidad legítima perseguida y, por otro, demostrar su respeto por parte de los encargados y los responsables del tratamiento.
| [1] |
Doctoranda y becaria FPU de Derecho Internacional Público, Universidad de Granada, researcher ID: H-5751-2018, ORCID ID: 0000-0003-4487-7130. El trabajo se presentó en la 2ª edición del Seminario de jurisprudencia internacional y europea organizado por el Dpto. de Derecho Internacional Público y Relaciones Internacionales de la Universidad de Granada. Quiero expresar mis sentidos agradecimientos al profesor doctor Martín Rodríguez y a la profesora doctora Fajardo del Castillo por sus consejos. Cualquier error es mi responsabilidad solamente. |
| [2] |
Sentencia de 6 de octubre de 2020, État luxembourgeois (Derecho de recurso contra una solicitud de información en materia fiscal), C-245/19 y C‑246/19, EU:C:2020:795, en lo sucesivo asunto État luxembourgeois. |
| [3] |
Ley luxemburguesa de 25 de noviembre de 2014, por la que se establece el procedimiento aplicable al intercambio de información previa solicitud en materia tributaria y se modifica la Ley de 31 de marzo de 2010 por la que se aprueban los convenios fiscales y se establece el procedimiento aplicable para el intercambio de información previa solicitud (Ley luxemburguesa de 25 de noviembre de 2014). |
| [4] |
Sobre la Directiva 2011/16/UE del Consejo, de 15 de febrero de 2011, relativa a la cooperación administrativa en el ámbito de la fiscalidad y por la que se deroga la Directiva 77/799/CEE (DO L 64, 11.3.2011, p. 1), véanse Calvo Vérgez, J. (2018). La Directiva 2011/16/UE del Consejo, de 15 de febrero de 2011, relativa a la cooperación administrativa en el ámbito de la fiscalidad, y sus modificaciones posteriores orientadas a fortalecer el intercambio automático de información. Unión Europea Aranzadi, 8, 4.Calvo Vergéz, 2018; García de Pablos, J. F. (2013). El intercambio de información internacional de naturaleza tributaria: la Directiva 2011/16/UE. Gaceta jurídica de la Unión Europea y de la competencia, 34, 11-25.García de Pablos, 2013: 11-25; Martínez Giner, L. A. (2012). El intercambio de información tributaria en la Unión Europea a la luz de la Directiva 2011/16/UE sobre cooperación en el ámbito de la fiscalidad: aspectos novedosos. En M. A. Collado Yurrita, S. Moreno González y O. Carreras Manero (coords.). Estudios sobre fraude fiscal e intercambio internacional de información tributaria (pp. 71-9). Barcelona: Atelier. Martínez Giner, 2012: 71-91 y De Miguel Arias, S. (2012). Los derechos de los obligados tributarios ante los requerimientos de información entre Estados miembros de la Unión Europea en la directiva 2011/16/UE. Civitas. Revista española de derecho financiero, 156, 61-89.De Miguel Arias, 2012: 61-89. |
| [5] |
Carta de los Derechos Fundamentales de la Unión Europea (DO C 326, 26.10.2012, pp. 391-407). |
| [6] |
Véanse las explicaciones sobre la Carta de los Derechos Fundamentales (DO C 303, 14.12.2007, pp. 17-35). |
| [7] |
Sentencia de 16 de mayo de 2017, Berlioz Investment Fund, C-682/15, EU:C: 2017:373, en adelante asunto Berlioz (Requejo Pagés, J. L. (2017). Control de legalidad de las solicitudes de información fiscal dirigidas por un estado miembro. Sentencia del Tribunal de Justicia de 16 de mayo de 2017, Berlioz Investment Fund (1). Actualidad Administrativa, 7, 10.Requejo Pagés, 2017). |
| [8] |
Para este análisis se recuerda el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1) (en adelante RGPD). |
| [9] |
Asunto État luxembourgeois, apdo. 52. |
| [10] |
Conclusiones de la abogada general Kokott de 2 de julio de 2020, État luxembourgeois, (Derecho de recurso contra una solicitud de información en materia fiscal), EU:C: 2020:516. |
| [11] |
Asunto État luxembourgeois, apdos. 26 y 36 respectivamente. |
| [12] |
Aunque la Directiva 2011/16/UE no obliga expresamente a imponer una sanción en caso de incumplimiento, el TJUE señaló que esta debe considerarse una medida de aplicación de la legislación de la UE y con esta compatible, ya que tiene por objeto recopilar la información necesaria para garantizar la cooperación administrativa —véase el apdo. 39 del asunto Berlioz—. |
| [13] |
En el asunto Berlioz, el TJUE ya había afirmado que el art. 47 garantiza al destinatario de la sanción pecuniaria el derecho a impugnar la decisión por la que se ordena la divulgación de información junto con la sanción impuesta. Por consiguiente, el órgano jurisdiccional nacional es competente para modificar la sanción impuesta y para controlar la legalidad de dicha decisión de requerimiento —véanse los apdos. 59 y 89—. |
| [14] |
En la Sentencia de 22 de octubre de 2013, Jiří Sabou, C‑276/12, EU:C:2013:678, el TJUE sentenció que la Directiva 77/799/CEE del Consejo, de 19 de diciembre de 1977, relativa a la asistencia mutua entre las autoridades competentes de los Estados miembros en el ámbito de los impuestos directos (DO L 336 de 27.12.1977, p. 15/20) no atribuía derechos específicos a los contribuyentes y, en concreto, que no les garantizaba el derecho de participar en la solicitud de información dirigida por un Estado a otro, ni les permitía ser oído en el marco de las actuaciones inspectoras desarrolladas por parte del Estado requerido —apdos. 36 y 44—. |
| [15] |
En el asunto Berlioz el TJUE falló que, en el marco del control jurisdiccional llevado a cabo por el órgano establecido en el Estado miembro de la autoridad administrativa requerida, el administrado concernido no tiene derecho a acceder a la solicitud de requerimiento de información, pero sí a la identidad del contribuyente cuestionado y al objetivo fiscal perseguido —asunto Berlioz, apdo. 101—, lo que Schaus (Schaus, J. L. (2017). L’entraide administrative internationale en matière fiscale: l’arrêt Berlioz c. Luxembourg de la Cour de justice des communautés européennes du 16 mai 2017. ACE Comptabilité, fiscalité, audit, droit des affaires au Luxembourg, 12 (8), 10-17.2017: 17) define como un compromiso entre la confidencialidad y la transparencia requerido en cualquier procedimiento administrativo —véanse los arts. 16 y 20.2 de la Directiva 2011/16—. De las Conclusiones de la abogada general Kokott de 3 de junio de 2021, État luxembourgeois (Información sobre grupos de contribuyentes), EU:C:2021:450, punto 94, se podría afirmar que el administrado debe ser notificado de las «informaciones mínimas» junto con la decisión de requerimiento o, alternativamente, que este debe verse reconocido un plazo razonable para examinar y cumplir con la decisión de requerimiento, sin incurrir en gastos ni ser sancionado. |
| [16] |
Asunto État luxembourgeois, apdo. 57. |
| [17] |
Asunto État luxembourgeois, apdo. 68. Entre otros, Chaouche y Sinnig (Chaouche, F. y Sinnig, J. (2017). Assistance administrative internationale, procédures luxembourgeoises et droits fondamentaux — Quelques réflexions au lendemain de l’arrêt Berlioz. Journal des Tribunaux Luxembourg, 52, 101-109.2017: 102-104) señalan cómo Luxemburgo suprimió el derecho a impugnar tanto la solicitud de información como la orden de requerimiento a raíz de la presión internacional que reprochaba públicamente al Grand Ducado del Luxemburgo su falta de colaboración en los asuntos fiscales. |
| [18] |
Asunto Berlioz, apdo. 102. En las Conclusiones de 3 de junio de 2021, État luxembourgeois (Información sobre grupos de contribuyentes), nota 15, la abogada general Kokott ha matizado que el destinatario de la orden debería impugnar la decisión de requerimiento de forma prioritaria y así evitar que se examine incidentalmente —véase el punto 83—. |
| [19] |
Debe señalarse que, con la Ley de 1 de marzo de 2019 —con efectos del 9 de marzo de 2019—, Luxemburgo enmendó el art. 6.1 de la Ley de 25 de noviembre de 2014, para reconocer el derecho a recurrir la orden por parte de la persona que está en posesión de la información. |
| [20] |
Es cierto que el TJUE se remite, de forma algo controvertida, al art. 22 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31/50) (en adelante DPD) correspondiente al actual art. 79 RGPD —asunto État luxembourgeois, apdo. 63—. Sin embargo, el TJUE declara que la Ley Luxemburguesa de 25 de noviembre de 2014 en sí misma viola la esencia del derecho fundamental garantizado por el art. 47. Sobre el contenido esencial del derecho a la tutela judicial efectiva (Gutman, K. (2019). The essence of the Fundamental Right to an Effective Remedy and to a fair Trial in the Case-Law of the Court of Justice of the European Union: The Best is Yet to Come. German Law Journal, 2 (6), 884-903. Disponible en: https://bit.ly/3gHD5aa. Gutman, 2019: 884-903) véanse las Sentencias del Tribunal de Justicia de 16 de julio de 2020, Data Protection Commissioner, C-311/18, EU:C:2020:559, apdo. 187, y la de 6 de octubre 2015, Maximillian Schrems, C-362/14, EU:C:2015:650, apdo. 95. |
| [21] |
Asunto État luxembourgeois, apdo. 68. |
| [22] |
En cualquier caso, tanto la abogada general Kokott como el TJUE subrayan que el derecho a la protección de los datos personales incluye finalmente el derecho a la intimidad [Conclusiones de 2 de julio de 2020, État luxembourgeois (Derecho de recurso contra una solicitud de información en materia fiscal), punto 67]. Hoy en día, la relación entre el art. 7 y el art. 8 de la Carta no es muy clara, pero el TJUE tiende a diferenciar ambos derechos para distanciar el art. 8 de la Carta del art. 8 del CEDH —véase Boehm, F. (2012). Information Sharing and Data Protection in the Area of Freedom, Security and Justice. Towards Harmonised Data Protection Principles for Information Exchange at EU-level. Luxemburgo: Springer. Disponible en: https://bit.ly/3iQae69. Boehm, 2012: 4, y la histórica Sentencia del Tribunal de Justicia de 21 de diciembre de 2016, Tele2 Sverige AB, C-203/15 y C-698/15, EU:C:2016:970, apdos. 127 y 129—. |
| [23] |
Confróntense las Conclusiones de la abogada general Kokott de 2 de julio de 2020 cit. nota 10, punto 65. El principio del consentimiento del interesado constituye el hito para cualquier tratamiento de datos personales lícito en virtud del art. 6.1.a) RGPD. |
| [24] |
En el asunto État luxembourgeois —apdos. 86 y ss.— el TJUE consigue exitosamente mantener separados la evaluación de la prueba de la proporcionalidad del criterio de la esencia del derecho fundamental a la tutela judicial efectiva. A partir de la jurisprudencia del TJUE en materia de protección de datos —véase, entre otras, la histórica sentencia Data Protection Commissioner, cit. —se desprende que el concepto de esencia del derecho fundamental a la tutela judicial efectiva va perfilándose en relación con el más amplio principio de gobernanza del Estado de derecho (Liñán Nogueras, D. J. (2018). La internacionalización del Estado de Derecho y la Unión Europea: una traslación categorial imperfecta. En D. J. Liñán Nogueras y P. J. Martín Rodríguez (dirs.). Estado de Derecho y Unión Europea (pp. 39-68). Madrid: Tecnos. Disponible en: https://bit.ly/3qdYmwr.Liñán Nogueras, 2018: 39-68). |
| [25] |
Cabe señalar que cuando la demanda se dirige a un ente público, el derecho de acceso a los datos personales a menudo se confunde con el principio de transparencia que la administración pública debe respetar en su actuación al otorgar a todo ciudadano el derecho de acceso a la documentación, véase la Sentencia del Tribunal de Justicia de 1 de febrero de 2007, Sisón, C-266/05 P, EU:C:2007:75, y Manzo (Manzo, V. (2019). The General Data Protection Regulation nella Pubblica Amministrazione. European Journal of Privacy Law & Technologies, 1, 30-40.2019: 30-40). |
| [26] |
Véase el art. 14 RGPD leído conjuntamente con el art. 23 del mismo RGPD, cuyo apartado primero impone limitar cualquier restricción a los derechos subjetivos del interesado a que «[…] respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática». |
| [27] |
Como se recuerda en el art. 8.2, segunda frase, de la Carta: «Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación». |
| [28] |
Arts. 15-18 RGPD. |
| [29] |
Art. 79.2 RGPD. Ronco (Ronco, S. (2020). Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information. International Tax Studies, 4 (3), 1-21.2020: 13) destaca acertadamente que el RGPD fortalece el derecho a un recurso efectivo a favor del interesado de tal manera que la persona cuyos datos personales sean procesados podrá acudir a la vía judicial doméstica de forma más ágil que antes. |
| [30] |
El art. 23 RGPD regula las limitaciones que el encargado o responsable del tratamiento de los datos personales puede aplicar a las obligaciones y derechos establecidos en los arts. 12 a 22, el art. 34 y el art. 5 leído conjuntamente a los arts. de 12 a 22 del mismo Reglamento. Sin embargo, en su primer apartado el art. 23 aclara que dichas limitaciones deben ser establecida por ley, respetar la esencia de los derechos y libertades fundamentales y ser una medida necesaria y proporcionada en una sociedad democrática. |
| [31] |
Arts. 77 y 78 RGPD. La autoridad de control independiente integra la columna vertebral del derecho a la protección de los datos personales —véanse el art. 8.3 de la Carta, el art. 16.2 in fine del Tratado de Funcionamiento de la Unión Europea (TFUE en adelante) en su última versión consolidada (DO C 326 de 26.10.2012, p. 47/390), y el capítulo VI del RGPD—. |
| [32] |
Al mismo resultado llega la abogada general Kokott en sus Conclusiones de 2 de julio de 2020, cit., punto 73. |
| [33] |
Debe señalarse la reciente Sentencia del Tribunal de Justicia de 2 marzo de 2021, H. K., C-746/18, EU:C:2021:152, en la que se hace patente cómo el derecho a la protección de los datos personales termina afectando el sistema procedimental de los Estados, incluido el campo penal. |
| [34] |
Asunto État luxembourgeois, apdo. 96. |
| [35] |
Asunto État luxembourgeois, apdos. 100 y 101. |
| [36] |
Asunto État luxembourgeois, apdo. 104. |
| [37] |
Conclusiones de la abogada general Kokott de 2 de julio de 2020, cit., punto 92. |
| [38] |
Art. 51.1 de la Carta. |
| [39] |
Art. 1.1 RGPD y las Conclusiones de la abogada general Kokott de 2 de julio de 2020, cit. nota 10, punto 90: «Las personas jurídicas, por el contrario, solo deben poder invocar la protección de los “datos personales” en virtud del art. 8 de la Carta en la medida en que su título oficial identifique a una persona física», recordando las Sentencias del Tribunal de Justicia de 17 de diciembre de 2015, WebMindLicenses, C-419/14, EU:C:2015:832, apdo. 79, y la de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C-92/09 y C-93/09, EU:C:2010:662, apdos. 52 y 53. |
| [40] |
Kokott y Sobotta (Kokott, J. y Sobotta, C. (2013). The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR. International Data Privacy Law, 4 (3), 222-228. Disponible en: https://bit.ly/3iQVzHV.2013: 222-228) destacan que la exclusión de las personas jurídicas del ámbito de aplicación del art. 8 de la Carta no parece justificable en vista de su aplicación a «toda persona». Sin embargo, los autores también reconocen que en su jurisprudencia el Alto Tribunal es fiel a la DPD, hoy RGPD, por lo que las personas jurídicas no pueden ampararse a la luz del art. 8 de la Carta. |
| [41] |
Art. 8 CEDH. |
| [42] |
Véase la Sentencia del Tribunal de Justicia de 21 de septiembre de 1989, Hoechst, C-46/87 y C-227/88, EU:C:1989:337, apdo. 56. |
| [43] |
Véase el art. 52.3 de la Carta según el cual los derechos allí protegidos deben ser interpretados a la luz del CEDH en la medida en que estos coinciden. Menéndez Moreno (Menéndez Moreno, A. (2020). Los principios tributarios (implícitos) en el Convenio Europeo de Derechos Humanos y en la Carta de los Derechos Fundamentales de la UE: una aproximación. Quincena Fiscal, 1, pp. 1-14.2020: 2) subraya que la Carta y el CEDH no contienen disposiciones directas a incidir en la justicia tributaria de los Estados, pero dichos principios pueden extraerse implícitamente de otros derechos, entre los cuales, el derecho de propiedad —art. 17 de la Carta y art. 1 del Protocolo adicional 1 al CEDH—. |
| [44] |
Véase la Sentencia del Tribunal de Justicia de 1 de octubre de 2019, Planet 49, C-673/17, EU:C:2019:801, apdo. 70, en la que el TJUE diferencia la información publicada, almacenada o accesible en una página web por parte de un equipo terminal de un usuario según pueda ser clasificada o no como «dato personal» en aras de la aplicación de los arts. 8 o 7 de la Carta respectivamente. |
| [45] |
Tal y como explica la abogada general Kokott, cit., puntos 116-125, el Modelo de Convenio Tributario para evitar la doble imposición, de 30 de julio de 1963, no es un tratado multilateral, sino un acto unilateral de la organización hacia sus Estados miembros, o sea, una recomendación de derecho blando (García Prats, F. A. (2009). Los modelos de convenio, sus principios rectores y su influencia sobre los convenios de doble imposición. Crónica tributaria, 133, 101-123.García Prats, 2009: 106). Por consiguiente, ni el Modelo de Convenio Tributario ni los comentarios sucesivos pueden ser vinculantes a la hora de interpretar el derecho de la UE —consúltese la versión consolidada de 21 de noviembre de 2017 en la página web oficial de la OCDE, disponible en: https://tinyurl.com/nceyzw5x, última consulta, 7 de junio de 2021—. Dicha observación no es nada descontada, pues, para establecer la naturaleza de una medida elaborada en el seno de la OCDE se requiere un análisis caso por caso como resulta del Dictamen 1/75 del Tribunal de Justicia de 11 de noviembre de 1975, EU:C:1975:145. |
| [46] |
Asunto Berlioz, apdos. 63 y 66-68. |
| [47] |
Asunto Berlioz, apdo. 74, y asunto État luxembourgeois, apdo. 114. |
| [48] |
Asunto Berlioz, apdo. 78. |
| [49] |
Conclusiones de la abogada general Kokott de 2 de julio de 2020, cit., puntos 136-138. |
| [50] |
Nótese que el principio de lealtad del tratamiento de datos —véase el art. 5.1.a) RGPD— impone tratar los datos de forma previsible para el interesado (Supervisor Europeo de Protección de Datos (2020a). Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0. Bruselas: EDPS Opinion.Supervisor Europeo de Protección de Datos, 2020a: 17-18). |
| [51] |
Asunto État luxembourgeois, apdo. 122. Así lo ha recordado el Supervisor Europeo de Protección de Datos (Supervisor Europeo de Protección de Datos (2020b). Opinion 6/2020 on a proposal for an amendment of Council Directive 2011/16/EU relating to administrative cooperation in the field of taxation. Bruselas: EDPS Opinion.2020b: 6) de cara a la Propuesta de Directiva del Consejo por la que se modifica la Directiva 2011/16/UE relativa a la cooperación administrativa en el ámbito de la fiscalidad, COM/2020/314 final, en virtud de la cual se optimizaría el procedimiento de intercambio automático de información entre Estados miembros. |
| [52] |
Debe valorarse positivamente el nuevo art. 5 bis introducido por la Directiva (UE) 2021/514 del Consejo de 22 de marzo de 2021 por la que se modifica la Directiva 2011/16/UE relativa a la cooperación administrativa en el ámbito de la fiscalidad ST/12908/2020/INIT (DO L 104 de 25.3.2021, pp. 1/26). El artículo impone demostrar a la autoridad requerida la pertinencia de la información para el propósito fiscal perseguido. Además, la autoridad requirente debe alegar la información y los motivos que señalan que la información solicitada obra en poder de la autoridad requerida, o en posesión o bajo el control de una persona en la jurisdicción de la autoridad requerida —confróntese el segundo párrafo del art. 5 bis—. Estos requisitos serán especialmente útiles para el juez llamado a interpretar el cumplimiento o no de la «pertenencia previsible». |
| [53] |
Art. 24.1 RGPD. |
| [54] |
Sobre el concepto de responsabilidad conjunta véase, por ejemplo, la Sentencia del Tribunal de Justicia, de 29 de julio de 2019, Fashion ID, C-40/17, EU:C:2019:629, apdos. 64 y ss. |
| [55] |
En concreto, la abogada general subraya que el formulario deberá: circunscribir el colectivo afectado de la forma más concreta y completa posible; especificar las obligaciones fiscales y los hechos en los que se basa la solicitud, y presumir que las partes afectadas hayan actuado contra legem —véanse las Conclusiones de la abogada general Kokott de 3 de junio de 2021, cit., punto 62—. |
| [56] |
Art. 4.1 RGPD. |
| [57] |
Debe recordarse que la cooperación fiscal transfronteriza se fundamenta en una lógica opuesta, o sea, el hecho de que el intercambio de información debe ser lo más amplio posible, así como explicado en la última versión consolidada del Modelo de Convenio Tributario de la OCDE, cit., nota 46, p. 488. |
|
Aalto, P.; Hofmann, H. C.; Holopainen, L.; Paunio, E.; Pech, L.; Sayers, D. y Ward, A (2014). Article 47 – Right to an Effective Remedy and to a fair Trial. En S. Peers, T. Hervey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights. A Commentary (pp. 1197-1276). Oxford: Hart Publishing. Disponible en: https://bit.ly/3gzcbSS. |
|
|
Boehm, F. (2012). Information Sharing and Data Protection in the Area of Freedom, Security and Justice. Towards Harmonised Data Protection Principles for Information Exchange at EU-level. Luxemburgo: Springer. Disponible en: https://bit.ly/3iQae69. |
|
|
Calvo Vérgez, J. (2018). La Directiva 2011/16/UE del Consejo, de 15 de febrero de 2011, relativa a la cooperación administrativa en el ámbito de la fiscalidad, y sus modificaciones posteriores orientadas a fortalecer el intercambio automático de información. Unión Europea Aranzadi, 8, 4. |
|
|
Cannas, F. (2020). Taxpayers’ right of defence in the international context: The case of exchange of tax information and a proposal for the English Wednesbury Doctrine as the OECD (BEPS) standard. World Tax Journal, 12 (2), 377-408. |
|
|
Chaouche, F. y Sinnig, J. (2017). Assistance administrative internationale, procédures luxembourgeoises et droits fondamentaux — Quelques réflexions au lendemain de l’arrêt Berlioz. Journal des Tribunaux Luxembourg, 52, 101-109. |
|
|
De Miguel Arias, S. (2012). Los derechos de los obligados tributarios ante los requerimientos de información entre Estados miembros de la Unión Europea en la directiva 2011/16/UE. Civitas. Revista española de derecho financiero, 156, 61-89. |
|
|
Galletta, P. y De Hert, P. (2015). The proceduralisation of Data protection Remedies under EU Data Protection Law: Towards a More Effective and Data Remedial System? Review of European Administrative Law, 8 (1), 125-151. Disponible en: https://bit.ly/3wzeWt0. |
|
|
García de Pablos, J. F. (2013). El intercambio de información internacional de naturaleza tributaria: la Directiva 2011/16/UE. Gaceta jurídica de la Unión Europea y de la competencia, 34, 11-25. |
|
|
García Prats, F. A. (2009). Los modelos de convenio, sus principios rectores y su influencia sobre los convenios de doble imposición. Crónica tributaria, 133, 101-123. |
|
|
García Prats, F. A. (2017). Berlioz Investment Fund SAY Directeur de l’administration des contributions directes. Sentencia del TJUE (Gran Sala) de 16 de mayo de 2017 Asunto: C-682/15 (Berlioz). Revista Técnica Tributaria, 2 (117), 170-175. |
|
|
Gutman, K. (2019). The essence of the Fundamental Right to an Effective Remedy and to a fair Trial in the Case-Law of the Court of Justice of the European Union: The Best is Yet to Come. German Law Journal, 2 (6), 884-903. Disponible en: https://bit.ly/3gHD5aa. |
|
|
Julicher, M. et al. (2019). Protection of the EU Charter for Private Legal Entities and Public Authorities? The Personal Scope of Fundamental Rights within Europe Compared. Utrecht Law Review, 15 (1), 1-25. Disponible en: https://bit.ly/3wF2Bn5. |
|
|
Kokott, J. y Sobotta, C. (2013). The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR. International Data Privacy Law, 4 (3), 222-228. Disponible en: https://bit.ly/3iQVzHV. |
|
|
Linskey, O. (2016). The Foundations of EU Data Protection Law. Oxford: Oxford Studies in European Law. Disponible en: https://bit.ly/3gKkJVU. |
|
|
Liñán Nogueras, D. J. (2018). La internacionalización del Estado de Derecho y la Unión Europea: una traslación categorial imperfecta. En D. J. Liñán Nogueras y P. J. Martín Rodríguez (dirs.). Estado de Derecho y Unión Europea (pp. 39-68). Madrid: Tecnos. Disponible en: https://bit.ly/3qdYmwr. |
|
|
Liñán Nogueras, D. J. (2020). Derechos Humanos y Libertades Fundamentales en la Unión Europea. En A. Mangas Martín y D. J. Liñán Nogueras. Instituciones y Derecho de la Unión Europea (pp. 126-157). Madrid: Tecnos. |
|
|
Manzo, V. (2019). The General Data Protection Regulation nella Pubblica Amministrazione. European Journal of Privacy Law & Technologies, 1, 30-40. |
|
|
Martínez Giner, L. A. (2012). El intercambio de información tributaria en la Unión Europea a la luz de la Directiva 2011/16/UE sobre cooperación en el ámbito de la fiscalidad: aspectos novedosos. En M. A. Collado Yurrita, S. Moreno González y O. Carreras Manero (coords.). Estudios sobre fraude fiscal e intercambio internacional de información tributaria (pp. 71-9). Barcelona: Atelier. |
|
|
Menéndez Moreno, A. (2020). Los principios tributarios (implícitos) en el Convenio Europeo de Derechos Humanos y en la Carta de los Derechos Fundamentales de la UE: una aproximación. Quincena Fiscal, 1, pp. 1-14. |
|
|
Requejo Pagés, J. L. (2017). Control de legalidad de las solicitudes de información fiscal dirigidas por un estado miembro. Sentencia del Tribunal de Justicia de 16 de mayo de 2017, Berlioz Investment Fund (1). Actualidad Administrativa, 7, 10. |
|
|
Ribes Ribes, A. (2021). État luxembourgeois y B (Asunto C-245/19) y entre État luxembourgeois y B, C, D, F.C., con intervención de A (Asunto C-246/19). Revista Técnica Tributaria, 1 (132), 213-219. |
|
|
Ronco, S. (2020). Data Protection in Direct Tax Matters and Developments from the EU Standpoint: The Case of Automatic Exchange of Information. International Tax Studies, 4 (3), 1-21. |
|
|
Sánchez de Castro Martín-Luengo, E. (2020). Intercambio de información previa solicitud bajo la Directiva 2011/16/UE y protección de datos: Alguna casuística sobre la identidad de la persona bajo investigación e información con pertinencia previsible. En Derechos fundamentales y tributación. Monográfico nueva fiscalidad (pp. 255-283). Madrid: Dykinson. Disponible en: https://bit.ly/3iNaDq5. |
|
|
Schaus, J. L. (2017). L’entraide administrative internationale en matière fiscale: l’arrêt Berlioz c. Luxembourg de la Cour de justice des communautés européennes du 16 mai 2017. ACE Comptabilité, fiscalité, audit, droit des affaires au Luxembourg, 12 (8), 10-17. |
|
|
Serrat Romaní, M. (2021). La relevancia de la pertinencia previsible: Comentario crítico a la Sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2020, asuntos acumulados C-245/19 y C-246/19. ECJ Leading Cases [blog], 1-05-2021. Disponible en: https://tinyurl.com/uypr9uka. |
|
|
Supervisor Europeo de Protección de Datos (2020a). Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0. Bruselas: EDPS Opinion. |
|
|
Supervisor Europeo de Protección de Datos (2020b). Opinion 6/2020 on a proposal for an amendment of Council Directive 2011/16/EU relating to administrative cooperation in the field of taxation. Bruselas: EDPS Opinion. |
|
|
Ward, A. (2014). Article 51 – Field of Application. En S. Peers, T. Hervey, J. Kenner y A. Ward (eds.). The EU Charter of Fundamental Rights. A Commentary (pp. 1413-1454). Oxford: Hart Publishing. Disponible en: https://bit.ly/3gCdoc5. |