Está Vd. en

Documento DOUE-L-2022-81344

Reglamento de Ejecución (UE) 2022/1504 de la Comisión de 6 de abril de 2022 por el que se establecen normas detalladas para la aplicación del Reglamento (UE) nº 904/2010 del Consejo en lo que respecta a la creación de un sistema electrónico central de información sobre pagos (CESOP) con el fin de luchar contra el fraude en el IVA.

Publicado en:
«DOUE» núm. 235, de 12 de septiembre de 2022, páginas 19 a 27 (9 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2022-81344

TEXTO ORIGINAL

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 904/2010 del Consejo, de 7 de octubre de 2010, relativo a la cooperación administrativa y la lucha contra el fraude en el ámbito del impuesto sobre el valor añadido (1), y en particular su artículo 24 sexies,

Considerando lo siguiente:

(1)

La Directiva 2006/112/CE del Consejo (2), modificada por la Directiva (UE) 2020/284 del Consejo (3), introduce obligaciones de información para los proveedores de servicios de pago a partir del 1 de enero de 2024. Desde ese momento, los proveedores de servicios de pago que estén establecidos en la Unión Europea u ofrezcan servicios de pago en ella deberán mantener determinados registros de pagos transfronterizos procedentes de pagadores de los Estados miembros y determinada información sobre los beneficiarios, y transmitir esos registros a los Estados miembros en aras de la lucha contra el fraude en el impuesto sobre el valor añadido (IVA).

(2)

De conformidad con el Reglamento (UE) n.o 904/2010, modificado por el Reglamento (UE) 2020/283 del Consejo (4), los Estados miembros deben transmitir esos registros a un sistema electrónico central de información sobre pagos (en lo sucesivo, «CESOP»), de cuyo desarrollo, mantenimiento, alojamiento y gestión técnica debe ocuparse la Comisión.

(3)

Para garantizar el correcto funcionamiento del CESOP, y de conformidad con el artículo 24 sexies, letra a), del Reglamento (UE) n.o 904/2010, es necesario adoptar las medidas técnicas para establecer el CESOP. Esas medidas deben prever las funcionalidades necesarias en el CESOP para el desarrollo de las capacidades de este descritas en el artículo 24 quater del Reglamento (UE) n.o 904/2010. Las medidas también deben asegurar un elevado nivel de facilidad de uso mediante herramientas de búsqueda y visualización integradas en el CESOP. Además, el CESOP debe facilitar los intercambios de información entre los funcionarios de enlace de Eurofisc, permitiéndoles intercambiar información sobre el fraude en el IVA de manera rápida y segura directamente en el CESOP. También deben establecerse las medidas que la Comisión ha de adoptar para el mantenimiento del CESOP una vez que este haya entrado en funcionamiento, con el fin de garantizar los estándares de calidad operativa de la infraestructura informática del sistema y sus funcionalidades y de asegurar que las actualizaciones pertinentes se llevan a cabo cuando sea necesario para abordar los incidentes del sistema entre la Comisión y los Estados miembros.

(4)

Si bien los Estados miembros, como responsables del tratamiento en el CESOP, se hacen cargo de su gestión, corresponden a la Comisión una serie de responsabilidades, limitadas a la gestión técnica del sistema y de su ordenador anfitrión y procesador, de conformidad con el artículo 24 sexies, letra b), del Reglamento (UE) n.o 904/2010. Estas responsabilidades deben incluir las tareas técnicas necesarias para la administración cotidiana del CESOP, como el mantenimiento de registros de los funcionarios de enlace de Eurofisc que accedan a él, el mantenimiento de registros de los proveedores de servicios de pago que hayan transmitido datos a los Estados miembros, el establecimiento de medidas adecuadas de seguridad organizativa para el CESOP y la provisión de la formación y el apoyo necesarios para que los funcionarios de enlace de Eurofisc utilicen el CESOP de manera eficaz.

(5)

De conformidad con el artículo 24 ter, apartado 1, letra b), del Reglamento (UE) n.o 904/2010, los Estados miembros deben enviar los datos al CESOP siguiendo un formato común. Deben concretarse los elementos de datos que han de comunicar los proveedores de servicios de pago en el formato de un documento XML. Con el fin de garantizar la operatividad general entre los sistemas electrónicos nacionales y el CESOP de conformidad con el artículo 24 ter, apartado 3, del Reglamento (UE) n.o 904/2010, los Estados miembros deben comprobar que los datos transmitidos por los proveedores de servicios de pago incluyen los elementos de datos obligatorios y sintácticamente correctos de conformidad con el artículo 243 quinquies de la Directiva 2006/112/CE, dado que el CESOP solo puede funcionar si los datos obligatorios se han reflejado correctamente en él.

(6)

Los Estados miembros deben designar a los funcionaros de enlace de Eurofisc que tendrán acceso al CESOP e informar a la Comisión de su decisión. A este respecto, la Comisión debe facilitar a esos funcionarios un identificador único para el acceso al CESOP y mantener una lista de todos los funcionarios de enlace de Eurofisc que tengan acceso al sistema, basada en la información recibida de los Estados miembros.

(7)

De conformidad con el artículo 24 sexies, letra g), del Reglamento (UE) n.o 904/2010, la Comisión debe establecer procedimientos para garantizar que existen las medidas adecuadas de seguridad técnica y organizativa para el desarrollo y el funcionamiento del CESOP. Determinados aspectos de seguridad de los componentes centrales del CESOP también dependen de la aplicación de medidas de seguridad nacionales, como medidas destinadas a controlar la seguridad de los datos transmitidos o medidas para garantizar que únicamente el funcionario de enlace de Eurofisc con un identificador único válido pueda acceder al CESOP. Por tanto, los Estados miembros deben facilitar a la Comisión información acerca de sus propias medidas de seguridad. Los Estados miembros y la Comisión deben mantenerse informados de las medidas de seguridad adoptadas y de cualquier necesidad de actualizar dichas medidas.

(8)

El tratamiento de datos personales en virtud del presente Reglamento, así como las responsabilidades de los Estados miembros y de la Comisión, están sujetos a las normas establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5) y en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6). De conformidad con el artículo 24 sexies, letra h), del Reglamento (UE) n.o 904/2010, deben fijarse los cometidos y las responsabilidades de los Estados miembros y de la Comisión en relación con la responsabilidad del tratamiento en el marco del CESOP. Los Estados miembros deben ser considerados conjuntamente responsables del tratamiento en el CESOP, dado que deciden sobre los medios de tratamiento y uso de los datos que este contiene. La Comisión debe ser considerada encargada del tratamiento, dado que actúa en nombre de los Estados miembros en el cumplimiento de todas sus tareas.

(9)

 

(10)

 

 

(11)

El presente Reglamento debe comenzar a aplicarse el 1 de enero de 2024, para armonizarse con la aplicabilidad del Reglamento (UE) 2020/283 y la Directiva (UE) 2020/284.

 

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 2 de febrero de 2022.

 

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité Permanente de Cooperación Administrativa.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Medidas técnicas para establecer y mantener el CESOP

1.   La Comisión desarrollará medidas técnicas para el establecimiento del CESOP con las funcionalidades siguientes:

 a) recibir datos de pago transmitidos por los Estados miembros;

 b) almacenar los datos de pago de forma segura por un período máximo de cinco años desde el final del año natural en que los Estados miembros hayan transmitido la información al sistema;

 c) corregir las anomalías y errores relacionados con los datos de pago, incluidas las duplicaciones del mismo pago;

 d) agregar los datos de pago relacionados con un mismo beneficiario;

 e) permitir las búsquedas y la visualización de los datos de pago en el CESOP;

 f) analizar los datos de pago y verificarlos cotejándolos con los datos almacenados e intercambiados de conformidad con el artículo 17, apartado 1, letras a), b), d), e) y f), y el artículo 32, apartado 2, letra b), del Reglamento (UE) n.o  904/2010;

 g) llevar a cabo análisis automáticos y señalar a los beneficiarios sospechosos;

 h) permitir a los funcionarios de enlace de Eurofisc llevar a cabo controles y análisis no automáticos;

 i) generar informes sobre los resultados de los análisis y controles llevados a cabo por el CESOP y los funcionarios de enlace de Eurofisc;

 j) facilitar infraestructuras para gestionar el control de acceso de usuarios en relación con los funcionarios de enlace de Eurofisc;

 k) permitir a los funcionarios de enlace de Eurofisc intercambiar directamente en el CESOP información relativa a la investigación y detección del fraude del IVA transfronterizo;

 l) facilitar la infraestructura técnica necesaria para que los Estados miembros gestionen los derechos de acceso de sus funcionarios de enlace de Eurofisc.

2.   La Comisión llevará a cabo las tareas siguientes para el mantenimiento del CESOP:

 a) garantizar la operatividad del CESOP y de sus funcionalidades;

 b) llevar a cabo el mantenimiento fuera del horario de trabajo;

 c) acometer las actualizaciones técnicas necesarias para el buen funcionamiento y la mejora del CESOP;

 d) resolver problemas técnicos.

Artículo 2

Tareas de la Comisión en la gestión técnica del CESOP

La Comisión llevará a cabo las tareas siguientes para la gestión técnica del CESOP:

a) conservar y actualizar la lista de funcionarios de enlace de Eurofisc que tienen acceso al CESOP y su identificación única de usuario personal de conformidad con el artículo 5;

b) implantar las medidas de seguridad organizativa y técnica a que se refiere el artículo 6;

c) crear, conservar y mantener una lista de proveedores de servicios de pago que hayan comunicado datos de conformidad con el artículo 24 ter, apartado 1, del Reglamento (UE) n.o 904/2010, con arreglo a los datos facilitados por los Estados miembros;

d) conceder a los funcionarios de enlace de Eurofisc con acceso al CESOP acceso automático a la lista mantenida de conformidad con la letra c);

e) facilitar asistencia técnica a los funcionarios de enlace de Eurofisc cuando utilicen el CESOP;

f) impartir formación a los funcionarios de enlace de Eurofisc en cuanto al uso del CESOP.

Artículo 3

Conexión e interoperabilidad general del CESOP con los sistemas electrónicos nacionales

1.   Los Estados miembros tomarán todas las medidas necesarias para garantizar que los sistemas electrónicos nacionales para la recogida de información sobre pagos establecidos de conformidad con el artículo 24 ter, apartado 2, del Reglamento (UE) n.o 904/2010 son funcionales y pueden recoger la información sobre pagos de conformidad con el artículo 24 ter, apartado 1, de dicho Reglamento.

2.   Los Estados miembros transmitirán al CESOP únicamente la información sobre pagos que esté completa con todos los campos obligatorios con arreglo al artículo 243 quinquies de la Directiva 2006/112/CE y que se ajuste a los requisitos establecidos en el anexo del presente Reglamento.

3.   La Comisión garantizará la interoperabilidad del CESOP con los sistemas electrónicos nacionales a los que se refiere el apartado 1.

Artículo 4

Formulario electrónico normalizado

El formulario electrónico normalizado al que se refiere el artículo 24 ter, apartado 1, letra b), del Reglamento (UE) n.o 904/2010 se presentará en un formato normalizado XML de conformidad con el cuadro de datos que figura en el anexo del presente Reglamento.

Artículo 5

Disposiciones prácticas relativas a los funcionarios de enlace de Eurofisc que tendrán acceso al CESOP

1.   Los Estados miembros designarán a los funcionarios de enlace de Eurofisc que tendrán acceso al CESOP y comunicarán sus nombres y direcciones de correo electrónico a la Comisión.

2.   Los Estados miembros informarán a la Comisión de cualquier cambio en la información facilitada con arreglo al apartado 1, incluidos los cambios de los funcionarios de enlace de Eurofisc, oportunamente y a más tardar treinta días después de que se haya producido el cambio.

3.   La Comisión facilitará inmediatamente a los funcionarios de enlace de Eurofisc a que se refiere el apartado 1 una identificación única de usuario personal para el acceso al CESOP.

Artículo 6

Procedimientos para las medidas de seguridad técnica y organizativa relacionadas con el desarrollo y la funcionamiento del CESOP

1.   Los Estados miembros facilitarán a la Comisión información sobre la aplicación y las actualizaciones de sus propias medidas de seguridad a nivel nacional.

Dicha información detallará las medidas adoptadas para garantizar que únicamente los funcionarios de enlace de Eurofisc a que se refiere el artículo 5 tienen acceso al CESOP y las medidas adoptadas para garantizar la encriptación de los datos transmitidos por los Estados miembros.

2.   La Comisión, a más tardar el 30 de abril de cada año a partir del año siguiente al de la fecha de comienzo de la aplicación del presente Reglamento, informará a los Estados miembros de las medidas adoptadas para garantizar la seguridad del CESOP.

La información indicará, como mínimo, lo siguiente:

 a) los incidentes de seguridad que se hayan producido durante el año anterior y el modo en que se han resuelto;

 b) los detalles de las medidas de seguridad adoptadas o los cambios en las medidas de seguridad actuales;

 c) una evaluación de las medidas de seguridad actuales, que dirima si la Comisión considera necesario introducir cambios en las mismas.

Artículo 7

Funciones y responsabilidades de los responsables y del encargado del tratamiento

1.   Los Estados miembros serán conjuntamente responsables del tratamiento, según la definición del artículo 4, punto 7, del Reglamento (UE) 2016/679, en el marco del CESOP. Las responsabilidades de los responsables del tratamiento del CESOP se determinarán en un acuerdo entre los responsables del tratamiento, que establecerá las normas para el ejercicio de los derechos del interesado y sus obligaciones en relación con el suministro de información a la que se refieren el artículo 13 y el artículo 14 del Reglamento (UE) 2016/679.

Los Estados miembros serán responsables de lo siguiente:

 a) establecer las especificaciones técnicas del CESOP, y adaptarlas cuando sea necesario, para que la Comisión pueda:

  a) establecer y mantener el CESOP de conformidad con el artículo 1 del presente Reglamento;

  b) gestionar técnicamente el CESOP de conformidad con el artículo 2 del presente Reglamento;

  c) garantizar la interoperabilidad de los sistemas electrónicos nacionales a que se refiere el artículo 24 ter del Reglamento (UE) n.o  904/2010 con el CESOP, de conformidad con el artículo 3, apartado 3, del presente Reglamento;

  d) adoptar las medidas de seguridad a que se refiere el artículo 6, apartado 2, párrafo primero, del presente Reglamento;

 b) establecer las normas y procedimientos para la selección de los funcionarios de enlace de Eurofisc que tendrán acceso al CESOP;

 c) responder a las solicitudes de los interesados en lo que respecta al ejercicio de los derechos establecidos en el capítulo III del Reglamento (UE) 2016/679.

2.   La Comisión será la encargada del tratamiento, según la definición del artículo 3, punto 12, del Reglamento (UE) 2018/1725, en el marco del CESOP.

La Comisión:

 a) tratará los datos personales en nombre de los Estados miembros acorde a sus instrucciones y conservará la documentación relativa a dichas instrucciones;

 b) garantizará la confidencialidad de los datos personales cuando sean tratados en virtud del presente Reglamento;

 c) facilitará a los Estados miembros la infraestructura técnica necesaria para dar respuesta a las solicitudes a que hace referencia el apartado 1, letra c);

 d) asistirá a los Estados miembros en el cumplimiento de las obligaciones que les imponen los artículos 33 a 41 del Reglamento (UE) 2016/679;

 e) garantizará la supresión de todos los datos personales almacenados en el CESOP de conformidad con el artículo 24 quater, apartado 2, del Reglamento (UE) n.o 904/2010;

 f) pondrá a disposición de los Estados miembros toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permitirá, además de contribuir a ellas, las auditorías, en particular las inspecciones, llevadas a cabo por los Estados miembros u otro auditor autorizado por ellos, respetando plenamente el Protocolo (nº 7) del Tratado de Funcionamiento de la Unión Europea sobre los privilegios y las inmunidades de la Unión Europea.

Artículo 8

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 1 de enero de 2024.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 6 de abril de 2022.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1)  DO L 268 de 12.10.2010, p. 1.

(2)  Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del impuesto sobre el valor añadido (DO L 347 de 11.12.2006, p. 1).

(3)  Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago (DO L 62 de 2.3.2020, p. 7).

(4)  Reglamento (UE) 2020/283 del Consejo, de 18 de febrero de 2020, por el que se modifica el Reglamento (UE) n.o 904/2010 en lo que respecta a las medidas para reforzar la cooperación administrativa a fin de combatir el fraude en el ámbito del IVA (DO L 62 de 2.3.2020, p. 1).

(5)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(6)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

ANEXO
Formulario electrónico para la transmisión de datos

Casilla n.o

Nombre del elemento de datos

Artículo 243 quinquies

Descripción

Ejemplo del formato

Obligatorio

Controles llevados a cabo en la transmisión al CESOP

1

BIC/ID del PSP notificante

Apartado 1, letra a)

BIC según la definición del artículo 2, punto 16, del Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo (1) o cualquier otro código de identificación empresarial que identifique inequívocamente al proveedor de servicios de pago que transmite los datos.

BIC del proveedor de servicios de pago que facilita los datos.

Presencia, control sintáctico del BIC

2

Nombre del beneficiario

Apartado 1, letra b)

Todos los nombres del beneficiario que figuren en los registros de los proveedores de servicios de pago, incluidos la denominación legal y el nombre comercial.

Nombre del aceptante de tarjeta, nombre del comerciante, nombre del acreedor

Presencia

3

IVA/NIF del beneficiario

Apartado 1, letra c)

Número de identificación del IVA y/o cualquier otro número fiscal nacional del beneficiario.

 

Opcional obligatorio

Control sintáctico de los números de IVA de los Estados miembros de la UE

4

ID de cuenta del beneficiario

Apartado 1, letra d)

IBAN según la definición del artículo 2, punto 15, del Reglamento (UE) n.o 260/2012 o, si no está disponible, cualquier otro identificador que identifique inequívocamente al beneficiario de la operación e indique su ubicación.

IBAN, ID del aceptante de tarjeta, ID del comerciante, identificador de cuenta electrónica

Sí, cuando los fondos se transfieren a una cuenta de pago del beneficiario

Presencia, control sintáctico del IBAN

5

BIC/ID del PSP pagador

Apartado 1, letra e)

BIC o cualquier otro código identificador de la entidad que identifique inequívocamente e indique la ubicación del proveedor de servicios de pago que actúe en nombre del beneficiario, cuando este último reciba fondos sin disponer de cuenta de pago.

BIC.

Únicamente cuando el beneficiario reciba fondos sin disponer de cuenta de pago.

Presencia, control sintáctico del BIC

6

Dirección del beneficiario

Apartado 1, letra f)

Todas las direcciones del beneficiario que figuren en los registros de los proveedores de servicios de pago (dirección legal, dirección comercial y la dirección de los almacenes).

Calle del aceptante de tarjeta, dirección del comerciante, dirección del titular de la cuenta.

Opcional obligatorio

 

7

Devolución

Apartado 1, letra h)

Cualquier referencia que indique que la operación es una devolución y vínculo a la operación previa notificada.

 

Si procede

Presencia

8

Fecha/hora

Apartado 2, letra a)

Fecha y hora de ejecución de la operación de pago o de la devolución del pago.

Fecha de compra, fecha de ejecución, fecha de creación de la operación.

Presencia, control sintáctico

9

Importe

Apartado 2, letra b)

Importe de la operación de pago o de la devolución del pago.

 

Presencia

10

Divisa

Apartado 2, letra b)

Divisa de la operación de pago o de la devolución del pago.

 

Presencia, control sintáctico del código de moneda

11

EM de origen del pago

Apartado 2, letra c)

Estado miembro de origen del pago recibido por el beneficiario.

Código de país del pagador.

Si la operación es un pago

Presencia, control sintáctico del código de país

12

EM de destino de la devolución

Apartado 2, letra c)

Estado miembro de destino de la devolución.

Código de país del beneficiario de la devolución.

Si la operación es una devolución que figura en la casilla 7

Presencia, control sintáctico del código de país

13

Información de ubicación del pagador

Apartado 2, letra c)

Indicación de la información utilizada para determinar el origen del pago o el destino de la devolución.

Los detalles de la información no se transmitirán para evitar la identificación del pagador.

Los proveedores de servicios de pago indican que la ubicación se ha deducido de:

— el IBAN del pagador,

— el rango del BIN del titular de la tarjeta,

— otros datos.

El propio ID (número IBAN, número BIN, dirección) no debe transmitirse nunca.

Presencia

14

ID de la operación

Apartado 2, letra d)

Cualquier referencia que identifique inequívocamente la operación de pago.

Referencia del adquirente, ID de la operación.

Presencia

15

Presencia física

Apartado 2, letra e)

Cualquier referencia que indique la presencia del pagador en las instalaciones físicas del comerciante al iniciar el pago.

Modo de entrada en el punto de venta

Si procede

Presencia

(1)  Reglamento (UE) n.o 260/2012 del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por el que se establecen requisitos técnicos y empresariales para las transferencias y los adeudos domiciliados en euros, y se modifica el Reglamento (CE) n.o 924/2009 (DO L 94 de 30.3.2012, p. 22).

ANÁLISIS

  • Rango: Reglamento
  • Fecha de disposición: 06/04/2022
  • Fecha de publicación: 12/09/2022
  • Fecha de entrada en vigor: 02/10/2022
  • Aplicable desde el 1 de enero de 2024.
  • Permalink ELI EUR-Lex: https://data.europa.eu/eli/reg/2022/1504/spa
Referencias anteriores
  • DE CONFORMIDAD con el art. 24sexies del Reglamento 904/2010, de 7 de octubre (Ref. DOUE-L-2010-81840).
Materias
  • Administración electrónica
  • Cooperación internacional
  • Fraudes
  • Impuesto sobre el Valor Añadido
  • Información tributaria
  • Pagos
  • Protección de datos personales
  • Recaudación
  • Redes de telecomunicación

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid