EN 30 SEGUNDOS
- ¿Qué ha pasado? España ha propuesto modificar el artículo 49 del Reglamento General de Protección de Datos (RGPD) para permitir el envío a gran escala de datos fiscales de ciudadanos europeos a Estados Unidos.
- ¿Quién está detrás? El Gobierno español, con un documento informal del 23 de abril, ha logrado colar la enmienda en el texto de compromiso del Consejo de la UE, que el COREPER debate este viernes.
- ¿Qué impacto tiene? La medida, si se aprueba, rebajaría las barreras de privacidad de los europeos, según expertos. Afectaría a millones de datos personales y abriría una vía para que Estados Unidos acceda a información sensible sin las garantías actuales.
El Comité de Representantes Permanentes del Consejo de la UE (COREPER) debate hoy, 26 de junio, una propuesta española para reformar el Reglamento General de Protección de Datos (RGPD) con el objetivo de agilizar la transferencia de datos fiscales a Estados Unidos. La iniciativa, filtrada por POLITICO Europe a partir de un documento de trabajo del 23 de abril, pretende modificar el artículo 49 del GDPR para facilitar los intercambios de información tributaria al otro lado del Atlántico, en el marco del acuerdo bilateral contra el fraude firmado por España y Washington en 2013.
El texto informal sostiene que «el intercambio internacional de datos con fines fiscales constituye un instrumento necesario para luchar contra el fraude fiscal en un mundo globalizado». Sin embargo, la propuesta llega en un momento especialmente sensible: apenas siete meses después de que la Comisión Europea presentara un paquete de simplificación normativa, y con el Tribunal de Justicia de la UE (TJUE) aún pendiente de pronunciarse sobre la validez de estos envíos masivos.
El Gobierno español busca modificar el artículo 49, que regula las excepciones por las que se pueden transferir datos personales fuera de la UE cuando no existe una decisión de adecuación. Actualmente, esas excepciones se conciben para situaciones limitadas. Pero España considera que generan «incertidumbre» y pide permitir la transferencia —incluso «a gran escala y de manera sistemática»— siempre que sea «necesaria para el interés público» o para «la ejecución de acuerdos internacionales o administrativos de asistencia mutua».
La enmienda ha logrado colarse en el texto de compromiso del Consejo, aunque con un matiz: se ha eliminado la expresión «a gran escala». Aun así, las organizaciones de derechos digitales advierten que el cambio sigue siendo preocupante. «El artículo 49, pensado para excepciones puntuales, se convertirá en la base para transferencias recurrentes de datos», alerta Itxaso Domínguez de Olazábal, asesora política de European Digital Rights (EDRi).
Los datos fiscales que se envíen a Estados Unidos no solo afectan a los contribuyentes con obligaciones ante el fisco estadounidense. El acuerdo FATCA (Foreign Account Tax Compliance Act) obliga a las instituciones financieras extranjeras a reportar cuentas de ciudadanos norteamericanos, pero el letrado tecnológico Samuel Parra advierte que «la enmienda supondrá un problema para la privacidad porque afectará a todos los ciudadanos que EEUU considere, y nuestros datos terminarán en un país que no ofrece garantías de seguridad».
La propuesta española convierte una excepción pensada para casos limitados en la puerta de entrada para transferencias masivas de datos personales de europeos a Estados Unidos.
El abogado Jorge Morell, especializado en derecho de nuevas tecnologías, coincide en que la reforma «no tiene lógica en su planteamiento» y podría convertirse en una «puerta trasera» que devalúe el nivel de garantías del RGPD. Ambos juristas temen que la información sensible acabe en manos de agencias como el Servicio de Inmigración y Control de Aduanas (ICE) —reconvertido en cuerpo paramilitar por la administración Trump— o que sea utilizada para fines distintos de los fiscales.
España firmó en 2013 un acuerdo intergubernamental con Washington para aplicar FATCA, pero el envío de datos a un país que no ofrece un nivel de protección esencialmente equivalente al europeo está siendo cuestionado en los tribunales. En 2023, la autoridad belga de protección de datos prohibió las transferencias masivas a la hacienda estadounidense, y el TJUE tiene pendiente un caso que podría tumbar todo el andamiaje. «Si el caso está pendiente de los tribunales, no hay seguridad jurídica», subraya Domínguez de Olazábal.
Una enmienda ‘quirúrgica’ al artículo 49: el fin de las transferencias excepcionales
El artículo 49 del RGPD permite transferencias de datos personales a terceros países cuando no existe una decisión de adecuación solo en situaciones muy tasadas: consentimiento explícito del interesado, necesidad para la ejecución de un contrato, razones de interés público, o para la formulación, el ejercicio o la defensa de reclamaciones. La propuesta española añade un nuevo supuesto: los acuerdos internacionales de asistencia mutua fiscal. El cambio, aparentemente técnico, tiene una repercusión práctica enorme, porque elimina la exigencia de que las transferencias sean «no repetitivas» y prepara el terreno para envíos sistemáticos de datos.
Desde el Ministerio de Hacienda y el Ministerio para la Transformación Digital han señalado que no les consta que se esté tramitando esa modificación, pese a que el documento filtrado lleva la firma de la Representación Permanente de España ante la UE. La AEPD, por su parte, no ha querido pronunciarse sobre un texto que no es público, aunque su presidente, Lorenzo Cotino, recuerda que «no se está cumpliendo, pero debe cumplirse» el principio de que las transferencias solo se hagan a países con un nivel de protección equivalente.
Los expertos en privacidad ven una ‘puerta trasera’ que erosiona el GDPR
Las voces consultadas son unánimes. Samuel Parra insiste en que «rebajará las barreras de protección de datos de los europeos» y abrirá la puerta a que otras excepciones profundicen la erosión de ese derecho. Morell habla de «devaluación del nivel de garantías». Domínguez de Olazábal, más contundente, advierte de que «los datos pueden terminar en manos de agencias como ICE». La preocupación no es teórica: los dos marcos legales anteriores que regulaban el flujo de datos UE-EEUU (Safe Harbour y Privacy Shield) fueron tumbados por el TJUE precisamente por no ofrecer suficiente protección frente a la vigilancia masiva de las agencias estadounidenses.
La propuesta de España llega en un momento en que Bruselas impulsa un paquete de desregulación o simplificación digital que afecta a distintas regulaciones, incluido el GDPR. Pero la Comisión no menciona los intercambios de información fiscal. España estaría aprovechando ese contexto para colar una reforma que, según los expertos, tendría un impacto «muy problemático» en la privacidad de los ciudadanos.
El Eje del Poder Europeo: el pulso entre la lucha contra el fraude y la protección de datos
La decisión que hoy toma el COREPER —si eleva el texto a negociación con la Comisión y el Parlamento Europeo— es solo el primer asalto de una batalla que enfrenta dos principios esenciales para el proyecto europeo: la eficacia en la lucha contra el fraude fiscal y la protección de los datos personales. El eje franco-alemán, tradicionalmente celoso de la privacidad, podría mostrarse reticente, mientras que los países del sur, encabezados por España e Italia, presionan para flexibilizar las reglas. Los estados frugales como Países Bajos miran con desconfianza cualquier movimiento que entregue datos de sus ciudadanos a Washington.
Para España, el atractivo es evidente: el acuerdo con Estados Unidos facilita el rastreo de grandes patrimonios ocultos, un objetivo que la Agencia Tributaria lleva años persiguiendo. Pero al mismo tiempo, el coste en términos de reputación digital puede ser alto. La presidencia española del Consejo en 2023 ya intentó acelerar la agenda de desregulación tecnológica, y esta nueva enmienda se inscribe en la misma trayectoria. La cuestión de fondo es si el Gobierno de Sánchez está dispuesto a asumir un nuevo choque con las instituciones europeas —y con los defensores de la privacidad— a cambio de un botón de «intercambio automático» con el IRS estadounidense.
El TJUE tiene la última palabra. Mientras la justicia europea no se pronuncie sobre la validez de los acuerdos bilaterales de intercambio fiscal, cualquier modificación del RGPD que legitime estas transferencias carece de seguridad jurídica. «Sería bueno esperar a que haya una sentencia», recomienda Morell. Pero en Bruselas, el tiempo político corre más rápido que el judicial. Y el partido se juega, en buena medida, hoy.
