El DOUE de 12 de septiembre publica el Reglamento de Ejecución (UE) 2022/1504 de la Comisión, de 6 de abril de 2022, por el que se establecen normas detalladas para la aplicación del Reglamento (UE) nº 904/2010 del Consejo en lo que respecta a la creación de un sistema electrónico central de información sobre pagos (CESOP) con el fin de luchar contra el fraude en el IVA. Entra en vigor a los veinte días de su publicación, siendo aplicable a partir del 1 de enero de 2024.

El Reglamento 904/2010, de 7 de octubre de 2010, es el relativo a la cooperación administrativa y la lucha contra el fraude en el ámbito del impuesto sobre el valor añadido (IVA).

La Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del IVA, modificada por la Directiva (UE) 2020/284 del Consejo en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago, introduce obligaciones de información para los proveedores de servicios de pago a partir del 1 de enero de 2024. Desde ese momento, los proveedores de servicios de pago que estén establecidos en la UE u ofrezcan servicios de pago en ella deberán mantener determinados registros de pagos transfronterizos procedentes de pagadores de los Estados miembros y determinada información sobre los beneficiarios, y transmitir esos registros a los Estados miembros en aras de la lucha contra el fraude en el IVA.

Sistema electrónico central de información sobre pagos

Los Estados miembros deben transmitir esos registros a un sistema electrónico central de información sobre pagos (CESOP), de cuyo desarrollo, mantenimiento, alojamiento y gestión técnica debe ocuparse la Comisión Europea (CE).

Para garantizar el correcto funcionamiento del CESOP, es necesario adoptar las medidas técnicas para establecer el CESOP. Esas medidas deben prever las funcionalidades necesarias en el CESOP para el desarrollo de sus capacidades. Las medidas también deben asegurar un elevado nivel de facilidad de uso mediante herramientas de búsqueda y visualización integradas en el CESOP. Además, el CESOP debe facilitar los intercambios de información entre los funcionarios de enlace de Eurofisc, el sistema de alerta mulitlateral de los Estados miembros para combatir el fraude del IVA, permitiéndoles intercambiar información sobre dicho fraude de manera rápida y segura directamente en el CESOP. También deben establecerse las medidas que la CE ha de adoptar para el mantenimiento del CESOP una vez que este haya entrado en funcionamiento, con el fin de garantizar los estándares de calidad operativa de la infraestructura informática del sistema y sus funcionalidades y de asegurar que las actualizaciones pertinentes se llevan a cabo cuando sea necesario para abordar los incidentes del sistema entre la CE y los Estados miembros.

Si bien los Estados miembros, como responsables del tratamiento en el CESOP, se hacen cargo de su gestión, corresponden a la CE una serie de responsabilidades, limitadas a la gestión técnica del sistema y de su ordenador anfitrión y procesador. Estas responsabilidades deben incluir las tareas técnicas necesarias para la administración cotidiana del CESOP, como el mantenimiento de registros de los funcionarios de enlace de Eurofisc que accedan a él, el mantenimiento de registros de los proveedores de servicios de pago que hayan transmitido datos a los Estados miembros, el establecimiento de medidas adecuadas de seguridad organizativa para el CESOP y la provisión de la formación y el apoyo necesarios para que los funcionarios de enlace de Eurofisc utilicen el CESOP de manera eficaz.

Los Estados miembros deben enviar los datos al CESOP siguiendo un formato común. Deben concretarse los elementos de datos que han de comunicar los proveedores de servicios de pago en el formato de un documento XML. Con el fin de garantizar la operatividad general entre los sistemas electrónicos nacionales y el CESOP, los Estados miembros deben comprobar que los datos transmitidos por los proveedores de servicios de pago incluyen los elementos de datos obligatorios y sintácticamente correctos, dado que el CESOP solo puede funcionar si los datos obligatorios se han reflejado correctamente en él.

Los Estados miembros deben designar a los funcionaros de enlace de Eurofisc que tendrán acceso al CESOP e informar a la CE de su decisión. A este respecto, la Comisión debe facilitar a esos funcionarios un identificador único para el acceso al CESOP y mantener una lista de todos los funcionarios de enlace de Eurofisc que tengan acceso al sistema, basada en la información recibida de los Estados miembros.

La CE debe establecer procedimientos para garantizar que existen las medidas adecuadas de seguridad técnica y organizativa para el desarrollo y el funcionamiento del CESOP. Determinados aspectos de seguridad de los componentes centrales del CESOP también dependen de la aplicación de medidas de seguridad nacionales, como medidas destinadas a controlar la seguridad de los datos transmitidos o medidas para garantizar que únicamente el funcionario de enlace de Eurofisc con un identificador único válido pueda acceder al CESOP. Por tanto, los Estados miembros deben facilitar a la CE información acerca de sus propias medidas de seguridad. Los Estados miembros y la CE deben mantenerse informados de las medidas de seguridad adoptadas y de cualquier necesidad de actualizar dichas medidas.

Deben fijarse los cometidos y las responsabilidades de los Estados miembros y de la CE en relación con la responsabilidad del tratamiento de datos personales en el marco del CESOP. Los Estados miembros deben ser considerados conjuntamente responsables del tratamiento en el CESOP, dado que deciden sobre los medios de tratamiento y uso de los datos que este contiene. La CE debe ser considerada encargada del tratamiento, dado que actúa en nombre de los Estados miembros en el cumplimiento de todas sus tareas.