El intercambio automático de información tributaria: un vacío desapercibido frente a un correcto tratamiento de datos personales

Revista Nº 60 Oct.-Dic. 2014

Juliana Vargas Leal 

(Colombia) 

Estudiante de noveno semestre de la facultad de Derecho de la Universidad de los Andes 

Opción en Literatura y Periodismo de la Universidad de los Andes 

A Nelson Remolina, maestro que hizo posible este trabajo de investigación

Introducción

En un mundo con una economía cada vez más globalizada, los individuos tienen más posibilidades de poseer cuentas bancarias extranjeras y mantener activos más allá de las fronteras del país de su residencia. Por esta razón, los “Estados contratantes tienen cada vez más interés en proceder a intercambios de información que permitan aplicar la legislación tributaria interna” (OCDE, 2006: 414).

Con dicho intercambio de información se busca asegurar que los contribuyentes paguen la cantidad correcta de impuestos en el lugar que corresponde. La información a intercambiar son “datos referentes a la sujeción fiscal de personas (...) a la actividad económica de determinados sujetos, al periodo de residencias o estancias de una persona concreta en el territorio de un Estado, a cuestiones contables (...)”. El fin último de esta herramienta es prevenir y perseguir el fraude y la evasión fiscal.

Ahora bien, existen tres formas de intercambiar información: a solicitud, espontáneamente y de manera automática. La OCDE, la organización que ha desarrollado y recomendado esta herramienta, no esconde su preferencia por esta última forma de intercambio, y en efecto, ya son 44 países los que se han comprometido a implementarlo para el 2017 (Lexdiario, 2014), dentro de los cuales se encuentra Colombia.

Sin embargo, también se debe tener en cuenta que dicha herramienta no puede contrariar el ordenamiento jurídico. Respecto a la regulación concerniente a la protección de datos personales, se ha dicho que “aunque este es un aspecto importante del intercambio de información, resulta, tal vez, el que más perplejidad suscita debido a que las distintas regulaciones del mencionado intercambio presentan carencias en este punto” (Sánchez, 2011: 72). En efecto, hay quienes afirman que el intercambio automático viola el principio de finalidad del tratamiento de datos personales. Si Colombia pretende iniciar la implementación de este mecanismo, debe primero asegurarse de que su regulación frente al tratamiento de datos personales permanezca incólume. Por esa razón, la pregunta de investigación que guiará este trabajo es: ¿El intercambio automático de información tributaria es armónico con el principio de finalidad establecido en el artículo 4.º de la Ley 1581 del 2012?

Para contestar la pregunta de investigación: (i) se explicará qué se entiende por principio de finalidad del tratamiento de datos personales; (ii) se realizará un estudio comparado de este principio analizando los documentos internacionales y los instrumentos jurídicos colombianos pertinentes sobre el tema; (iii) se enfrentarán los preceptos sobre los cuales se edifica este principio con el intercambio automático de información; (iv) si es necesario, se presentará una posible solución a los inconvenientes que presenta este intercambio en el marco del tratamiento de datos personales, y (v) a partir de lo anterior se darán las conclusiones finales.

1. El principio de finalidad del tratamiento de datos personales

A grandes rasgos, este principio hace referencia a que los datos recolectados y procesados durante el tratamiento deben seguir una finalidad específica si se desean tratar lícitamente. Esto también implica que al dejar de ser necesarios para la finalidad con la que se recolectaron, los datos deban ser borrados o mantenidos en un formato anónimo. Este principio es el eje alrededor del cual giran otros dos: el principio de pertinencia y proporcionalidad y el principio de veracidad. En palabras de Aberasturi:

“(...) tienen autonomía propia y responden a unas exigencias determinadas. Sin embargo, se entiende en última instancia que todos los principios giran en torno al de finalidad, (...) el grado de pertinencia (...) se mide tomando como referencia la finalidad para la que los datos son manipulados (...) La relación entre el principio de veracidad y el de finalidad es también clara. Para que los datos cumplan con el fin para el cual fueron recogidos es absolutamente necesario que estos datos estén actualizados y que respondan siempre a la realidad” (Aberasturi, 2012: 154).

Inclusive, “finalidad se relaciona con pertinencia, por eso suele llamarse a este principio con cualquiera de ambas referencias” (Gozaíni, 2001: 197). Por esa razón, a lo largo del texto también se hará alusión a los principios de proporcionalidad y veracidad como complemento del análisis al principio de finalidad.

2. El principio de finalidad a la luz de los principales documentos emitidos por las entidades internacionales

Para poseer una mirada integral de este principio y aplicarlo de forma coherente y crítica al intercambio automático de información tributaria es preciso identificar la manera en que es interpretado desde varios frentes. Para ello, se analizarán los principales documentos que existen respecto al tratamiento de datos personales que han emitido las siguientes entidades: OCDE, APEC (Economías Miembro del Foro de Cooperación Económica Asia Pacífico), ONU (Organización de Naciones Unidas), la Comisión, Consejo y Parlamento Europeo, la OEA (Organización de los Estados Americanos), la RIDPD (Red Iberoamericana de Protección de Datos Personales) y las Autoridades de protección de datos.

Estas entidades reúnen las posiciones de los países miembros o las autoridades expertas que las conforman. Por tanto, si bien en su mayoría estos documentos no son vinculantes, analizarlos es una forma de tener un horizonte amplio sobre las posiciones que se tienen alrededor del mundo respecto al principio de finalidad.

2.1. OCDE

Es la organización que sirve de centro de encuentro de distintas economías del mundo, sean miembros o no, para mejorar la calidad de vida de todos los pueblos sin distinción alguna. Su misión principal se puede resumir en “promover políticas que mejoren el bienestar económico y social de las personas alrededor del mundo” (OCDE, 2014).

En cuanto al ámbito del tratamiento de datos personales, si el fin al que apunta esta organización es el desarrollo económico y social de los pueblos, abordará este tema de tal forma que la transferencia transfronteriza de datos ayude a dicho fin. En efecto, la “Recomendación de la OCDE relativa a las directrices que rigen la protección de la intimidad y de la circulación transfronteriza de datos personales”, del 23 de septiembre de 1980, actualizada en el 2013, trae consigo este objetivo, la cual reconoce “que los países miembro tienen un interés común en promocionar y proteger los valores fundamentales de la privacidad, las libertades individuales y el flujo libre y global de información” (OCDE, 2013: 2).

Estas guías desarrollan este principio a lo largo de los principios de calidad de los datos, de especificación de la finalidad y de limitación de uso:

“Principio de calidad de los datos: los datos personales deberían ser pertinentes a los efectos para los que se vayan a utilizar (...) deberían ser exactos y completos, y mantenerse al día.

Principio de especificación de la finalidad: los efectos para los cuales se recojan los datos personales deberían especificarse en el momento de la recogida, a más tardar, y la posterior utilización quedar limitada al cumplimiento de tales efectos o de aquellos otros que no sean incompatibles con los mismos y que se especifiquen en cada ocasión en que se cambie la finalidad.

Principio de limitación de uso: los datos personales no deberían revelarse, hacerse disponibles o utilizarse de otro modo (...) salvo:

a) con el consentimiento del sujeto de los datos, o

b) por imperativo legal” (OCDE, 1980. Negrillas fuera del texto).

En cuanto al primer principio, la organización concluyó que el adjetivo “pertinente” se refería a que los datos debían estar relacionados con la finalidad para la cual se recogían.

Respecto a que los datos debían ser exactos, completos y actualizados, dijo que eran requerimientos imperiosos para que los datos no estuvieran destinados a tener un mayor alcance que el necesario para el propósito por el cual los datos serían utilizados (OCDE, 2013: 56).

Del principio de especificidad de la finalidad se afirmó que las nuevas finalidades no pueden ser introducidas arbitrariamente porque la libertad de hacer cambios debía implicar compatibilidad de estas con las originales (2013). De esto se deduce también la interpretación que hace esta organización del principio de libertad.

A grandes rasgos, este hace referencia a la facultad de decidir “cuándo y dentro de qué límites son públicos los asuntos de la vida personal así como en controlar lo que sucede con sus datos personales” (Remolina, 2013: 29). Debido a esto, la legitimidad para tratar los datos solo se adquiere mediante:

(i) la autorización del titular,

(ii) por orden de autoridad competente o

(iii) por disposición legal (106).

Por tanto, la autorización expresa o la normatividad respectiva determinan para qué finalidades está legitimado el responsable para tratar los datos.

Siguiendo a la OCDE, si se desean cambiar las finalidades originales para las cuales se obtuvo autorización de tratamiento, será obligatorio obtener una nueva autorización, y así, estar legitimado para tratar los datos de la nueva manera en que se pretenden tratar. No obstante, si se desea reemplazar la finalidad original por una compatible, tan solo será necesaria la notificación al titular. Por consiguiente, para esta organización la finalidad que debe especificarse a la hora de adquirir la autorización por parte del titular es un marco genérico dentro del cual el responsable pueda moverse, no la enunciación de usos específicos.

Finalmente, el principio de limitación de uso es básicamente la conclusión de los dos anteriores principios. Frente a este se dijo que “como regla general, la finalidad especificada inicial o subsecuentemente debe ser decisiva para los usos a los cuales estarán sujetos los datos” (OCDE, 2013: 57).

Recordando lo anteriormente expresado, esta interpretación se deriva de la obligación del responsable de mantenerse dentro del marco de acción que autorizó el titular del dato o que define la ley. En conclusión, los datos pertinentes serán aquellos que se puedan derivar de la finalidad original, aunque el responsable decida cambiarla con posterioridad.

2.2. APEC

Este foro se creó en 1989 como un organismo de consulta entre los gobiernos de ambos lados del Pacífico. En su origen era sencillamente un mecanismo de concertación sobre un tema específico del comercio internacional, pero con el tiempo, “fue evolucionando hacia una cooperación económica más completa, en la medida en que ha ido integrando los objetivos de liberalización comercial con los de la facilitación a la inversión extranjera, la transferencia de tecnología y la formación de los recursos humanos” (García, 1997). Hoy en día existen 21 miembros(1) y es la única agrupación intergubernamental que opera en el mundo sobre la base de compromisos no vinculantes y diálogo abierto (DGREI, 2014).

Dada su naturaleza económica, la explotación de los beneficios que trae el comercio electrónico es una meta que se ha fijado este foro. Por esa razón creó el Grupo de Dirección de Comercio Electrónico (ECSG), el cual promueve el desarrollo y el empleo del comercio electrónico mediante la creación de entornos legales, reguladores y de política en la región APEC que sean fiables, transparentes y consistentes (APEC, 2014). Este posee un subgrupo de privacidad de datos personales que trabajó en el Marco de Privacidad del APEC. La razón fue el reconocimiento de que “Un marco que permita la transferencia de datos regionales beneficiará a los consumidores, a las empresas y a los gobiernos” (APEC, 2004, prólogo).

El Marco de Privacidad del APEC “concuerda con los valores básicos de los Lineamientos de Protección de la Privacidad y Flujos Transfronterizos de Datos Personales de 1980 de la OCDE”. Por tanto, su enfoque es análogo a las Guías de la OCDE. Respecto al principio en estudio, este marco de privacidad enuncia en primer lugar que “la recolección de la información personal deberá ser limitada a aquella información que sea relevante a los propósitos de recolección” (APEC, 2004: 10). En los comentarios correspondientes, el subgrupo recomienda que un factor específico puede ser el criterio para determinar el tratamiento proporcional al cumplimiento de dichos propósitos, y simultáneamente, determinar la información que es relevante. Esto constituye un intento significativo por establecer un medio objetivo de determinar qué se debe entender por datos relevantes y necesarios para cumplir con la finalidad del tratamiento, limitando así la libertad del responsable y una potencial arbitrariedad.

Seguidamente, expresa que “la información personal recopilada solo debe ser usada para cumplir con los propósitos de recolección y otros propósitos compatibles o relacionados” (APEC, 2004: 11-12). Al respecto, comenta que “la aplicación de este principio requiere considerar de la naturaleza de la información el contexto de la recolección y el uso deseado para esa información. El criterio fundamental para determinar si un propósito es compatible con o está relacionado con los propósitos indicados, es si el uso extendido proviene de o respalda tales propósitos”. A estos comentarios aplica lo expuesto frente al principio de limitación de uso de las Guías de la OCDE. Una nueva autorización no es necesaria solo en la medida en que los usos estén estrechamente relacionados con las finalidades originales para las cuales el titular autorizó el tratamiento de sus datos.

2.3. ONU

La Organización de las Naciones Unidas (ONU) es la organización que vela por la paz y la seguridad mundiales. Creada en 1945 luego de finalizar la Segunda Guerra Mundial, esta fue la consolidación de una voluntad interestatal que vio la necesidad de asegurar que tan escatológico episodio no se repitiera. De esta forma, se firma la Carta de las Naciones Unidas el 26 de junio de 1945 para plasmar su deseo de hacer realidad un entorno mundial de paz y seguridad internacional.

En aras de preservar su objetivo, la Asamblea General aprobó las guías de privacidad y protección de datos personales en la Resolución 45/95, el 14 de diciembre de 1990(2). El origen de estas guías se encuentra en el artículo 12 de la Declaración Universal de los Derechos Humanos que reza: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación” (ONU, 1948: 12). La Resolución 45/95 es un desarrollo de tal artículo, y como tal, las guías poseen un fin radicado en la protección de los derechos humanos y se deja a un lado ansiedades comerciales sobre restricciones a la transmisión transfronteriza de datos.

El principio de finalidad de esta resolución reza:

La finalidad de un fichero y su utilización en función de esta finalidad deberían especificarse y justificarse y, en el momento de su creación, ser objeto de una medida de publicidad (…) a fin de que ulteriormente sea posible asegurarse de que: a) Todos los datos (…) siguen siendo pertinentes (...) b) Ninguno de esos datos personales es utilizado o revelado sin el consentimiento de la persona interesada, con un propósito incompatible con el que se haya especificado; c) El periodo de conservación de los datos personales no excede del necesario” (ONU 1990: principio 3. Negrillas fuera del texto).

Si bien no hace referencia alguna a la utilidad del que debe gozar el dato personal para el tratamiento, se considera que este carácter se salvaguarda mediante la necesidad de justificar la finalidad para la cual se van a tratar los datos. Los documentos ya analizados hacen hincapié tan solo en la obligación de informar la finalidad; por el contrario, la obligación de justificar implica un ejercicio argumentativo destinado a probar las razones por las cuales se requieren los datos del titular. En consecuencia, este ejercicio envuelve la necesidad de esclarecer los datos que justifiquen la finalidad, y con ello, identificar los datos adecuados para ello.

Además de lo anterior, la ONU ofrece el principio de exactitud, estrechamente ligado y complementario al de finalidad. Este dice: “Las personas encargadas de la creación de un fichero o de su funcionamiento deberían tener la obligación de verificar la exactitud y pertinencia de los datos registrados y cerciorarse de que siguen siendo lo más completos posibles a fin de evitar los errores por omisión y de que se actualicen (...)” (1990: principio 2). En principio se podría pensar que al expresar que los datos personales deben ser “lo más completos posibles”, no habría una obligación expresa de mantenerlos completos durante el tratamiento.

En contraargumento de este punto, Roos, por ejemplo, afirma que “la obligación de los responsables a asegurar la exactitud de los datos no debe ser absoluta; los responsables no deben ser requeridos a garantizar la exactitud de los datos en todo momento. La cuestión debe ser si el responsable ha tomado todas las medidas razonables para garantizar la exactitud, tomando en cuenta la naturaleza de los datos, el nivel de la tecnología disponible (...) y el costo de las medidas” (Roos, 2006: 115).

Se considera que, de todos modos, es imprescindible establecer medidas que garanticen la exactitud de los datos. Un dato incompleto llevaría a tener una imagen desorientadora del titular del dato, lo cual conduciría a prejuzgarlo a partir de una foto que no contenga toda la información importante. Esto podría acarrearle daños al titular, y por tanto, la expresión “lo más completos posibles” estipulada en este documento se ve como insuficiente para garantizar un correcto tratamiento de datos personales. Siendo la organización mundial de la protección de los derechos humanos de los individuos, se extraña la falta de claridad en este punto.

2.4. RIDPD

Consciente que el derecho al hábeas data se considera fundamental y de las regulaciones iberoamericanas sobre este derecho, la Red Iberoamericana nació “con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La Antigua, Guatemala, del 1.º al 6 de junio del 2003, con la asistencia de representantes de 14 países iberoamericanos” (RIDPD, 2014). Cada año, los miembros de la red(3) se han reunido para tratar los temas de interés acerca de la protección de datos personales tales como los derechos de los niños, datos relacionados con la salud y datos económicos.

El documento pertinente de la red para este trabajo de investigación son las “Directrices para la armonización de protección de datos en la comunidad iberoamericana” de 2008(4). En este se abordan los principios que debería contener una ley nacional de protección de datos personales y se refiere al principio de finalidad de la siguiente manera:

“Los datos únicamente podrán ser recabados y tratados para el cumplimiento de las finalidades determinadas, explícitas y legítimas relacionadas con la actividad de quien los trate. No podrán ser tratados para fines distintos de aquellos que motivaron su obtención a menos que exista legitimación suficiente para ello (...) (legitimidad del dato).

Solo podrán ser sometidos a tratamiento los datos que resulten adecuados, pertinentes y no excesivos” (...) (RIDPD, 2008: principio 2. Negrillas fuera del texto).

Un punto débil de los documentos ya analizados es la falta de caracterización de la finalidad. La Red Iberoamericana da un salto cualitativo al respecto, pues ahora se menciona que la finalidad debe ser determinada y explícita. Aberasturi las define así:

“La cualidad de “determinada” se refiere a que la finalidad ha de constituir un objetivo concreto (...) tiene que tratarse de un motivo cuyos contornos se puedan distinguir perfectamente. En algún caso la jurisprudencia ha asumido la equiparación de la cualidad de “determinada” con la de “muy específica”(5), lo cual da a entender que el grado de concreción ha de ser muy alto (...). La exigencia de que sea “explícita” se refiere a que la finalidad pueda identificarse claramente (...) es necesario que al titular de los datos se le presente la misma de forma inequívoca, sin ambigüedades ni fórmulas abstractas” (Aberasturi, 2011: 160).

Con esto, aquel marco abstracto en que de acuerdo a la OCDE y el APEC se puede mover la persona responsable se limita considerablemente. Una finalidad determinada implica que se especifiquen los usos que se le darán a los datos y una finalidad explícita hace expresa la primordial importancia que tiene el principio de libertad, precursor de todo tratamiento de datos personales. No es suficiente cualquier autorización, esta debe ser informada para que esté libre de vicios y en realidad se haya cumplido con la obtención de la legitimación, pues el titular, si bien no es el que procesa los datos, sí es el dueño de estos. No está de más dejar claro que es la dignidad de las personas la que está en juego en esta materia. A este respecto Remolina recuerda: “(...) la autorización no solo es una cuestión que determina si una persona recolectó debidamente los datos personales, sino que es crucial para establecer qué se puede hacer con la información (...) tiene un efecto simbólico y reivindicador de la dignidad humana y de la libertad de decidir de cada persona (...) Esas pequeñas cuestiones simbólicas pueden ser grandes cosas para las personas” (Remolina, 2013: 208).

Asimismo, a la naturaleza de los datos que pueden ser tratados le adiciona el deber de que sean adecuados. Eso quiere decir que el dato debe ser apropiado para los fines que se pretendan cumplir dentro del tratamiento. Si bien este adjetivo se puede confundir con el carácter de pertinencia, este último se queda corto, pues se refiere tan solo a que los datos estén relacionados con la finalidad determinada. Un dato adecuado necesariamente es útil para cumplir con la finalidad, de lo cual adolece un dato pertinente.

2.5. Autoridades de protección de datos

Cada año, las autoridades de protección de datos de todo el mundo se reúnen para abordar distintos asuntos concernientes a la privacidad y la protección de datos personales. “Su principal objetivo es generar intercambios, compartir conocimientos e impulsar proyectos de normas y regulaciones a ser adoptadas para el trabajo cooperativo entre las naciones” (Conferencia de privacidad, 2012: antecedentes). Entonces, las resoluciones formuladas en cada evento son la consolidación de las preocupaciones que existen frente al tema alrededor del mundo.

Para el caso que nos ocupa la resolución que se debe observar es la de Madrid del 2009 sobre estándares internacionales para la protección de la privacidad y de los datos de carácter personal, emitida en la 31.ª Conferencia Internacional a cargo de la Agencia Española de Protección de Datos(6). En dicha resolución, la caracterización de la finalidad se estableció en tres principios: el de finalidad, propiamente dicho, el de proporcionalidad y el de calidad del dato:

“El tratamiento de carácter personal deberá limitarse al cumplimiento de las finalidades determinadas, explícitas y legítimas de la persona responsable.

La persona responsable se abstendrá de llevar a cabo tratamientos no compatibles con las finalidades para las que hubiese recabado los datos (...) (AGPD, 2009: art. 7º).

El tratamiento de datos de carácter personal deberá circunscribirse a aquellos que resulten adecuados, relevantes y no excesivos en relación con las finalidades previstas (...) la persona responsable deberá realizar esfuerzos razonables para limitar los datos de carácter personal al mínimo necesario (2009: art. 8.º).

La persona responsable deberá asegurar en todo momento que los datos de carácter personal sean exactos, así como que se mantengan tan completos y actualizados como sea necesario” (...) (2009: art. 9.º).

Frente a este documento se ve un avance al afirmar que la persona responsable debe realizar todo lo que esté a su alcance para utilizar los datos personales al mínimo necesario. Este cambio es sustancial. De acuerdo a la Real Academia de la Lengua Española excesivo significa “que excede y sale de regla”, por su parte, mínimo significa “tan pequeño en su especie, que no lo hay menor ni igual” (RAE, 2014). Por consiguiente, la cantidad de datos que se pueden tratar si se decide interpretar el principio de finalidad como aquel que permite usar datos no excesivos son todos aquellos que de alguna u otra forma se relacionan con la finalidad autorizada y sean relevantes para poder cumplirla. En cambio, si se decide interpretar este principio como aquel que solo permite utilizar datos al mínimo necesario, ya no solo es suficiente que los datos estén relacionados con la finalidad autorizada y sean útiles; solo sería legítimo tratar los exactamente necesarios para cumplir con la finalidad. El objetivo es utilizar la menor cantidad de datos posible.

Además, también se afirma que los tratamientos deben ser compatibles con las finalidades determinadas, legítimas y explícitas para las que se hubiesen recabado los datos. Aquí la compatibilidad se refiere al tratamiento, no a la finalidad. La finalidad no puede ser distinta, lo que puede cambiar es la forma de manipular los datos. La persona responsable ya no tiene la libertad de cambiar la finalidad a lo que a su arbitrio significa “compatible”. Con ello, este documento logra salvaguardar el principio de libertad al proteger el control que el titular debe mantener sobre sus datos personales. El responsable es tan solo un administrador y transformar las finalidades para las cuales se le autorizó hacer el tratamiento abre la puerta para pasar de mero administrador a controlador.

Finalmente, este documento corrige el punto débil que se observó en las Directivas de la ONU. Aquí se estipula que se deben mantener los datos tan completos como sea necesario, no tanto como sea posible. En este documento se exige que el dato tenga una naturaleza tal que impida tener una imagen engañosa del titular, de lo cual adolece el principio de finalidad instituido por la ONU.

2.6. OEA

La Organización de Estados Americanos nació en 1948 al suscribirse la Carta de la OEA en Bogotá. Esta establece como misión de la organización constituir “un orden de paz y de justicia, fomentar su solidaridad, robustecer su colaboración y defender su soberanía, su integridad territorial y su independencia” (OEA, 1948: art. 1.º).

En materia de protección de datos personales, mediante su resolución AG/RES. 2514 (XXXIX-O/09) el Consejo Permanente de la Organización de los Estados Americanos, a través de su Comisión de Asuntos Jurídicos y Políticos, emitió los Principios y recomendaciones sobre la protección de datos personales. Antes de remitirnos a la manera cómo esta organización aborda el principio de finalidad se debe hacer mención del principio de legitimidad y justicia. Este principio aborda la justicia en el contexto del tratamiento de datos personales así: “El procesamiento de datos personales debe ser transparente. Un proceso transparente incluye notificar al interesado quién está procesando sus datos personales, si los datos serán compartidos con otros y el uso que se pretende dar a los datos” (OEA, 2011: principio 1). A partir de este es que esta organización desarrolla su principio de finalidad, al cual llama “principio de propósito específico”. Este es:

“Los datos personales deben ser procesados con un “propósito específico, explícito y legítimo”. (...) el propósito del procesamiento de los datos personales debe ser inequívoco (...) Para determinar si un nuevo propósito o divulgación es compatible con el propósito original para el cual se obtuvieron los datos, podría ser necesario determinar si el nuevo uso proyectado de los datos personales es justo y legítimo. (...) Asimismo, los datos personales no deben (...) usarse para otros propósitos que no sean los específicos para los que originalmente se recabaron y procesaron (...).

Debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario” (...) (OEA, 2011: principio 2).

La OEA hace un nuevo aporte al incluir un carácter justo del principio de finalidad. Esto significa que el responsable deba notificarle al titular del uso que se le está dando a sus datos, quién los está tratando y con quién se compartirán. En caso de cambiar la finalidad del tratamiento, no es suficiente verificar que dicha finalidad sea conexa con la originalmente autorizada, ahora se debe notificar los cambios de procesamiento que ello implicará. Además, al igual que lo expresado en la Resolución de Madrid, los datos que se deben recoger deben ser los adecuados, pertinentes y no excesivos, pero se debe hacer todo lo posible por limitarlo al mínimo necesario.

2.7. Unión Europea

Europa ha sido el continente más fructífero en materia de protección de datos personales. Inclusive, en la comunicación de la Comisión al Comité de las Regiones frente a la necesidad de un enfoque global de la protección de los datos personales se dijo que “el marco jurídico de la UE sobre esta cuestión ha servido a menudo de referencia a los terceros países para regular la protección de datos. Su incidencia y sus efectos, tanto dentro como fuera de la Unión, han revestido la mayor importancia” (Comisión Europea, 2011: 18). A continuación se presentan las entidades que han emitido documentos frente a la protección de las personas físicas en lo que respecta a sus datos personales.

2.7.1. Convenio 108/1981 del Consejo de Europa

El Consejo de Europa se conforma por todos los jefes de Estado o de Gobierno de la UE y tiene como función principal fijar el rumbo y las prioridades políticas generales de la UE, tratar las cuestiones complejas o sensibles que no puedan ser resueltas en el nivel inferior de la cooperación gubernamental y aprobar la legislación de la UE (Unión Europea, 2014).

Respecto al Convenio 108 de 1981 que esta institución suscribió el 28 de enero de 1981 en Estrasburgo, tal como lo establece su artículo primero, su objeto es garantizar en el territorio de cada Estado Parte, a cualquier persona física, el respeto de sus derechos y libertades fundamentales; concretamente, su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dichas personas. A diferencia de los demás documentos relativos al tema, este es el primer documento auténticamente vinculante para los países signatarios. De hecho, en su artículo 23 prevé la posibilidad que países ajenos a la Unión Europea se adhieran al Convenio. Su principio de calidad de los datos reza:

“Los datos de carácter personal que sean objeto de un tratamiento automatizado: (...).

b) se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades;

c) serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado;

d) serán exactos y si fuera necesario puestos al día;

e) se conservarán (...) durante un periodo de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado”.

El convenio fue modernizado en el 2012. Se adicionó un párrafo introductorio que expresa: “El tratamiento de datos será proporcionado en relación con el objetivo legítimo perseguido y reflejará en todas las etapas del tratamiento un equilibrio justo entre todos los intereses afectados, sean público o privados, y los derechos y libertades en juego”; se añadió la mención que las finalidades debían ser explícitas; en lugar de expresar que los datos se “registraban”, se expresó que estos eran “recogidos” y se cambió el verbo “usar” por “procesar”.

Ahora que los datos se deben “recoger para finalidades explícitas”, la convención da cuenta de la importancia que tiene el titular del dato personal en el tratamiento de sus datos, importancia que no puede dejar de lado el responsable. Recuérdese que el fin de este derecho fundamental es materializar el control que el titular debe ejercer sobre sus propios datos personales. “Registrar” tan solo evoca la inscripción de datos personales en una base de datos, pero este únicamente es el final del procedimiento de legitimación. El primer paso es precisamente la recolección, el cual implica la autorización del titular. La obligación de que la finalidad deba ser explícita cohesiona lo anterior al prever que la autorización deba ser informada para salvaguardar la dignidad del titular, base sobre la cual se edifica este derecho fundamental.

No obstante, el párrafo adicional del artículo 5.º de esta convención presenta la otra cara de la moneda del tratamiento de datos personales: el interés general. Está claro que la autorización de las personas es esencial en esta materia, pero este no es un derecho omnipotente. Los derechos de la persona en ningún momento pueden menoscabar el buen funcionamiento de la sociedad. Hay infinidad de razones por las que se procesan datos personales, y muchas de ellas van en contra de los intereses de los mismos titulares para buscar un fin ulterior. Piénsese, por ejemplo, en la lucha contra el terrorismo o el mantenimiento de la seguridad nacional. El caso S. y Marper contra el Reino Unido (2008) fue el ejemplo para determinar la necesidad de hacer explícita la obligación de hacer un tratamiento equilibrado entre intereses. En esta sentencia se estableció que si bien la retención de muestras de ADN y huellas dactilares de quienes se les iniciaba un proceso penal era esencial para prevenir el crimen, dicha retención no podía vulnerar el derecho al respeto de la vida privada siendo arbitraria e ilimitada. Dicha retención debía estar determinada mediante factores como la edad del titular, la gravedad del delito y el hecho de si el titular había sido solo acusado o también condenado (Tribunal Europeo de Derechos Humanos, 2008).

Finalmente, frente al cambio del verbo “usar” por el verbo “procesar”, este fue producto de la recomendación de la Asociación Europea de Privacidad a la hora de actualizar la convención. A su consideración, se debía extender el alcance del artículo a todo procesamiento de datos (Consejo de Europa, 2011: 13). Tratar datos personales implica recolectar, almacenar, disociar y transmitir, entre otras, operaciones que no necesariamente están incluidas dentro del verbo “usar”. Por tanto, la recomendación de esta asociación es totalmente pertinente para regular unas acciones que cada vez se diversifican más con la evolución de la tecnología, la cual se debe ver como una herramienta capaz de mejorar su calidad de vida en lugar de como un ente al cual sujetarse sin poder hacer nada.

2.7.2. Directiva 95/46 del Parlamento y el Consejo Europeo

La Directiva 95/46 surge como una manera de ampliar los principios y derechos incorporados en el Convenio 108 y se convierte en la principal medida comunitaria creada en materia de protección de datos (Rueda, 2012: 30). A pesar de no ser un tratado legalmente vinculante, sí obliga a los Estados miembros de la Unión Europea a cumplir con su contenido mediante la regulación nacional que les parezca más adecuada (Puente, 2011). Al principio de finalidad lo define como:

“1. Los Estados miembros dispondrán que los datos personales sean (...).

b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines (...).

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos (...) sean suprimidos o rectificados;

e) conservados (...) durante un periodo no superior al necesario” (...) (Consejo de Europa, 1995: art. 6.º).

Al igual que el Convenio 108 de 1981, la directiva reúne los principios de finalidad, pertinencia y veracidad en el principio de “calidad de los datos”. Asimismo, como se establece en la Resolución de Madrid del 2009, prohíbe el cambio de finalidad por parte del responsable, lo que puede cambiar es la manera de procesar los datos personales siempre y cuando sea compatible con la finalidad.

Este documento deja a un lado la necesidad de mantener la recolección de datos al mínimo necesario para cumplir con la finalidad establecida para contentarse con que los datos recabados no sean excesivos, que, como ya se vio, significa una menor protección al titular. Sin embargo, al igual que la Resolución de Madrid del 2009, adiciona un elemento a la necesidad de que los datos sean completos con respecto a lo expresado por la Directiva 45/95 de la ONU. Esto, porque establece que el responsable debe realizar todo lo posible por suprimir o rectificar los datos personales incompletos. Finalmente, no se detiene en la mera obligación de mantenerlos lo más completos posible; cuando no se puedan mantener de dicha forma, se deben suprimir para evitar daños potenciales al titular.

2.7.3. Reglamento general de protección de datos

La Directiva 95/46 pronto será derogada por la propuesta que en este momento está siendo aprobada en el seno de la Unión Europea, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. La propuesta hecha por la Comisión Europea ya fue aprobada por el parlamento(7) y ahora solo falta que los jefes de Estado de la Unión acuerden una posición común frente a la propuesta.

El texto relativo al principio de finalidad aprobado por el Parlamento Europeo quedó así:

“1. Los datos personales serán (...).

b) recogidos con fines determinados, explícitos y legítimos, y no tratados posteriormente de manera incompatible con dichos fines (limitación de los fines);

c) adecuados, pertinentes y limitados al mínimo necesario (...).

d) exactos y, cuando sea necesario, se mantendrán actualizados (...).

e) conservados durante un periodo no superior al necesario”.

El único cambio notable con respecto a la Directiva 95/45 es el reemplazo del tratamiento de datos “no excesivos” a “limitados al mínimo necesario”. De esta forma, el futuro reglamento general es el único documento emitido por una entidad internacional que prevé la obligación de limitar los datos al mínimo necesario y mantener incólume la finalidad inicial, posibilitando solo el cambio del procesamiento de datos si este es compatible con la finalidad. Por ende, este es el documento que presenta una interpretación más íntegra y proteccionista del principio de finalidad.

2.8. Conclusiones frente a las distintas maneras de abordar el principio de finalidad por parte de las entidades internacionales

En gran medida, las funciones de la entidad internacional determinan su visión frente a cómo se debe abordar el principio de finalidad del dato personal. Así, la OCDE y APEC, quienes tienen como misión el desarrollo económico, propenden por una mayor libertad de la persona responsable. La finalidad tan solo debe especificarse y los datos que se pueden recolectar únicamente deben estar relacionados con la finalidad, sin que tenga que detenerse a verificar si son realmente necesarios. Incluso, en lo que respecta a APEC, este foro considera que no es necesario notificarle al titular cuando se cambie la finalidad del tratamiento si esta, a juicio del responsable, es compatible con la finalidad originalmente especificada.

Se extraña que la ONU, quien se concentra en la protección de los derechos de los individuos, solo mejore dicha protección mediante el deber de justificar la finalidad para la cual se tratarán los datos personales. La manera en que aborda este principio se queda corta y deja muchos aspectos sin tocar, prácticamente al azar. Se limita a expresar que los datos deben ser pertinentes, no delimita la naturaleza de la finalidad que debe justificarse y, como ya se criticó, no aduce qué debe hacerse cuando un dato esté incompleto.

Otra es la situación con los documentos que han surgido del encuentro de representantes tanto públicos como privados de los países iberoamericanos y de las autoridades de protección de datos a nivel mundial. En el desarrollo que estas dos entidades hacen del principio en estudio se establece que la finalidad debe ser determinada, legítima y explícita. En cuanto a la naturaleza del dato, este debe ser exacto, adecuado y no excesivo. Respetando la libertad y el control al que tiene derecho el titular sobre sus datos, mantiene incólume la finalidad original para la cual se recogieron los datos, y en caso de la Resolución de Madrid, hace explícita la posibilidad de que se cambie la forma de tratar los datos siempre que sean compatibles con la finalidad, y llama a hacer el esfuerzo por limitar la recolección de los datos al mínimo necesario.

Consideramos que estas entidades recomiendan darles mayores garantías a los titulares de los datos porque sus documentos son el resultado de la conciliación entre diversos actores con intereses diversos, por lo tanto, una visión más equilibrada del tratamiento de datos personales es deducible.

Algo similar ocurre en el caso de la OEA. Dentro de los pilares sobre los cuales realiza sus funciones se encuentra la democracia y los derechos humanos, además del desarrollo de la región. Estos pilares llevan a ligar el cambio de finalidad a la determinación de que esta sea justa, es decir, esta organización pretende que se notifique al titular a la hora de cambiar la finalidad.

Finalmente, como ya se mencionó, en definitiva la Unión Europea es quien con mayor escrutinio ha desarrollado el principio de finalidad.

Los documentos ya analizados se concentran en el equilibrio que debe existir entre la protección de datos personales y la libre circulación de estos. Con esto se deja de lado que el ámbito de la protección de datos es mucho más conflictivo que una pugna entre intereses privados.

El Convenio 108 de 1981, en cambio, cristaliza el equilibrio que debe haber entre intereses mientras se tratan datos personales porque da cuenta que, en ciertas ocasiones, a los entes que velan por este derecho les tocará lidiar con intereses que conciernen a toda la sociedad. Por su parte, el futuro Reglamento que entrará a regir el contenido de las leyes nacionales del continente europeo es el único que obligará a mantener la recolección de los datos al mínimo necesario y mantener incambiable la finalidad inicial.

3. Regulación nacional sobre el principio de finalidad

La Ley 1581 del 2012 reza: “El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular” (L. 1581/2012; art. 4-b).

Por su parte, el Decreto Reglamentario 1377 del 2013 dice: “En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del titular” (D.R. 1377/2013, art. 4.º). Complementando lo anterior, Remolina dice: “las actividades de acopio, procesamiento y divulgación de la información personal deben obedecer a un fin constitucionalmente legítimo y que, a su vez, debe ser definido de forma clara, suficiente y previa” (Remolina, 2013: 183). Además, la Corte Constitucional advierte que la finalidad no solo debe ser legítima, sino que también “la referida información se destinará a realizar los fines exclusivos para los cuales fue entregada por el titular (...) Asimismo, los datos personales deben ser procesados solo en la forma que la persona afectada pueda razonablemente prever” (C. Const. C-748/2011: J.I. Pretelt).

A partir de lo anterior, esta corporación entiende este principio desde dos aspectos: primero, los datos deben ser almacenados de tal manera que se pueda identificar al interesado durante el periodo estricto en el que el dato sea pertinente para el fin por el que se está tratando. Segundo, los datos recolectados deben ser los estrictamente necesarios para el cumplimiento de las finalidades por las que están en la determinada base de datos; por tanto, “se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos”. Con esto, termina concluyendo que “los datos deberán ser (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos” (C. Const. C-748/2011: J.I. Pretelt).

Como una consecuencia de esta directriz se encuentra el principio de utilidad. En virtud de este principio, en ausencia de un tratamiento de datos personales útiles para la finalidad, se está ante un abuso del derecho. En la Sentencia T-119 de 1995 la Corte Constitucional se refirió a este principio ordenando que se debe “cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable” (C. Const. T-119/95: J.G. Hernández).

En conclusión, la legislación colombiana frente al tema en estudio se asemeja a los documentos internacionales más proteccionistas del principio de finalidad. Los datos personales sujetos a tratamiento, además de ser pertinentes, deben ser los estrictamente necesarios; lo que implica que deben ser útiles y no meramente relacionados con la finalidad. Igualmente, la finalidad debe ser definida de manera suficiente y previa con el fin de salvaguardar el principio de libertad. Finalmente, en lo que tiene libertad el responsable del tratamiento es en la forma de procesamiento de los datos mas no en la finalidad misma. Esto se deduce de la afirmación de que “los datos personales deben ser procesados solo en la forma que la persona afectada pueda razonablemente prever” por parte de la Corte Constitucional.

Ahora que se tiene un cuadro completo y crítico del principio de finalidad gracias al análisis de lo estipulado nacional e internacionalmente, ya es posible aplicarlo al intercambio automático de información tributaria.

4. El intercambio automático de información a la luz del principio de finalidad

El intercambio de información nació como un artículo de los convenios para evitar la doble tributación(8). La OCDE desarrolló un modelo de convenio tributario sobre la renta y el patrimonio en el que el artículo 26 correspondía al intercambio de información(9). Esta misma cláusula luego evolucionaría a ser un acuerdo de cooperación autónomo, pues esta herramienta debía aplicarse “incluso en el caso de que no se trate de la aplicación concreta de un artículo del convenio” (OCDE, 2006: 414).

Ahora bien, el intercambio a solicitud supone que el país requirente mande una solicitud al país requerido que contenga la información necesaria para identificar al contribuyente. La manera espontánea supone que un Estado envíe información a la otra parte sin necesidad de solicitud, luego de verificar que dicha información es necesaria para la correcta aplicación del Derecho interno de dicha parte respecto a sus aspectos tributarios. Al intercambio automático la OCDE lo define como:

“Información que comprende muchos casos individuales del mismo tipo, que consisten, generalmente, en rentas que proceden de fuentes situadas en el país de la fuente (...). Esta información es obtenida de forma rutinaria por el país que la remite (generalmente, a través de las declaraciones de los pagadores), quedando, de este modo, disponible para su transmisión a los países con los que haya suscrito un tratado. Normalmente, las autoridades competentes interesadas en el intercambio automático acordarán, de forma anticipada, el tipo de información que deseen intercambiar bajo esta modalidad de intercambio” (OCDE, 2006: 7).

Básicamente, este intercambio implica que los datos se transfieran de una autoridad administrativa a otra sin necesidad de una solicitud que especifique la identidad de la persona sometida a inspección, la naturaleza de la información que se requiere o la finalidad fiscal para la que se solicita la información. Una gran masa de datos personales de contribuyentes, sin importar sus hábitos tributarios, pasan de una base de datos a otra en países distintos. La consecuencia necesaria de este procedimiento es la eliminación de investigación previa y la obligación de notificar al contribuyente.

Como se puede observar, este tipo de intercambio presenta mayor eficacia que los intercambios a solicitud y espontáneos. Por ello es que en julio del 2013 los ministros financieros y directivos de los países del G20, el grupo de los países industrializados y emergentes, afirmaron que estaban comprometidos con hacer del intercambio automático de información el nuevo estándar global (G20, 2013: 4).

Colombia ha suscrito doce convenios para evitar la doble imposición(10). Además, el 1.º de julio del 2014 entra en vigencia un acuerdo de intercambio automático de información con los Estados Unidos (L. 1666/2013) junto con un acuerdo Fatca (Foreign Account Tax Compliance Act) con el mismo país. Mediante este acuerdo los bancos y entidades financieras colombianas adquirirían la obligación de reportarle al Servicio Interno de Impuestos de EE. UU. todas las cuentas financieras que tengan de contribuyentes norteamericanos (Departamento del Tesoro de Estados Unidos, 2014). Estos instrumentos suponen la utilización del intercambio automático, pero si Colombia quiere aplicarlos, deben estar acordes con la legislación que tiene sobre el derecho al hábeas data. Como se verá a continuación, el intercambio automático suscita ciertos problemas frente al principio de finalidad que hace imposible su aplicación.

4.1. Expediciones de pesca

En la revisión del 2005 al Modelo de Acuerdo de Información Tributaria, la OCDE eliminó la obligación de intercambiar información “necesaria” para hacerlo solo con la “previsiblemente relevante”. Para esta organización esto en nada viola el principio de finalidad porque no alcanza a abrirle la puerta a lo que se ha denominado “expediciones de pesca”, es decir, ejecutar solicitudes de información especulativas que no tienen nexo alguno con una investigación o fiscalización en proceso (Arias, 2010). Para demarcar el alcance de este punto, en la revisión del 2012 arguyó que “a request for information does not constitute a fishing expedition solely because it does not provide the name or address (or both) of the taxpayer under examination or investigation (...) However (...) the requesting State must include other information sufficient to identify the taxpayer” (OCDE, 2012: 6).

Se piensa que esta organización se contradice al argumentar por qué el intercambio de información previsiblemente relevante no constituye una “expedición de pesca”. Advierte que el hecho de no proveer el nombre o dirección del contribuyente no constituye una expedición de pesca, pero de todas maneras deberá proveer información suficiente para identificar al contribuyente bajo investigación. Si esto es así, los datos personales de los centenares de contribuyentes que no evaden impuestos que se intercambiarían sistemáticamente no entran dentro del requisito que esta misma organización da para no caer en una expedición de pesca. La razón de esto es la falta de utilidad de los datos de estos contribuyentes para perseguir el fraude y la evasión fiscal. El Estado debe proveer información suficiente para identificar al contribuyente bajo investigación o inspección, pero este grupo de contribuyentes no cumpliría con el requisito de estar bajo la mirada inquisitiva del Estado; por tanto, la existencia de una expedición de pesca en este ámbito es inevitable.

La contradicción de la OCDE encuentra asidero en lo que esta ha considerado la definición del principio de finalidad del tratamiento de datos personales. Se recuerda que para esta organización la finalidad se puede modificar sin necesidad de la autorización del titular del dato personal siempre y cuando esté en conexidad con los fines para los cuales se recogieron los datos. Además, no hace mención alguna sobre la obligación de que el dato sea necesario o no excesivo.

No obstante, las recomendaciones de la OCDE no son vinculantes para los Estados. Por más que se desee implementar este mecanismo, los Estados están en la obligación de observar si es acorde con su legislación interna. Desafortunadamente, se ve que el derecho al hábeas data abarca muchos más conflictos que los concernientes al ámbito económico; por ende, es muy probable que la interpretación que hace la OCDE del principio de finalidad se quede corta para estar de acuerdo con las distintas legislaciones. Precisamente, en este caso específico, el principio de finalidad adquiere especial importancia porque las administraciones tributarias no requieren del consentimiento del titular para tratar sus datos; entonces, estas deben observar este principio con especial cuidado:

“(...) especialmente en los tratamientos realizados por las administraciones públicas, (...) el principio de la finalidad alcanza mayor importancia, pues se convierte en la principal garantía para el titular de los datos de que el tratamiento se va a realizar respetando sus derechos fundamentales. En la medida en que una persona conoce que sus datos van a ser empleados para el cumplimiento de un fin concreto se asegura de que la información será manipulada en un ámbito determinado” (Souviron, 1994: 135).

Uruguay, por ejemplo, rechaza este intercambio porque “en primer lugar, la ley exige que se acrediten los antecedentes y fundamentos que justifiquen la relevancia de la información solicitada (...). Asimismo, la norma indica que las solicitudes deben ser expresas y fundadas por parte de la autoridad competente de un Estado extranjero. Estas exigencias que se imponen al juez uruguayo (...) parecen incompatibles con el formato estandarizado que la OCDE asigna a este tipo de intercambio” (Cervini, 2012: 237).

Suiza, a pesar de haber aceptado aplicar el intercambio automático, “limita la asistencia administrativa a aquellos casos en que esta se justifique y como respuesta a una demanda expresa. En el mismo sentido se excluyen las medidas dirigidas a buscar pruebas de forma masiva” (2012: 231). En suma, la aceptación del intercambio automático de información por parte de este Estado es meramente formal, hecho que ha sido dilucidado por la Unión Europea (Sánchez, 2011). Otros países que comparten esta posición son Luxemburgo, Andorra y Austria, entre otros.

A nuestra consideración, efectivamente el intercambio automático de información trae consigo el ejercicio de “expediciones de pesca”, violando así el principio de finalidad ligado al de utilidad y necesidad del tratamiento de datos personales. En una pesca, en aras de conseguir al pez más grande, seguramente el pescador se topa con peces pequeños sin importancia. A pesar de regresarlos al agua, el anzuelo ya ha herido sus bocas, ya el daño está hecho. Análogamente, el Estado busca entre una gran masa de contribuyentes a quienes evaden impuestos cuando es beneficiario de un intercambio automático. En aras de encontrar a los evasores fiscales, el Estado hiere previamente a los contribuyentes que no presentan razones para iniciarles una investigación. Aquellos datos personales no necesarios o no útiles son devueltos al agua luego de haberlos herido con el anzuelo. Con esto se deja de lado las cualidades de las que deben gozar los datos personales: ser adecuados, pertinentes y no excesivos. A pesar de regresarlos al agua, ya el daño está hecho.

4.2. Posibilidad de oponerse a este tratamiento de datos personales

Los derechos en cabeza del titular del dato conforman unos mínimos indispensables del núcleo esencial del Derecho a un correcto tratamiento de los datos personales además de ser “motor importante para mover adecuadamente todos los aspectos que involucra el tratamiento de los datos” (Remolina, 2013: 225). Los derechos que nuestra Corte Constitucional vio como imprescindibles fueron:

“(i) El derecho de las personas a conocer —acceso— la información que sobre ellas está recogida en bases de datos (...) (ii) el derecho a incluir nuevos datos con el fin de (sic) se provea una imagen completa del titular, (iii) el derecho a actualizar (...) (iv) el derecho a que la información contenida en bases de datos sea rectificada o corregida (...) (v) el derecho a excluir información de una base de datos, bien porque se está haciendo un uso indebido de ella, o por una simple voluntad del titular, salvo las excepciones previstas en la normativa” (C. Const. C-748/2011: J.I. Pretelt).

Hablando específicamente del derecho de oposición, en el caso colombiano fue mencionado en la Sentencia C-748 del 2011 cuando la honorable Corte revisó el literal e) del artículo 8.º de la Ley 1581 del 2012(11), relativo al derecho de revocación de la autorización y/o supresión del dato por parte del titular(12).

Luego de invocar lo que los documentos internacionales sobre protección de datos personales han establecido acerca del derecho en comento(13), afirmó: “se observa entonces que el derecho a la oposición implica la posibilidad, en cabeza del titular del dato, de solicitar su supresión incluso por razones personales, a menos que exista una disposición legal que lo obligue a que su dato personal permanezca en la base de datos”. Por consiguiente, “tal y como está redactado el artículo 8.º, una vez el titular del dato ha prestado su consentimiento para el uso de su información, nunca podría revocarlo, a menos que el responsable o encargado, haya hecho un uso indebido del mismo”.

Lo anterior lo concluyó de la necesidad de que (i) se viole alguno de los principios relativos a la protección del dato personal, o (ii) el responsable o encargado haya incurrido en conductas contrarias a la ley o a la Constitución. A partir de esta observación, la Corte Constitucional concluyó que “en consecuencia, el literal e) debe ser entendido en el sentido de que el titular podrá revocar la autorización y solicitar la supresión del dato cuando (...) en virtud de la solicitud libre y voluntaria del titular del dato, cuando no exista una obligación legal o contractual que imponga al titular el deber de permanecer en la referida base de datos”.

Gracias a lo establecido por la Corte Constitucional luego de seguir de cerca el desarrollo del derecho de oposición en los documentos internacionales frente al tema, los contribuyentes que no han evadido impuestos o cometido fraude fiscal podrían argumentar que con el intercambio automático de información se violaría el principio de finalidad y necesidad, ya que sus datos de nada le sirven a las autoridades competentes a perseguir el fraude fiscal. Por tanto, se haría imperioso prohibir el intercambio internacional de sus datos personales. Esto porque, como se deduce de los preceptos internacionales y nacionales anteriormente citados que vislumbran el tratamiento, solo a los datos pertinentes, necesarios, no excesivos, etc., se ve vulnerado su derecho de oposición en conexidad con el principio de finalidad/necesidad por dos razones: (i) el intercambio de sus datos personales no tiene utilidad alguna en la persecución del fraude y la evasión fiscal, y (ii) no puede solicitar que no se intercambien sus datos porque el intercambio se realiza de manera automática y periódica.

Se podría argüir que el titular no tendría qué reclamar porque, al fin y al cabo, las autoridades administrativas extranjeras, a pesar de tener acceso a sus datos, no usarán sus datos para iniciarle una investigación; pero dicho argumento se asemeja a la metáfora nazi de la que hablaba Stefano Rodota. Esta se trata de “la idea de un Estado que puede adueñarse por entero de la vida de las personas, que frente a sí no tiene ciudadanos sino súbditos (...) si una persona quiere preservar ciertas informaciones sobre sí mismo, se convierte, según el Estado, en ‘alguien que tiene algo que esconder’” (Rodota, 2003: 15-16).

En el mismo sentido, José Luis Piñar dice: “Desde luego es cierto que haya quien (...) considera que el exceso de privacidad es contraproducente para la sociedad y (...) aboga por un mayor peso del interés general. Pero aun así no es exagerado afirmar (...) que la dignidad y la libertad están en juego (...). No podemos perder nuestra privacidad como consecuencia de la implantación de nuevas tecnologías” (Piñar, 2008: 20). Esto porque “la privacidad es condición indispensable para poder afirmar que una sociedad es democrática y respetuosa con los derechos fundamentales”(12).

Finalmente, al momento de constituir el Convenio 108 de 1981 se dijo que “las Partes Contratantes podían derogar los principios de la Convención 108 en aras de proteger la seguridad, los intereses económicos, la prevención del crimen, al titular del dato o los derechos y libertades de terceros” (Chalton, 1983: 43). No obstante, uno de los elementos que se buscaron con la actualización del Convenio 108 de 1981 fue establecer un equilibrio entre intereses privados y el interés general, no la preponderancia absoluta del último.

Por ende, las administraciones tributarias no deben dejar de lado la necesidad de hacer lo posible por mantener al mínimo necesario los datos que se tratan para perseguir la evasión fiscal y que la manera de procesarlos no se aleje de esta. La violación se da cuando el diseño del intercambio no posibilita limitar el tratamiento de datos al mínimo necesario, o por lo menos, a los datos no excesivos para perseguir la evasión fiscal, lo cual es imposible aplicando el intercambio automático.

4.3. Violación del principio de legalidad

Respecto a este principio, la Ley 1581 del 2012 menciona en su artículo 4.º: “El tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen” (L. 1581/2012, art. 4.º, num. 1.º).

Ya se ha visto que el principio de finalidad, en conexión con los principios de necesidad y utilidad que lo complementan, forman un todo íntegro que se viola con el intercambio automático de información. Por consiguiente, el principio de legalidad se ve violado al no cumplirse con todos los preceptos que exige el artículo 4.º de la LEPD. La conclusión forzosa de este análisis es que el intercambio automático de información es ilegal, Colombia no podría aplicarlo sin incumplir con la regulación que tiene frente a la protección de datos personales.

5. Hacer evolucionar la teoría

Esto pone de manifiesto el vacío gigante que presenta el intercambio automático de información. En palabras de Saccheto, “con toda probabilidad, la protección del contribuyente constituye el aspecto más débil del intercambio de información” (Sánchez, 2011: 72). En ese caso, ¿por qué este intercambio ha tenido tanta acogida? Creemos que es porque el imaginario que se tiene hoy frente al tema es que la protección de datos personales va en contravía de la eficacia del intercambio automático(14). Y es que el salto cualitativo que tiene este tipo de intercambio frente al solicitado y el espontáneo es abismal.

Por ejemplo, el Programa de Conformidad Fiscal 2004-05 de la Oficina de Impuestos de Australia (ATO) señala que en el año fiscal 2003-04 se realizaron 1.171 auditorías con cruce de datos de rentas de fuente extranjera, poniendo de manifiesto deudas tributarias por encima de los tres millones de dólares australianos (OCDE, 2006: 3). Cuando se tiene la pérdida suntuosa de ingresos y el interés general por un lado; y del otro los derechos de los contribuyentes, muchos de ellos faltos a su deber, todo Estado pondría la balanza a favor del combate contra el fraude.

No obstante, se considera que este imaginario es erróneo y desmedido tratándose de la suerte de un derecho fundamental. Por esa razón, se piensa que el imaginario que hoy subsiste debe sustituirse por la creencia que el desarrollo del intercambio automático de información tributaria y la protección de datos personales de los contribuyentes deben ir de la mano. Para lograr esto, el intercambio automático, en lugar de ser un modelo autónomo, debería ser la culminación del proceso de intercambio.

La primera fase de este modelo propuesto es una colaboración basada en intercambios a solicitud y/o espontáneos. Estos intercambios suponen una investigación previa, luego, los datos personales que se intercambiarían serían los adecuados, pertinentes y no excesivos para combatir el fraude y la evasión fiscal.

Para intercambiar estos datos personales se le puede notificar al interesado para salvaguardar el derecho al debido proceso, pero en ningún momento puede afectar la eficacia del intercambio. Al respecto, se pronunció la OCDE al revisar en el 2005 el literal a) del apartado 3 del artículo 26 de su modelo de convenio para evitar la doble imposición(15). En dicha oportunidad afirmó que los procedimientos de notificación no pueden ser aplicados de tal manera que frustren los esfuerzos del Estado requirente por obtener información tributaria de la otra parte contratante (2005: 14). Con respecto a lo anterior se hace un llamado a lo que la OEA ha denominado un tratamiento justo, que precisamente hace referencia a notificarle al titular el uso que le están dando a sus datos.

A lo largo de los continuos intercambios se puede consolidar una base de datos que muestre diferentes perfiles de contribuyentes. Los contribuyentes con las características propias de un individuo que podría estar sujeto a una investigación entrarían a ser parte del perfil al que se le aplicaría un intercambio automático de información. Si el contribuyente considera que tiene las pruebas para no ser parte de este perfil, se le deben dar las garantías necesarias para que pueda ejercer su derecho de oposición adecuadamente. La autoridad competente para realizar intercambios de información debe poseer políticas claras frente al procedimiento que debe seguir el contribuyente ante la entidad para oponerse.

Para el caso colombiano, recuérdese que la Corte Constitucional, al hablar acerca del principio de transparencia, advirtió que el responsable debe ofrecerle al interesado cómo puede ejercer cualquier derecho que le otorgue la legislación sobre la protección de datos. El Decreto 1377 del 2013, por su parte, complementa este principio estableciendo la obligatoriedad de desarrollar políticas de tratamiento de datos. Por ello es que la Dirección de Impuestos y Aduanas Nacionales (DIAN) —la entidad competente para realizar el intercambio de información tributaria— debe asumir su función cumpliendo con el principio de transparencia del tratamiento de datos personales con el fin de perfeccionar este modelo.

De esta manera se cumpliría con el principio de finalidad al intercambiar solo datos personales necesarios, pertinentes y útiles, con lo que países renuentes como Uruguay, Suiza y Austria, entre otros, accederían a firmar acuerdos de intercambio automático de información. Con la aceptación de estos países a utilizar este mecanismo, el fin de hacer del intercambio de información una herramienta realmente eficaz no se vería frustrada al afianzar la cooperación internacional. Al fin, el sueño de convertirlo en el estándar global de intercambio se haría realidad. En el caso colombiano, esto abriría la puerta a mejorar los instrumentos del fraude y la evasión fiscal contemplados en los convenios para evitar la doble imposición y los futuros acuerdos de intercambio de información con Estados Unidos junto con el Acuerdo Fatca, sin tener que violar el derecho fundamental a la protección de datos personales.

Conclusión

El intercambio automático de información es esencial para mejorar la eficacia de las herramientas a la mano de los Estados para combatir el fraude y la evasión fiscal. Sin él, sus fiscos se verán afectados, y en consecuencia, los países perderán recursos valiosos. A pesar de su importancia, este intercambio presenta defectos dentro del marco de un debido tratamiento de datos personales. Para superar estos problemas, se propone hacer del intercambio automático de información la culminación de un proceso complejo de cooperación en el que previamente se hayan hecho intercambios solicitados y/o espontáneos; en lugar de implementarlo como un mecanismo autónomo. Esta nueva forma de ver al intercambio automático de información tendría dos consecuencias importantes. Primero, erradicaría la violación del principio de finalidad y necesidad del tratamiento de datos personales, y segundo, los países renuentes accederían a aplicarlo, afianzando la cooperación internacional y ayudando a que este eficaz intercambio se establezca como estándar global.

Colombia es uno de los 44 países que se ha comprometido a utilizar este intercambio. Si no desea contrariar la regulación que ha adoptado frente al tratamiento de datos personales, no puede aplicarlo tal como lo recomienda la OCDE. La propuesta aquí planteada es la que se considera la apropiada para conciliar los derechos fundamentales de los colombianos con la necesidad del Estado de recuperar los ingresos que pierde por causa de la evasión fiscal. Se espera que, efectivamente, sea una propuesta capaz de solucionar la problemática planteada.

Bibliografía

ABERASTURI, Unai (2011). Los principios de la protección de datos aplicados en la sanidad. Bilbao: Euskal Herriko Unibertsitatea.

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (2009). Resolución de Madrid.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/conferencias/common/pdfs/31_conferencia_internacional/estandares_resolucion_madrid_es.pdf 

APEC (2004). APEC Privacy Framework.

http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/APECPrivacyFrameworkOct-2004.pdf 

APEC (2014). Electronic Commerce Steering Group.

http://www.apec.org/Groups/Committee-on-Trade-andInvestment/Electronic-Commerce-Steering-Group.aspx 

ARIAS, Isaac Gonzalo (2010). Intercambio de información y las expediciones de pesca.

http://www.ciat.org/index.php/es/blog/item/8-intercambio-de-informaci%C3%B3n-y-las-expediciones-de-pesca.html 

CERVINI, Raúl (2012). Secreto bancario y la evasión fiscal internacional: fisco y derecho a la intimidad. Las presiones de la OCDE acuerdos de intercambio de información. Montevideo: Euros.

CHALTON, Simon (1983). Data and the Individual. London: Dibb Lupton.

COMISIÓN DE ASUNTOS FISCALES DE LA OCDE (2006). Manual para la aplicación de las disposiciones relativas al intercambio de información con fines tributarios.

http://www.oecd.org/tax/exchange-of-tax-information/41814449.pdf 

COMISIÓN DE EXPERTOS EN COOPERACIÓN INTERNACIONAL EN MATERIA TRIBUTARIA (2005). OECD’s work on improving exchange of information. Génova: Consejo Económico y Social de las Naciones Unidas.

COMISIÓN EUROPEA (2012). Propuesta de reglamento general de protección de datos del Parlamento Europeo y del Consejo de 2012.

http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012: 0011:FIN:ES:PDF

— (2014). Trabajo de la Comisión Europea.

http://ec.europa.eu/atwork/index_es.htm 

34ª CONFERENCIA INTERNACIONAL DE AUTORIDADES DE PROTECCIÓN DE DATOS Y PRIVACIDAD (2012). Antecedentes.

http://privacyconference2012.org/espanol/sobre-la-conferencia/antecedentes 

CONGRESO DE LA REPÚBLICA (2012). Ley 1581.

http://www.lexbasecolombia.net.ezproxy.uniandes.edu.co:8080/lexbase/normas/leyes/2012/l1581de2012.htm 9/03/2014

CONSEJO DE EUROPA (1981). Convenio 108.

http://habeasdatacolombia.uniandes.edu.co/wpcontent/uploads/Convenio108-19811.pdf 

— (1995). Directiva 95/46.

http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX: 31995L0046:es:HTML

— (2011). Reporte de la consulta en la modernización de la Convención 108 para la Protección de personas físicas en lo que respecta al procesamiento automático de datos personales. Estrasburgo.

http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD-BUR_2011_10_en.pdf 

CORTE CONSTITUCIONAL (1995). Sentencia T-119. M.P. Jorge Gregorio Hernández.

— (2011). Sentencia C-748. M.P. Jorge Ignacio Pretelt.

DELEGACIÓN PERMANENTE EN MÉXICO DE LA OCDE (2014). Historia de la OCDE.

http://mision.sre.gob.mx/ocde/index.php?option=com_content&view =article&id=169%3Ahistoria-de-la-ocde&Itemid=176&lang=es

DIRECCIÓN GENERAL DE RELACIONES ECONÓMICAS INTERNACIONALES (2014). ¿Qué es APEC? Chile.

http://www.direcon.gob.cl/apec/ 

GARCÍA, Pío (1997). APEC como instrumento de la proyección colombiana en el pacífico. Bogotá: Uniandes.

http://colombiainternacional.uniandes.edu.co/view.php/257/index.php?id=257 

GOZAÍNI, Alfredo (2001). Hábeas data, protección de datos personales. Doctrina y jurisprudencia. Buenos Aires: Rubinzal-Culzoni.

G20 (2013). G20’s Leaders Declaration. Rusia.

file:///D:/Downloads/Saint_Petersburg_Declaration_ENG.pdf

LEXDIARIO (2014). 44 países y territorios acuerdan el intercambio automático de información fiscal en 2017.

http://www.lexdiario.es/noticias/227116/44-paises-y-territorios-acuerdan-el-intercambio-automatico-de-informacion-fiscal-en-2017 

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES (2013). Decreto 1377.

http://www.mintic.gov.co/portal/604/articles-4274_documento.pdf 

NACIONES UNIDAS (1990). Resolución 45/95 de las Naciones Unidas.

http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/45/95&Lang=E&Area=RESOLUTION 

OCDE (2012a). Modelo de convenio tributario sobre la renta y el patrimonio.

www.estrategiafiscal.net/wp-content/uploads/2011/09/Modelo-de-Convenio-Tributario-sobre-la-Renta-y-el-Patrimonio-Versi%C3%B3n-Abreviada-2010-ESPA%C3%91OL.pdf 

— (2012b). Revisión del convenio tributario sobre la renta y el patrimonio.

http://www.oecd.org/ctp/exchange-of-tax-information/120718_ Article%2026-ENG_no%20cover%20(2).pdf

— (2014). Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales.

http://www.oecd.org/sti/ieconomy/15590267.pdf 

ORGANIZACIÓN DE ESTADOS AMERICANOS (2011). Principios y recomendaciones sobre la protección de datos (la protección de datos personales).

http://www.oas.org/dil/esp/CP-CAJP-2921-10_rev1_corr1_esp.pdf 

— (2014). Qué Hacemos.

http://www.oas.org/es/acerca/que_hacemos.asp 

PARLAMENTO EUROPEO (2014). Poderes y Procedimientos.

http://www.europarl.europa.eu/aboutparliament/es/007c895f4c/Poderes-y-procedimientos.html 

RED IBEROAMERICANA DE PROTECCIÓN DE DATOS (2013). Historia de la Red Iberoamericana.

http://www.redipd.org/la_red/Historia/index-ides-idphp.php 

REGAN, Priscilla (1993, julio). “The Globalization of Privacy: Implications of recent changes in Europe”. American Journal of Economics and Sociology, 52 (3), pp. 257-274.

REMOLINA, Nelson (2013). Tratamiento de los datos personales. Aproximación internacional a la Ley 1581 del 2012. Bogotá: Legis.

ROOS, Anneliese (2006). Core Principles of Data Protection Law. Pretoria: Universidad de Sudáfrica.

RUEDA, Daniel (2012). Regulaciones nacionales e internacionales en materia de protección de datos personales. Retos globales en la actual era digital. Bogotá: Universidad de los Andes.

SÁNCHEZ, María Esther (2011). El intercambio de información tributaria entre Estados. Barcelona: Bosch.

SOUVIRON (2011). “En torno a la juridificación”, en Los principios de la protección de datos aplicados en la sanidad. Bilbao: Euskal Herriko Unibertsitatea.

TRIBUNAL EUROPEO DE DERECHOS HUMANOS (2008, diciembre). Caso S. y Marper vs Reino Unido.

file:///D:/Downloads/CASE%20OF%20S.%20AND%20MARPER%20v.%20THE%20UNITED%20KINGDOM.pdf

UNIÓN EUROPEA (2014). Instituciones.

http://europa.eu/about-eu/institutions-bodies/european-council/index_es.htm 

(1) Los países miembros de APEC son: Australia, Brunéi, Canadá, Indonesia, Japón, Corea del Sur, Malasia, Nueva Zelanda, Filipinas, Singapur, Tailandia, Estados Unidos, China, México, Papúa Nueva Guinea, Chile, Perú, Rusia, Vietnam y Taipei en China.

(2) La ONU recientemente expidió la resolución sobre el derecho a la privacidad en la era digital, el 20 de noviembre del 2013, pero no es un documento relevante para el marco analítico de este trabajo.

(3) Los miembros de la Red Iberoamericana de Protección de Datos son: el Principado de Andorra, Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Ecuador, El Salvador, España, Guatemala, Haití, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Portugal, República Dominicana, Uruguay y Venezuela.

(4) Otros documentos que ha emitido esta entidad son: la declaración de San Lorenzo del Escorial (2002), la declaración de La Antigua (2003), la declaración de Punta del Este (2012) y la declaración de Cartagena (2013), entre otros.

(5) Esta equiparación viene de una sentencia del Tribunal Supremo de Justicia de Asturias del 12 de septiembre del 2005.

(6) Otras resoluciones que han emitido las autoridades de protección de datos son: la declaración de Varsovia sobre la “appification” de la sociedad, la resolución sobre coordinación internacional para la aplicación de la ley, la resolución sobre “la protección de datos y la privacidad deben asegurarse mediante el Derecho Internacional”.

(7) El Parlamento Europeo es la asamblea elegida directamente por la ciudadanía. “Juntamente con el Consejo, el parlamento aprueba o modifica las propuestas de la comisión. Asimismo, supervisa la actividad de la comisión y aprueba el presupuesto de la Unión Europea” (Parlamento Europeo, 2014).

(8) La doble tributación se presenta “cuando una renta obtenida por un contribuyente está sometida simultáneamente a un mismo o similar impuesto en dos o más Estados” (DIAN, 2010: 7).

(9) Este reza:

“1. Las autoridades competentes de los Estados contratantes intercambiarán la información previsiblemente relevante para aplicar lo dispuesto en el presente convenio (...).

2. La información recibida por un Estado contratante en virtud del apartado 1 será mantenida secreta (...) y solo se comunicará a las personas o autoridades (...) encargadas de la gestión o recaudación de los impuestos (...)”.

(10) Estos convenios se han suscritos con los siguientes países: Alemania (1985), Brasil (2006), Argentina (1971), Italia (1987), Chile (2009), Panamá (2009), España (2008), Canadá (2012), Suiza (2010), México (2013), Corea (2014) e India (2014).

(11) Este literal define el derecho de exclusión así: “Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales (…)” (L. 1581/2012: art. 8-e).

(12) Esta disposición establece en Colombia el llamado derecho a la oposición. La norma señala que el titular del dato podrá revocar la autorización y/o solicitar la supresión del dato cuando: (i) no se respeten los principios, derechos y garantías constitucionales y legales y (ii) siempre y cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la Constitución (...) El derecho de oposición permite al titular del dato evitar el tratamiento de su información o solicitar el cese del mismo (C. Const. C-748/2011: J.I. Pretelt).

(13) Estos son:

• Directiva 95/46: “Frente al tratamiento de datos para la prospección y en los casos de los literales e) y f) del artículo 7.º

• Resolución de Madrid: (...) cuando concurra una razón legítima derivada de su concreta situación personal (AGDP, 2009: art. 18).

• Propuesta de reglamento general de protección de datos del Parlamento Europeo y del Consejo: “Derecho de oposición: el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular (...) salvo que el responsable del tratamiento acredite motivos imperiosos y legítimos para el tratamiento que prevalezcan sobre los intereses o los derechos y libertades del interesado” (Parlamento y Consejo de Europa, 2012: art. 19).

(14) En este sentido se pronunció la OCDE al decir que “los derechos y garantías reconocidos a las personas por la legislación o la práctica administrativa de la parte requerida seguirán siendo aplicables siempre que no impidan o retrasen indebidamente el intercambio efectivo de información” (OCDE, 2011). Asimismo, la Unión Europea, en su acuerdo relativo a la asistencia mutua entre las autoridades competentes en el ámbito de los impuestos directos, indicó: “La limitación de derechos y obligaciones previstos en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, es necesaria y proporcionada, teniendo en cuenta la pérdida potencial de ingresos de los Estados miembros y la gran importancia que esta información reviste para la lucha eficaz contra el fraude” (Consejo de Europa, D. 77/99).

(15) Dicho literal dice: “En ningún caso las disposiciones de los párrafos 1 y 2 pueden interpretarse en el sentido de obligar a un Estado contratante a a) adoptar medidas administrativas contrarias a su legislación o práctica administrativa o a las del otro Estado contratante (...)” (OCDE, 2005: art. 26, 3-a).