Antecedentes de la denuncia

1. La fiscalidad sigue siendo en gran medida una cuestión de competencia nacional, lo que significa que el papel de la UE en este ámbito es limitado y consiste principalmente en promover la cooperación y la coordinación entre los Estados miembros de la UE.

2. Los Estados miembros de la UE forman parte de una iniciativa mundial destinada a combatir la evasión fiscal y promover la transparencia en las transacciones financieras, conocida como intercambio automático de información (AEOI). El AEOI permite a los países intercambiar automáticamente información sobre cuentas financieras para ayudar a las autoridades tributarias a identificar y abordar la evasión fiscal transfronteriza. Se introdujo en 2014 y se basa en el Estándar Común de Información (CRS)[1], un estándar global que requiere que los bancos y las instituciones financieras recopilen información sobre las cuentas mantenidas por residentes extranjeros.

3. La forma en que los países comparten legalmente esos datos entre sí se establece en acuerdos multilaterales y bilaterales separados, como el Acuerdo Multilateral entre Autoridades Competentes («ACMC SRC»)[2] o los «Acuerdos Intergubernamentales» bilaterales entre dos países. El intercambio automático de información entre los Estados miembros de la UE se rige por la Directiva del Consejo relativa a la cooperación administrativa en el ámbito de la fiscalidad [3].

4. Además del SIR, también existen leyes nacionales que obligan a terceros países a comunicar determinada información sobre las cuentas financieras en su territorio a las autoridades fiscales del país de origen del titular de la cuenta. Un ejemplo de tales leyes nacionales es la Ley de Cumplimiento Tributario de Cuentas Extranjeras de los Estados Unidos (FATCA) que se adoptó en 2010 y se implementa sobre la base de acuerdos intergubernamentales entre los Estados Unidos y otros países.

5. Si bien la AEOI se consideró un importante paso adelante en la lucha mundial contra la evasión fiscal, también suscitó preocupaciones en materia de privacidad y protección de datos. Por ejemplo, sobre la base de una reclamación de un grupo de ciudadanos, la Autoridad belga de protección de datos ha constatado recientemente que la transferencia de datos personales de Bélgica a los Estados Unidos en virtud de la FATCA es contraria a la legislación de la UE en materia de protección de datos (el Reglamento general de protección de datos, «RGPD»)[4]. A raíz de un recurso, el órgano jurisdiccional belga que conoce del asunto ha solicitado al Tribunal de Justicia que se pronuncie con carácter prejudicial sobre si las transferencias de datos exigidas en virtud de la FATCA y aplicadas a través de acuerdos intergubernamentales entre los Estados Unidos y los Estados miembros de la UE cumplen en general la legislación de la UE en materia de protección de datos [6].

6. El Comité Europeo de Protección de Datos (CEPD) ha publicado directrices para la transferencia de datos personales entre países de la UE y terceros países.[7] Estas directrices establecen una lista de garantías mínimas que deben incluirse en los acuerdos intergubernamentales para garantizar que los interesados cuyos datos personales se transfieran fuera de la UE reciban un nivel de protección que sea esencialmente equivalente al nivel de protección garantizado dentro de la UE en virtud del RGPD.

7. En febrero de 2025, los denunciantes solicitaron [8] al Consejo de la UE acceso público a documentos relacionados con:

· la compatibilidad de [la] AEOI con las leyes de protección de datos de la UE y [EM] y los derechos fundamentales;

· las implicaciones de la AEOI en materia de protección de datos, en particular en lo que respecta a la transferencia de datos personales a terceros países (garantías adecuadas, seguridad de los datos, etc.);

· el impacto de la jurisprudencia [de la UE] en lo anterior.

8. El Consejo constató que veinticuatro documentos entraban en el ámbito de aplicación de la solicitud de acceso de los denunciantes. Indicó que diez documentos ya estaban a disposición del público y proporcionó enlaces a los mismos. También reveló otros cuatro documentos en su totalidad. Por lo que se refiere a los diez documentos restantes, que se describen como «documentos de trabajo del Consejo», el Consejo divulgó tres documentos en parte y se negó a divulgar siete documentos, incluido un documento clasificado como «RESTREINT UE/EU RESTRICTED», en su totalidad. Al denegar el acceso, el Consejo se basó en la necesidad de proteger el interés público en lo que respecta a las relaciones internacionales y la política financiera de los Estados miembros, así como en la necesidad de proteger su toma de decisiones [9].

9. En marzo de 2025, los denunciantes solicitaron al Consejo que revisara su decisión (presentaron una «solicitud confirmatoria»), y el Consejo confirmó posteriormente su posición.

10. Insatisfechos, los reclamantes recurrieron al Defensor del Pueblo Europeo en agosto de 2025.

La investigación

11. La Defensora del Pueblo inició una investigación sobre la decisión del Consejo de denegar el acceso público a (partes de) los diez documentos controvertidos en la solicitud confirmatoria de los reclamantes.

12. Durante la investigación, el equipo de investigación de la Defensora del Pueblo inspeccionó los documentos controvertidos, incluido el documento clasificado como «RESTREINT UE/EU RESTRICTED». El equipo de investigación también se reunió con representantes del Consejo para obtener explicaciones adicionales sobre por qué se había denegado el acceso. Posteriormente, la Defensora del Pueblo compartió sus informes de inspección y reunión con los reclamantes y recibió sus observaciones.

Argumentos presentados

13.  En su Decisión confirmatoria, el Consejo declaró que los documentos se habían elaborado en el contexto de los «debates en el Grupo «Cuestiones Fiscales» sobre la OEAI en materia fiscal con países [no pertenecientes a la UE] y su interacción con el RGPD. El objetivo clave de estos debates era examinar qué salvaguardias adecuadas, teniendo en cuenta las directrices del CEPD, ya están en vigor en lo que respecta al intercambio de datos personales a efectos fiscales con países [no pertenecientes a la UE]». El Consejo señaló que el asunto se había debatido en varias ocasiones desde 2019, a la luz de la responsabilidad de los Estados miembros de garantizar salvaguardias adecuadas para dichas transferencias de datos personales. Tras la publicación de directrices por el CEPD en 2021, se consideró necesario que los Estados miembros revisaran sus acuerdos intergubernamentales pertinentes celebrados con países no pertenecientes a la UE para determinar si era necesario introducir cambios que reflejaran la legislación y la jurisprudencia actuales de la UE en materia de protección de datos. En este contexto, varios Estados Miembros habían sugerido intercambiar opiniones y coordinarse al respecto.

14. El Consejo ha declarado que estos debates estaban en curso en el momento de la decisión confirmatoria y eran pertinentes para las negociaciones en curso y futuras de los acuerdos intergubernamentales sobre el intercambio de información fiscal entre los Estados miembros y terceros países. El Consejo alegó que la divulgación revelaría los intercambios internos y la evolución de los enfoques en términos de la estrategia de negociación de la UE y, por lo tanto, podría socavar gravemente la posición negociadora de la UE y «su capacidad para llevar a cabo eficazmente sus relaciones internacionales»[10].

15. El Consejo añadió que los documentos reflejan cuestiones clave relativas a las opciones y la metodología para lograr un nivel adecuado de salvaguardias para la protección de los datos personales, garantizando al mismo tiempo un intercambio eficiente de información fiscal, en consonancia con las normas internacionales, que facilite la lucha contra el fraude fiscal. A este respecto, el Consejo ha destacado que el fraude, la evasión y la elusión fiscales representan un reto importante para la UE y a escala mundial, y que el intercambio automático de información fiscal desempeña un papel fundamental en la lucha contra tales prácticas. El Consejo alegó que la divulgación podría provocar un comportamiento injustificado e indeseable por parte de los operadores económicos o impedir el intercambio automático de información entre los Estados miembros y terceros países, lo que también socavaría la política fiscal de los Estados miembros.

16. Por último, el Consejo consideró que, debido a la sensibilidad política de los documentos, su divulgación socavaría su proceso de toma de decisiones en el grupo de trabajo en cuestión.

17. Los denunciantes, señalando que las excepciones establecidas en el artículo 4, apartado 1, letra a), del Reglamento 1049/2001 deben interpretarse de manera restrictiva, consideraron que los documentos en cuestión no están cubiertos por las excepciones invocadas por el Consejo.

18. En concreto, por lo que se refiere al interés público en lo que respecta a las relaciones internacionales, los denunciantes alegaron que no hay pruebas de que se hayan celebrado negociaciones sustantivas con la OCDE o con países no pertenecientes a la UE para abordar cuestiones de protección de datos y que los Estados miembros ya han firmado acuerdos bilaterales con más de cien países no pertenecientes a la UE.

19. Por lo que se refiere a los Estados Unidos, los denunciantes añadieron que las autoridades estadounidenses no estarían dispuestas en modo alguno a modificar la FATCA y, por lo tanto, la invocación por parte del Consejo de la excepción para la protección de las relaciones internacionales era jurídicamente infundada, al menos en lo que respecta a la FATCA.

20. En relación con el CRS, los denunciantes alegaron que la OCDE no había estado dispuesta a entablar un verdadero diálogo con la UE en el contexto de intentos anteriores de resolver cualquier problema de protección de datos en términos del AEOI a efectos fiscales.

21. Los denunciantes también señalaron que el Parlamento Europeo había criticado a la Comisión Europea en el pasado por anteponer las relaciones con los Estados Unidos a los intereses de los ciudadanos de la UE [11].

22. Por último, señalando que varios documentos se refieren a la revisión de la DCA, los denunciantes sostienen que la excepción para la protección de las relaciones internacionales no se aplica, dado que la DCA forma parte de la legislación de la UE que se aplica únicamente al intercambio de datos personales entre los Estados miembros y no entre los Estados miembros y los países no pertenecientes a la UE.

23. Por lo que se refiere a la protección de la política financiera de los Estados miembros, los denunciantes alegaron que la UE y sus Estados miembros no reciben información de los Estados Unidos en el marco de la FATCA.

24. Los denunciantes también consideraron que existe un interés público superior en la divulgación. En particular, argumentaron que ya estaba claro [12] que el intercambio masivo de información fiscal con países no pertenecientes a la UE, en general, y la FATCA en particular, son contrarios al RGPD (a saber, con los principios de proporcionalidad y necesidad) y que esto afecta a millones de ciudadanos de la UE cuyos datos personales se comparten con las autoridades fiscales de los Estados Unidos sin ninguna indicación de evasión fiscal o cualquier otra irregularidad. De hecho, ha habido una falta de acción por parte de las instituciones de la UE y los Estados miembros que no han resuelto el asunto durante años.[13] Además, los denunciantes se refirieron a las preocupaciones planteadas por el público en lo que respecta al nivel de garantías aplicables a los datos personales recopilados y tratados por las autoridades fiscales de los Estados Unidos. Para los denunciantes, la no divulgación de los documentos en cuestión impide a los ciudadanos controlar el trabajo de las instituciones de la Unión en un ámbito que tiene un impacto directo en sus derechos fundamentales y exigir responsabilidades a su administración.

25. A lo largo de la investigación, los reclamantes facilitaron al Defensor del Pueblo información adicional sobre por qué consideraban que los datos personales de los ciudadanos de la UE no debían compartirse con las autoridades fiscales de los Estados Unidos debido a problemas de protección de datos.

26. En la reunión con el equipo de investigación del Defensor del Pueblo, el Consejo alegó que los diferentes procedimientos de toma de decisiones a los que se refieren los documentos estaban interrelacionados, lo que significa que todos los documentos se habían elaborado en el mismo contexto.

27. Por lo que se refiere a la necesidad de proteger las relaciones internacionales, el Consejo aclaró que eran las relaciones internacionales de los Estados miembros con terceros países (en lugar de las relaciones internacionales de la UE) las que estaban en juego en este caso. Proporcionó información confidencial detallada sobre por qué consideraba que la divulgación podría haber puesto en peligro el interés de los Estados miembros en el intercambio automático de información fiscal con terceros países y, por tanto, por qué la divulgación también habría socavado el interés público en lo que respecta a su política financiera (y cómo están interconectadas las dos excepciones obligatorias).

Evaluación del Defensor del Pueblo

28. Las instituciones, órganos y organismos de la Unión disponen de un amplio margen de apreciación a la hora de determinar si la divulgación de un documento supondría un perjuicio para la protección de los intereses públicos enumerados en el artículo 4, apartado 1, letra a), del Reglamento 1049/2001, que incluyen el interés público en lo que respecta a las relaciones internacionales y a la política financiera de los Estados miembros.[14] Como tal, la investigación del Defensor del Pueblo trató en primer lugar de examinar si existía un error manifiesto en la apreciación del Consejo en la que basó su decisión de denegar el acceso del público al documento en cuestión.

29. La excepción para la protección de las relaciones internacionales puede invocarse si la divulgación pudiera perjudicar las relaciones internacionales de la UE o de los Estados miembros con terceros países u organizaciones internacionales.[15] Está formulada en términos muy generales y, por lo tanto, no se limita a documentos relacionados con negociaciones internacionales o con un diálogo con las autoridades de un tercer país en relación con el desarrollo de un orden público.[16]

30. Por lo tanto, no es una condición previa para la aplicabilidad de esta excepción que los documentos en cuestión se refieran a negociaciones o debates en curso con países no pertenecientes a la UE o con una organización internacional como la OCDE, como alega el denunciante. La excepción también puede impedir la divulgación de intercambios internos entre los Estados miembros o entre los Estados miembros y las instituciones de la UE sobre cómo tratar asuntos relativos a países no pertenecientes a la UE, como el AEOI a efectos fiscales. Esto puede incluir debates sobre si es necesaria una renegociación de los acuerdos ya celebrados o sobre cómo deben cumplir los Estados miembros sus obligaciones en virtud del Derecho internacional.

31. Sin embargo, el riesgo de que la divulgación perjudique las relaciones internacionales de la Unión con terceros países debe ser razonablemente previsible y no puramente hipotético y basarse en una evaluación concreta del contenido del documento al que se deniega el acceso del público [17].

32. Al denegar el acceso, el Consejo se refirió a la sensibilidad política del asunto debatido y alegó que los diferentes procedimientos a los que se refieren los documentos, algunos de los cuales estaban en curso en ese momento, están interrelacionados, por lo que se aplicaron consideraciones similares. En el curso de la investigación, el Consejo también aclaró que había denegado el acceso, ya que la divulgación perjudicaría las relaciones internacionales de los Estados miembros. Además, el Consejo consideró que la divulgación socavaría la política financiera de los Estados miembros, como consecuencia del deterioro previsto de sus relaciones internacionales con terceros países y porque podría dar lugar a comportamientos no deseados por parte de los operadores económicos.

33. Sobre la base de la inspección realizada por el equipo de investigación del Defensor del Pueblo y de la información adicional, en parte confidencial, facilitada por el Consejo, el Defensor del Pueblo considera que no era manifiestamente erróneo que el Consejo alegara que la divulgación (de las partes expurgadas) de los documentos en cuestión socavaría las relaciones internacionales de los Estados miembros con terceros países o su política financiera. Además, dado el carácter sensible de la información en cuestión, el Defensor del Pueblo considera que el Consejo motivó suficientemente al demandante su decisión de denegar el acceso sobre la base de estas dos excepciones.

34. Si bien el reclamante parece estar especialmente preocupado por el nivel de garantías de protección de datos en vigor en un tercer país (los Estados Unidos), el Defensor del Pueblo también señala que los documentos en cuestión no se limitan a las normas en lugar de ese u otro país específico.

35. Los intereses públicos protegidos en virtud del artículo 4, apartado 1, letra a), del Reglamento 1049/2001 no pueden ser sustituidos por otro interés público que se considere más importante. Esto significa que, si una institución considera que alguno de estos intereses podría verse socavado por la divulgación, debe negarse a dar acceso. Por lo tanto, los argumentos del denunciante sobre la posible existencia de un interés público superior en la divulgación no pueden tenerse en cuenta en este contexto.

36. Dado que la investigación concluyó que no había sido manifiestamente erróneo que el Consejo invocase las excepciones para la protección del interés general en lo que respecta a las relaciones internacionales y a la política financiera de los Estados miembros, no es necesario apreciar la aplicabilidad de la excepción para la protección de un proceso de toma de decisiones que también invocó el Consejo.

37. A la luz de lo anterior, el Defensor del Pueblo considera que el Consejo estaba justificado al denegar el acceso público a (las partes pertinentes de) los documentos en cuestión.

Conclusión

Sobre la base de la investigación, la Defensora del Pueblo archiva este asunto con la siguiente conclusión:

No hubo mala administración por parte del Consejo de la Unión al denegar el acceso público a (las partes expurgadas de) los documentos controvertidos, basándose en la necesidad de proteger el interés público en lo que respecta a las relaciones internacionales y a la política financiera de los Estados miembros.

Se informará de esta decisión a los denunciantes y al Consejo.

Teresa Anjinho Defensora del Pueblo
Europeo

Estrasburgo, 6.5.2026

[1] Disponible en: https://www.oecd.org/es/publications/consolidated-text-of-the-common-reporting-standard-2025_055664b1-en.html.

[2] Disponible en: https://www.oecd.org/content/dam/oecd/es/topics/policy-issues/tax-transparency-and-international-co-operation/multilateral-competent-authority-agreement.pdf.

[3] Directiva 2011/16/UE del Consejo: http://data.europa.eu/eli/dir/2011/16/oj.

[4] Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD»): http://data.europa.eu/eli/reg/2016/679/oj.

[5] Véase la Decisión 79/2025 de la Autorité de protection des données de 24 de abril de 2025: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n0-79-2025.pdf.

[6] Asunto C-804/25, Autorité de protection des données. Puede consultarse un resumen de la petición de decisión prejudicial en: https://infocuria.curia.europa.eu/tabs/document/C/2025/C-0804-25-00000000RP-01-P-01/DDP/317238-ES-1-pdf.

[7] La última versión de las directrices del CEPD está disponible en: https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf.

[8] En virtud del Reglamento (CE) n.o 1049/2001 relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión: http://data.europa.eu/eli/reg/2001/1049/oj.

[9] De conformidad con el artículo 4, apartado 1, letra a), guiones tercero y cuarto, y apartado 3, párrafo primero, del Reglamento 1049/2001, respectivamente.

[10] Énfasis añadido.

[11] Véase la Resolución del Parlamento Europeo, de 20 de mayo de 2021, sobre la sentencia del TJUE de 16 de julio de 2020 — Data Protection Commissioner/Facebook Ireland Limited y Maximillian Schrems («Schrems II»), asunto C-311/18 (2020/2789(RSP)): https://www.europarl.europa.eu/doceo/document/TA-9-2021-0256_EN.pdf.

[12] Entre otras cosas, los denunciantes se refirieron a la reciente decisión de la Autoridad belga de protección de datos y a la correspondiente petición de decisión prejudicial de un tribunal belga dirigida al TJUE (véanse las notas 5 y 6 anteriores).

[13] Los denunciantes también se refirieron a un estudio de 2022 sobre la FATCA realizado por el Parlamento Europeo, disponible en: https://www.europarl.europa.eu/RegData/etudes/IDAN/2022/734765/IPOL_IDA(2022)734765_EN.pdf.

[14] Véase, por ejemplo, la sentencia del Tribunal General de 11 de julio de 2018, ClientEarth/Comisión, asunto T-644/16, apartados 23 a 25: https://curia.europa.eu/juris/liste.jsf?num=T-644/16&language=es.

[15] Sentencia del Tribunal de Primera Instancia de 7 de febrero de 2002, Kuijer/Consejo de la UE, T-211/00, apartados 61 y siguientes: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62000TJ0211.

[16] Sentencia del Tribunal General de 10 de septiembre de 2025, Smart Kid S.A/Comisión Europea, T-337/24, apartado 41: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62024TJ0337.

[17] Sentencia del Tribunal de Justicia de 3 de julio de 2014, Consejo de la UE/in 't Veld, C-350/12 P, apartado 64: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62012CJ0350.