Autores: Rubiela Gaspar y Dilmar Villena

El domingo 4 de agosto se aprobó el Decreto Legislativo N°1623, el cual modifica la Ley de Impuesto General a las Ventas (IGV) e Impuesto Selectivo al Consumo, con la finalidad de extender la aplicación del 18% a los servicios digitales e importación de bienes intangibles a través de internet. De acuerdo con este Decreto, los agentes de retención o percepción; es decir los sujetos no domiciliados en el Perú, empezarán a efectuar la retención o percepción del IGV a partir del 1 de octubre de 2024.

Esta medida afectaría a cientos de servicios digitales (de streaming, aplicaciones de taxis, plataformas de cursos, aplicaciones de citas, plataformas de almacenamiento de archivos, y más), así como algunas funciones de pago para bienes intangibles (por ejemplo funciones de Zoom premium, funciones de Whatsapp empresas, Facebook Ads, entre otros). 

A días de su publicación, existen diversas críticas sobre la norma, que abarcan desde cuestionamientos sobre el fondo (la falta de claridad de algunos términos, de las obligaciones y los sujetos obligados, y la desproporcionalidad de la medida), cuestionamientos sobre su ejecución (impacto sobre los datos personales, nuevas cargas económicas y administrativas, impacto en la economía digital), e inclusive sobre su proceso de formulación (ausencia de participación multisectorial). A continuación abordaremos algunas de las principales críticas.

Impacto sobre los datos personales

En el Decreto se indica que corresponde pagar el IGV a las personas naturales que no realizan actividad empresarial, en dos supuestos: (i) cuando utilicen en el país servicios digitales prestados por sujetos no domiciliados en Perú, y (ii) cuando importen bienes intangibles a través de internet. A fin de determinar el criterio de consumo o empleo en el país, en ambos casos se debe tener en cuenta la residencia habitual de la persona consumidora o adquirente. ¿Y cómo se determina la residencia habitual? A través de sus datos personales.

Siguiendo el Decreto, la residencia habitual se determinará a partir de datos como la dirección del IP “u otro medio de geolocalización asignado al dispositivo electrónico”, el código SIM, la dirección de los bancos que administren las tarjetas de crédito o débito, datos de usuario o dirección de pago en las plataformas digitales, entre otros. Inclusive, la norma prevé que el reglamento pueda establecer supuestos adicionales para identificar la residencia habitual de la persona usuaria o adquirente. 

Cabe recordar que para el tratamiento de estos datos personales no se necesitaría el consentimiento del titular de los datos, conforme a la Ley N° 29733, Ley de Protección de Datos Personales (artículo 13.5), puesto que esta medida proviene de una ley autoritativa. No obstante, si bien la medida sería legal, hay que preguntarse si es proporcional con otros derechos, principalmente con el derecho a la protección de datos personales. 

De acuerdo con la exposición de motivos, la medida de extender la aplicación del IGV a los servicios digitales e importación de bienes intangibles a través de internet responde a dos objetivos puntuales de la Administración Pública. Primero, modernizar el sistema tributario y adecuarlo a la economía digital,  haciendo más eficiente la recaudación, evitando así la evasión y elusión tributaria. Segundo, eliminar efectos diferenciados para las entidades domiciliadas en Perú con actividad empresarial, las cuales están obligadas a aplicar el IGV, mientras que sus contrapartes en el extranjero no. Así, la finalidad constitucional bajo la que actuaría esta potestad tributaria sería evitar la elusión fiscal, modernizando el sistema de recaudación, así como garantizar la igualdad de condiciones en el mercado entre las empresas domiciliadas en Perú y las no domiciliadas que ofrecen servicios digitales o bienes intangibles.

Si bien dichas finalidades son deseables y resultan coherentes con el ordenamiento jurídico, esta potestad tributaria podría actuar en desmedro del derecho a la protección de datos personales, por la cantidad de datos de las personas usuarias de servicios o adquirentes de bienes intangibles que serán recolectados, almacenados y tratados. Además, podría impactar negativamente en el derecho a participar en la vida económica y social de la nación, así como en el principio de múltiples partes interesadas. Debido a que los diversos actores del ecosistema digital no fueron consultados ni incluidos en el debate. Por ende, llamamos la atención de la necesidad de contar con políticas tributarias respetuosas de los datos personales de los peruanos y de la participación multisectorial en la gobernanza de Internet y del ecosistema digital.

Una revisión de esta medida es importante, además, porque quedan muchas preguntas sin resolver respecto a salvaguardas para la protección de datos personales, establecidas en la Ley de Protección de Datos Personales y su reglamento —cuya actualización con medidas de protección más fuertes está a puertas de publicarse—. 

Algunas de estas preguntas son, en primer lugar, respecto a los sujetos responsables del tratamiento o los titulares de los bancos de datos personales ¿Quiénes serían estos sujetos? ¿sólo las plataformas (sujetos no domiciliados)? ¿Las empresas de telecomunicaciones y bancos (sujetos facilitadores de pago)? ¿La Sunat? Existe una cadena de responsables que se deben identificar, de acuerdo al tipo de datos personales, sean datos para determinar la residencia habitual, datos relacionados a los medios de pago, datos para determinar si el usuario o adquiriente es una persona natural o empresa, entre otros. 

Cabe resaltar que estos datos deberán ser los estrictamente necesarios para la finalidad de recaudación y no aquellos relacionados con gustos, intereses o preferencias personales. De lo contrario, esto sería una grave intromisión a la intimidad, y un peligro bajo el tratamiento inadecuado que de pie a la cibervigilancia.

En segundo lugar, tampoco queda claro exactamente qué datos se van a utilizar para determinar la residencia habitual o para identificar a personas naturales que no realicen actividad empresarial. Para el primer caso, en el Decreto se han empleado términos ambiguos para identificar la residencia en territorio nacional de la persona usuaria o adquirente; términos como “la dirección IP […] u otros otro medio de geolocalización asignado al dispositivo electrónico”, o “el código SIM […] u otra tecnología que la reemplace del equipo terminal móvil” (artículo 3). Inclusive, se ha previsto en el Decreto agregar otros mecanismos de identificación de residencia habitual por vía reglamentaria. 

Para el segundo caso, en el Decreto se señala que el sujeto no domiciliado (plataformas como Netflix, Uber, Meta, etc), al actuar como agente de retención o percepción del Impuesto, debe verificar ciertos datos de las personas naturales registradas en su plataforma (artículo 49-A, numeral 3). Datos como su nombre, apellidos y número de documento de identidad, “entre otra información personal”.  

Finalmente, una tercera cuestión pendiente es identificar de forma clara y detallada las finalidades del tratamiento de los datos personales. Hay que resaltar que esta medida fue aprobada sin consulta de sociedad civil, sin el inicio de una mesa de trabajo, sin el requerimiento de comentarios. Se ha habilitado por decreto legislativo el tratamiento de una serie de datos personales de miles de usuarios y adquirentes, por diferentes actores —mediante ley autoritativa, sí—, pero sin que las personas puedan cuestionarlo o consentir este tratamiento. Así, lo que corresponde hacer en este escenario, cada vez más recurrente de excepción al consentimiento por ley autoritativa, es definir claramente las finalidades del tratamiento de datos personales. 

Las finalidades no pueden tener enunciados de carácter general como “la recaudación tributaria” o “mitigar la evasión fiscal”. Asimismo, también es cuestionable que, a través del Decreto, se haya realizado una autorización reglamentaria para poder recopilar más datos personales. Es decir, ya no sólo la limitación al consentimiento sobre los datos personales se haría por ley, lo que garantiza cierta deliberación pública a través de la representación política, sino que inclusive se extiende a normas infralegales (reglamentarias), que no pasan por los mismos filtros de deliberación pública, a través de mesas de trabajo, recepción o solicitud de informes, opiniones de comisiones temáticas, doble votación, etc.  

Será necesario entonces que estas preguntas sean respondidas por la Autoridad Nacional de Protección de Datos Personales, en coordinación con el Ministerio de Economía y Finanzas, y la Sunat.

¿Nuevos? poderes de fiscalización y vigilancia

Del texto del Decreto Legislativo, no queda claro cómo ni qué medidas adoptará la Sunat con miras a realizar la fiscalización del pago del tributo. Esto, haciendo referencia, especialmente, a la persona natural. Tampoco se menciona qué información personal (de los contribuyentes) podría solicitarle a las propias plataformas o a las empresas del sistema bancario.

En este sentido, resulta necesario que la Sunat sea transparente en sus facultades de supervisión, en los procesos de identificación de servicios digitales, o adquisición de bienes intangibles, así como en los métodos para identificar la residencia habitual. ¿Cómo se recopilará esta información?, ¿qué información se cruzará?, ¿de qué bancos de datos provendrá la información?, ¿se crearán nuevos bancos de datos o se usarán existentes?, ¿qué medidas de seguridad se tendrán para la interoperabilidad de datos?, ¿qué medidas se emplearán a fin de evitar el tráfico ilegal de datos que terminen en cibervigilancia o en ciberdelitos?, ¿la declaración informativa anual que envíen las plataformas (sujetos no domiciliados) a Sunat será desagregada?1, ¿se emprenderán medidas de seudonimización o anonimización respecto a datos personales no necesarios para la finalidad de recaudación en dichas declaraciones?

La norma dispone que, además, en caso la plataforma no realice las declaraciones respectivas, serán los bancos o entidades del sistema financiero quienes realizarán la retención del impuesto. Sobre este punto es importante preguntarnos: ¿a qué datos personales tendrán acceso las entidades financieras? ¿Estarían obligadas a compartir estos datos a la administración tributaria? ¿Cómo se norma y/o reglamenta estas facultades de acceso a grandes bases de datos personales?

Ante la ausencia de claridad en este aspecto, estaríamos ante un supuesto de vigilancia estatal y empresarial cuyos límites no están del todo delimitados. ¿Será que todos estos amplísimos poderes se pretenden determinar por vía reglamentaria? Es importante recordar que en un Estado Constitucional medidas limitativas de derechos solo son viables a través de normas con rango de ley. La hiperreglamentación del sistema jurídico peruano, especialmente en materias como vigilancia y reelección masiva de datos personales, suponen un grave riesgo para los derechos humanos.

¿Y la participación multisectorial? 

La aprobación unilateral por parte del gobierno de esta medida sin consultar a las partes interesadas socava profundamente el principio de participación multisectorial en la gobernanza de Internet. Este enfoque excluyente no sólo ignora las contribuciones y perspectivas valiosas de los actores clave del sector privado, la sociedad civil y la ciudadanía, sino que también debilita la capacidad de construir políticas equilibradas y efectivas que reflejen las realidades y necesidades del ecosistema digital. La participación multisectorial es fundamental para garantizar que las decisiones sean inclusivas y que se consideren los diversos impactos económicos y sociales de las regulaciones.

En el contexto peruano, donde el acceso a Internet se reconoce como un derecho fundamental, es esencial que cualquier normativa relacionada con el entorno digital se desarrolle con un enfoque participativo. La inclusión de diferentes sectores en el proceso de formulación de políticas garantiza que las decisiones respeten y promuevan los derechos y libertades de la ciudadanía. La participación multisectorial debería ser parte integral de la gobernanza de Internet, no sólo para proteger el acceso universal, sino también para asegurar que las normativas no afecten desproporcionadamente a los usuarios o a la ciudadanía.

Una norma tributaria que no involucra a los actores relevantes y se adopta sin un proceso de consulta transparente puede tener consecuencias adversas para el desarrollo digital y la economía en general. Por tanto, resulta indispensable una revisión posterior del Decreto Legislativo N° 1623 que involucre, necesariamente, la participación de los actores del ecosistema digital: usuarios, academia, sociedad civil, comunidad técnica, sector privado, entre otros.