Actualizando – a propósito de la ciberseguridad en mercados de valores. EEUU

Con motivo de una intervención , estos días, en el I Encuentro INCIBE de Académicos  en materia de Ciberseguridad y Derecho, se retoma y actualiza una antigua entrada de agosto de 2017

Decíamos que en EEUU la Regulation Systems Compliance and Integrity , RSCI un reglamento que había sido aprobado por la Securities and Exchange Commission, SEC, en 2014. El objetivo principal del RSCI es lograr un funcionamiento seguro de los sistemas tecnológicos de los  «participantes clave del mercado». La RSCI fue objeto de atención mediática y constituyó una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas informáticos que habían sido comunicados, o que se habían hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash «crash» de 6 de mayo de 2010. 

La SEC ya -antes de 2015- contaba con una línea de política estratégica de seguridad basada en principios voluntarios (Política de Revisión de la Automatización, ARP) , que incluía inspecciones de vigilancia tecnológica. Además, la Government Accountability Office había recomendado introducir normas obligatorias, así como mayores controles y supervisión de los sistemas informáticos con incidencia en la actividad de los mercados. La RSCI avanza en esa línea:

    • Los sistemas de cumplimiento y de integridad a los que refiere a RSCI consisten en mecanismos informáticos y procedimientos pautados que se utilizan en procesos digitales desarrollados en los centros de negociación y en su entorno. Se despliegan sobre la negociación, la liquidación, el enrutamiento de ordenes, los datos operativos y de supervisión de mercado, entre otros.
    • La RSCI impone que las entidades aprueben políticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Deben garantizar que cuentan con «niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados”. Se les impone, además, estrictas obligaciones de notificación al supervisor de mercados (SEC), y de difusión de información entre sus propios administradores y altos ejecutivos, y entre  los miembros o partes que se relacionen con la entidad, además de deberes de registro de los incidentes y de las medidas de cumplimento.
    • El vigente Reglamento exige a las entidades sujetas, entre otras cosas: disponer de políticas y procedimientos exhaustivos diseñados razonablemente para garantizar que sus sistemas tengan los niveles de capacidad, integridad, resistencia, disponibilidad y seguridad adecuados para mantener la capacidad operativa y promover el mantenimiento de unos mercados justos y ordenados; adoptar las medidas correctivas apropiadas en respuesta a los problemas de los sistemas; proporcionar notificaciones e informes a la Comisión diseñados para facilitar la supervisión de la tecnología del mercado de valores; difundir información sobre los problemas de los sistemas a las partes afectadas; realizar una revisión anual de las políticas y procedimientos de las entidades sujetas. Estas entidades también tendrán que realizar pruebas coordinadas de continuidad de la actividad y pruebas de recuperación en caso de catástrofe (BC/DR), sobre ambas tendrán que crear, mantener y conservar registros.
    • En relación con los marcos tecnológicos, como no existían referencias tecnológicas totalmente fiables se presume que son seguras las disposiciones que se vayan aprobando para el sector financiero por el gobierno de los Estados Unidos u otra «organización ampliamente reconocida”

Paraninfo Gordón Ordás. Universidad de León

Actualmente el RSCI entrado en un proceso de reforma: En 2023 la SEC propuso modificaciones al RSCI de la Securities Exchange Act de 1934 («Exchange Act»),  cuyo resumen puede consultarse aquí

Las modificaciones propuestas ampliarían la definición de «entidad sujeta» para incluir una gama más amplia de participantes en las infraestructura del mercado de valores de Estados Unidos, y actualizarían ciertas disposiciones del RSCI para tener en cuenta la evolución del panorama tecnológico de los mercados:

      • La ampliación propuesta añadiría las siguientes entidades: los depositarios de datos de permutas financieras basadas en valores («SBSDR», por sus siglas en inglés) registrados; los intermediarios registrados que superen un umbral de activos o de actividad de operaciones; y las agencias de compensación adicionales exentas de registro. Los agentes de bolsa registrados ante la Comisión en virtud de la Sección 15(b) que superen un umbral de activos totales o un umbral de actividad de transacción en acciones NMS, opciones cotizadas en bolsa, valores del Tesoro de EE.UU. o valores de la Agencia; y – Todas las agencias de compensación exentas de registro.
      • Además, las actualizaciones propuestas modificarían las disposiciones del Reglamento en relación con : (i) la clasificación de sistemas y la gestión del ciclo de vida; (ii) la gestión de terceros/proveedores; (iii) la ciberseguridad; (iv) la revisión de la SCI; (v) el papel de las normas industriales actuales; y (vi) el mantenimiento de registros y asuntos relacionados.  Sin olvidar que la Comisión ha solicitado comentarios al público sobre si otras entidades, como los intermediarios que utilizan sistemas electrónicos o automatizados para la negociación de valores de deuda corporativa o valores municipales, deben estar sujetos al Reglamento.
      • Otras obligaciones que se imponen , de aprobarse la propuesta de reforma, obligan a especificar que las políticas y procedimientos requeridos de una entidad sujeta incluyen: o bien un programa de inventario, clasificación y gestión del ciclo de vida de los sistemas SCI y los sistemas SCI indirectos; o bien un programa para gestionar y supervisar a terceros proveedores, incluidos los proveedores de servicios en la nube, que proporcionen o soporten sistemas SCI o SCI indirectos. También, como se indicó antes, que cuenten con Planes de resistencia y recuperación (BC/DR) y que éstos prevean la respuesta para supuestos en los que la indisponibilidad de cualquier proveedor externo sin el cual habría un impacto material en los sistemas SCI críticos; o un programa para evitar el acceso no autorizado a los sistemas SCI y a la información en ellos contenida.

Entradas relacionadas:

 

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibernética de infraestructuras mercados. Y, otras guías y propuestas

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Ciberseguridad en mercados de valores (I). Cooperación internacional y flexibilidad

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Investigación financiada por el proyecto nacional PID2021-127527OB-I00, Proyectos de Generación de Conocimiento 2021, Modalidades: Investigación No Orientada e Investigación Orientada

OCDE. Informe sobre Inteligencia Artificial y Machine Learning

Lariño

Lariño

La OCDE aborda en este informe los fenómenos de Machine Learning – ML-, Big Data o Inteligencia Artificial -IA-,  con sus aplicaciones en el ámbito financiero.

El entorno tecnológico digitalizado se une, principalmente en los planos de la captación y análisis de información y de la adopción automatizada o semi automatizada de decisiones de ejecución, para poner en marcha prácticas que en muchos casos ya eran conocidas, pero cuyas consecuencias se intensifican.

Así, por ejemplo el spoofing , práctica ilícita de manipulación del mercado que consiste en hacer ofertas de compra o de venta de valores o materias primas con la intención de cancelar las ofertas antes de la ejecución de la operación ya era posible antes del comercio algorítmico, pero alcanzó mayor notoriedad con el HST (High Speed Trading).  O, con las técnicas de IA y de ML que se aplican en la gestión de activos y en la actividad de compra en los mercados, o para casar activos con órdenes, o para identificar señales y relaciones subyacentes en los grandes datos: No dejan de reproducir operaciones que ya eran conocidas antes, pero que ahora se realizan a velocidad muy superior y con retroalimentación automatizada que permite extraer conclusiones más precisas y en tiempos muy inferiores sin intervención humana. En conjunto este Informe ofrece perspectivas muy útiles sobre las tecnologías digitalizadas en todo el sistema financiero y en el de valores y mercados.

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.

Reporting ESG de los índices y familias de índices. Aspectos medioambientales

ESMA emitió recientemente  una “Carta de no acción” (NAL) destinada a las Autoridades Nacionales de Supervisión, designadas de conformidad con el artículo 40.1 del Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo sobre los índices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión.

El contenido de la NAL está referido a la nueva obligación divulgación requisitos ambientales, de sostenibilidad y de gobernanza (ESG) establecidos en los artículos 13 1) d) y 27 2a) del  mencionado Reglamento, que  fue modificado por el Reglamento (UE) del Parlamento Europeo y del Consejo en lo relativo a los índices de referencia de transición climática de la UE, los índices de referencia de la UE armonizados con el Acuerdo de París y la divulgación de información relativa a las sostenibilidad de los índices de referencia.

Los nuevos requisitos de divulgación, conforme al Reglamento modificado son aplicables desde el 30 de abril de 2020.  Sin embargo, los actos normativos delegados para su aplicación aún no han sido aprobados por la Comisión Europea (que si hizo públicos los borradores el 8.04.2020) por lo que, a juicio de ESMA, surgen dudas interpretativas legítimas relacionadas con las consecuencias jurídicas del Reglamento (UE) 2016/1011 y su aplicación adecuada.

La NAL supone una indicación a los supervisores nacionales de que en este momento ESMA no considera que los índices de sostenibilidad para índices y familias de índices en materia de sostenibilidad sean una prioridad supervisoria. Y, al mismo tiempo es una llamada a la Comisión sobre la importancia de agilizar el procedimiento legislativo delegado relacionado.

Ciberseguridad en el sector financiero. Propuesta DORA: Actualidad en la UE

 DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE

En abril de 2019, las Autoridades Europeas de Supervisión habían recomendado a la Comisión Europea que propusiera mejoras específicas en el marco regulador financiero de la UE para desarrollar una normativa única de regulación y supervisión para la resistencia operativa de las TIC en el sector financiero. Sobre tal base principal, la Comisión Europea abrió un periodo de consultas sobre este documento (DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE). El periodo de consultas  estuvo abierto desde 19.03.2019 hasta 19.03.2020.

En particular, la Comisión recabó opiniones sobre: 1) requisitos sobre la gestión de los riesgos de seguridad y las TIC en el acervo legislativo aplicable al sector financiero, 2) requisitos de notificación de incidentes, 3) marco de pruebas de resiliencia operativa digital y 4) supervisión de los proveedores de terceros de TIC a las instituciones financieras.

De entre las respuestas recibidas, destacamos la de la Asociación Europea de Servicios Financieros (AFME), aqui.

Destacamos de esta respuesta:

NYC_by Jara IPM. One Trade Center Tower

  • En relación con la seguridad la AFME se muestra proclive a seguir utilizando los instrumentos desarrollados por la industria, como el Perfil de Seguridad Cibernético del Sector de Servicios Financieros (FSSCP) para comparar los marcos de seguridad utilizados actualmente y establecer las mejores prácticas en lugar de recurrir, como parece deducirse de la consulta, a legislación específica sobre Objetivos de Tiempo de Recuperación (OTR) y  Objetivos de Punto de Recuperación (OPR) , que a juicio de AFME se desviarían del enfoque basado en principios e incluso puede exacerbar el riesgo de un incidente cibernético .
  • Sobre notificaciones, La AFME reconoce que existe un riesgo cada vez mayor de que proliferen los requisitos de notificación de incidentes en las empresas, lo que incrementa su carga administrativa y desvía a las entidades del objetivo de mitigar riesgos, por lo que recomienda estudiar la forma de apoyar mecanismos eficientes de presentación de informes únicos para satisfacer distintos objetivos. También recomienda que se analicen modos en que las autoridades puedan agregar y compartir información entre ellas y con la industria para aumentar la eficiencia, en lugar de introducir requisitos nuevos o que compitan entre sí. En relación con los test de seguridad, AFME se manifiesta conforme con las propuestas de la Comisión para desarrollar un marco coherente de pruebas en todo el sector financiero, y pide una guía coherente también para el reconocimiento mutuo de estas pruebas por parte de los supervisores.
  • En relación con requisitos estrictos que las entidades puedan verse obligadas a aplicar a terceras partes, la AFME advierte contra la cualquier cambio inmediato sobre la forma en que las empresas de servicios financieros gestionan  la subcontratación a terceros proveedores de TIC, y se apoya en la experiencia adquirida por las entidades, señalando además que cualquier marco normativo debería ser adoptado a nivel mundial para evitar poner barreras a la innovación o crear fragmentación regulatoria.
  • En relación con otras áreas donde la acción de la UE sea necesaria, la AFME apoyaría medidas para compartir información y experiencias en el sector financiero, y más en concreto apunta al intercambio de evaluaciones sobre cómo se ha aplicado el paquete normativo NIS en los distintos Estados y en las diferentes instituciones. Apunta además AFME a que,  estas medidas en ningún caso deben generar riesgos contrarios a la protección de datos personales y confidenciales en particular en zonas grises como pueden ser metadatos conducentes a la identificación de adquisiciones ilícitas.

 

Prioridades de Supervisión de ESMA para el año 2019

ESMA hace públicas sus prioridades supervisorias para 2019, ejercicio durante el que la autoridad europea se centrará de modo particular en aspectos de la supervisión de las Agencia de Calificación de Crédito (CRAs) y los Repositorios de Comercio

El programa de prioridades en materia de Supervisión de ESMA fue hecho público el 19.02.2019, (ESMA80-199-273)  detalla las principales áreas en las que se centrará ESMA en su labor de supervisión este año, en relación con los Repositorios de Comercio (TR), las Agencias de Calificación Crediticia (CRA) y  con el seguimiento de ciertas Infraestructuras de mercado de terceros países, como las contrapartes centrales de compensación de terceros países (TC-CCP) y los Depósitos de valores centrales de terceros países (TC-CSD). Debe recordarse, en este sentido que ESMA actualmente supervisa directamente ocho TR y 27 CRA y que es responsable de cuatro CRAs certificadas y 32 TC-CCPs.

Iglesia de San Salvador de Palat del Rey, León (España). By M.A. Díaz.

Para las CRA y TR en la UE las prioridades de supervisión incluyen:

  • El almacenamiento en los TRs de datos de calidad y  el acceso a los mismos por parte de las autoridades públicas;
  • La planificación de la continuidad del negocio de los TR,  el carácter fiable de los procesos y sistemas de TI y la función de seguridad de la información;
  • Los riesgo de cartera de las CRAs y la calidad del proceso de calificación;
  • La Ciberseguridad de las CRA;
  • El Reconocimiento de Contrapartes centrales del Reino Unido en un escenario Brexit sin acuerdo; y
  • La evaluación de las solicitudes pendientes de reconocimiento de 19 TC-CCP  y de TC-CSD,  respecto de las cuales realizará un seguimiento de riesgos.

 

Además, hay áreas en las que existen problemas comunes entre los TR y los CRA en los que la AEVM realizará trabajos adicionales, como el Brexit, los precios que cobran por sus servicios,  la eficacia de los sistemas de control interno y el uso de nuevas tecnologías.

ICO, tokens y aplicación de la Ley de Mercado de Valores. Criterios de la CNMV

La CNMV ha publicado  los criterios iniciales de actuación que está llevando a cabo frente a las Initial Coin Offering (ICO).

Reconoce el supervisor español que la complejidad de la materia hace que los criterios estén sometidos a una revisión constante, pero aún así,  avanza en la determinación de los de aplicación en España para este tipo de mecanismos de financiación empresarial.

NYC_by Jara IPM. One Trade Center Tower

Calificación de los Tokens como valores negociables.

 

 

 

Supervisión de las entidades autorizadas a  emitir y comercializar ICOs.

El texto se ocupa también de la necesidad y alcance de la intervención de entidades autorizadas para prestar servicios de inversión, cuestión en la que remite al art. 35.3 de la Ley del Mercado de Valores (LMV), y a sus “Preguntas y Respuestas dirigidas a empresas FinTech sobre actividades y servicios que pueden tener relación con la CNMV”

  • Mínimamente, la entidad autorizada para prestar servicios de inversión a efectos de la comercialización debe realizar una supervisión general del proceso y validar la información a entregar a los inversores, que deberá ser clara, imparcial y no engañosa y referirse a las características y riesgos de los valores emitidos, así como a la situación jurídica y económico-financiera del emisor de una manera suficientemente detallada como para permitir que el inversor pueda tomar una decisión de inversión fundada.
  • En este momento se permite que la entidad autorizada a la ICO no valide la información que remite a los inversores, salvo incluir advertencias destacadas acerca de la naturaleza novedosa de la tecnología de registro y que la custodia de los instrumentos no se realiza por una entidad autorizada para prestar servicios de inversión.
Intermediación y custodia.
  • No se considera necesaria la intervención generalizada de entidades autorizadas para colocar valores porque las ICO se consideran actividades normalmente ocasionales. En cambio, la reserva de actividad a las entidades autorizadas prevista del artículo 144.1 LMV (en relación con el artículo 140 e) y f) del mismo cuerpo legal) requiere que la actividad se realice “con carácter profesional o habitual”.
  • Similarmente, no se exigirá la intervención de entidades de custodia de valores, pues su intervención sólo es necesaria conforme al 44.1 LMV (en relación con el artículo 141 a) LMV ) cuando la actividad se realice “con carácter profesional o habitual”.
Representación de las ICO y negociación.

Cantábrico (Asturias)

El texto establece la diferencia entre los requisitos de representación (así como de supervisión e intermediación) cuando la ICO se comercializa en España o en otra jurisdicción.

  • Por lo que respecta a España:
    • El artículo 6.1 de la LMV permite interpretar que es posible que ciertos valores no se representen por medio de anotaciones en cuenta o títulos. Por tanto, no puede excluirse la posibilidad del registro de derechos a través de la tecnología DLT (blockchain).
    • La negociación en mercados regulados, SMN o SOC españoles el artículo 6.2 LMV exigiría que estuviesen representados por medio de anotaciones en cuenta. Y el artículo 8.3 LMV sobre entidades encargadas de la llevanza de registros contables que responden frente a los perjudicados por la falta de las inscripciones, por las inexactitudes y retrasos en las mismas y, en general, por el incumplimiento culposo o doloso de sus obligaciones legales, obligaría a que la llevanza del registro se realizara por un depositario central de valores. La gestión del centro de negociación debería realizarse por una ESI o por una entidad rectora de un mercado, y estarían sujetas en general a la normativa del mercado y al ámbito de supervisión de la CNMV. Adicionalmente, las ICO estarían sometidas a la necesidad de representación mediante anotaciones en cuenta y a  la participación de un depositario central de valores.
    • En caso de preferir generar un mercado interno en una plataforma privada no regulada o la negociación en una plataforma (exchange) localizada en España, la ICO encontraría otros problemas pues los tokens considerados valores negociables darían lugar a la obligación de que estas plataformas contasen con las autorizaciones exigibles para ejercer su actividad como centro de negociación (como mercado regulado, SMN o SOC); o bien como empresa de servicios de inversión (ESI) o entidad de crédito que opere como internalizador sistemático (IS), con sus respectivos requisitos.
    • Con todo, el artículo 6.2 sólo es aplicable a los tokens que se negocien en un mercado español.
  • Ahora bien, si los tokens se van a negociar en mercados no españoles, la CNMV no es competente para exigir que estén representados mediante anotaciones en cuenta. Por el contrario, será la ley (y la autoridad competente) del país en el que se encuentre el mercado en el que vayan a negociarse los tokens, la que determine en qué medida es exigible una forma concreta de representación para su negociación en un mercado organizado, así como otros requisitos cuales que la llevanza del registro se realice por un depositario central de valores.

 

Rey Alfonso V de León

Sobre el folleto informativo. 
  • Dado que la mayoría de las operaciones que se están planteando pueden ampararse en el artículo 35.2 LMV (relativo a las situaciones en las que no existe obligación de publicar un folleto), en el texto del que se da noticia se aconseja a los emisores que se atengan a los criterios del artículo 35.3 LMV, porque la elaboración de un folleto para una ICO puede encontrarse con dificultades debido a la ausencia de un modelo armonizado a nivel europeo, que a su vez, puede generar disfunciones con otras autoridades europeas respecto del pasaporte del folleto aprobado por la CNMV.
  • Cuando resulte necesario un folleto por las características de la operación, la CNMV adelanta que realizará la adaptación y tendrá en cuenta el principio de proporcionalidad (máxime cuando es previsible que las operaciones no sean de gran tamaño) a efectos de reducir en lo posible la complejidad y extensión del documento.

Más

Sobre las ICO en España, ver:

Más allá:

Organismos de Inversión Colectiva en Valores Mobiliarios (OICVM). La AEVM identifica deficiencias en su supervisión.

La AEVM ha identificado deficiencias en la supervisión nacional de la gestión de carteras de los  organismos de inversión colectiva en valores mobiliarios. OICVM.

London’s Eye

Una reciente investigación auspiciada por la AEVM para evaluar el nivel de cumplimiento de seis autoridades nacionales competentes  en materia de supervisión financiera (ANCs) concluyó en la existencia de una serie de deficiencias en la supervisión de la  gestión de cartera por parte de los OICVM.  La evaluación a la que aludimos afectaba a Estonia, Francia, Alemania e Irlanda, Luxemburgo y el Reino Unido, y si bien se se centró específicamente en los estados mencionados, . Ha permitido concluir al supervisor europeo que los reguladores nacionales deben mejorar la supervisión sobre los OICVM. El texto de 30 Julio 2018 (ESMA 42-111-4479) puede consultarse  en su versión resumida aquí

El ámbito del estudio, y por lo tanto de sus conclusiones se refiere, en particular, a las prácticas nacionales de supervisión sobre costes, honorarios e ingresos por gestión de cartera (EPM), así como con  cuestiones vinculadas con la gestión de garantías todo ello en relación con los OICVM.:

  • El Art.. 51, apartado 2, de la Directiva OICVM permite a los Estados miembros prever la utilización de técnicas e instrumentos relativos a valores mobiliarios e instrumentos del mercado monetario en las condiciones y en el marco de los límites que establezcan, siempre que dichas técnicas e instrumentos se utilicen como EPM. Estas técnicas e instrumentos deben ser económicamente apropiados para reducir el riesgo, o los costes, o bien para generar capital adicional, o ingresos del OICVM. Ni las Directivas ni las Directrices prevén una lista exhaustiva de técnicas e instrumentos válidos como EPM, por lo que cabe diversidad nacional al respecto.
  • En el contexto de la gestión de garantías, tal y como se especifica en el párrafo 4.1.2.1. 43(g) de las Directrices, podría
    existir una incoherencia entre esta disposición y la Directiva OICVM. Las Directrices aluden a «transferencia de titularidad» y «otros tipos de acuerdos de garantía» (como los pignoraticios) por lo que conforme a ellas el OICVM podría autorizar las garantías recibidas por el OICVM para su EPM, (pero el Art. 22, apartado 7, letra d de la la Directiva OICVM estipula que los activos en custodia del depositario solo se reutilizarán cuando la operación esté cubierta por garantías reales líquidas y de alta calidad recibidas por el OICVM en virtud de un acuerdo de transferencia de titularidad). Así las cosas se haría preciso adaptar las Directrices que son anteriores a la Directiva.

 

Sollans’ city’s Bichitos

Aunque no ha emitido un mandato especifico, se desprende del documento que la AEVM considera a la luz de la evaluación de la que damos noticia que los supervisores nacionales deben garantizar una revisión más sistemática y formalizada de la información sobre gestión eficiente de carteras (EPM), que permita a los inversores comprender mejor la EPM .Esta conclusión es pertinente para todos los países examinados, sin perjuicio de algunas conclusiones sean específicas para ciertos ordenamientos. Así, en particular para Estonia y el Reino Unido se pide a las ANC que proporcionen orientaciones de supervisión más completas, abundando específicamente en los costes, las comisiones y los honorarios de los OICVM. En relación con los ingresos por EPM, se pide garantizar que todos los ingresos netos lleguen a los inversores,  nota importante en todas las jurisdicciones pero especialmente en Alemania y Luxemburgo, y que afecta a la distribución de ingresos entre inversores, gestores de fondos y sus proveedores de servicios; sugiriéndose además revisar las exenciones nacionales sobre requisitos de garantías en el Reino Unido y Alemania.

 

Antedecentes

Carucedo. León

  • El Programa de Trabajo de Convergencia de la AEVM para 2017 preveía la realización de una revisión inter pares sobre las  Directrices, Guidelines, que debían ponerse en marcha para evaluar el cumplimiento por parte de la autoridad nacional competente de cada Estado miembro (ANC) con las Directrices, además de para identificar buenas prácticas y áreas potenciales de mejora.  Esta revisión por pares se llevó a cabo de conformidad con el artículo 30 del Reglamento (UE) nº 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010 (Reglamento AEVM), y conforme a la metodología del grupo de revisión (ESMA/2013/1709) (Metodología). Según ambos documentos, la revisión inter pares es necesaria para revisar las capacidades de las ANC y así lograr resultados de supervisión de calidad, que incluyan la adecuación de los recursos y la gobernanza y la aplicación efectiva de las Directrices ESMA, así como la  capacidad de las ANC para responder a la evolución del mercado, el grado de convergencia en la aplicación de la ley y las prácticas de supervisión, y la medida en que alcanzan sus  objetivos.
  • En relación con los OICVM, recuérdese que constituyen mecanismos clave para los inversores particulares, ya que gestionan sobre un 75% de los fondos de pensiones de empleo de la UE y otras inversiones colectivas de minoristas, es decir, de particulares. Cabe señalar que las  inversiones colectivas están sometidas a un marco reglamentario detallado que establece la igualdad de condiciones y permite la gestión y comercialización por parte de los OICVM: se regulan  los activos en los que un OICVM puede invertir, las técnicas e instrumentos de gestión de cartera relativos a valores mobiliarios e instrumentos del mercado monetario a su alcance, así como distintas medidas de gestión de carteras (EPM).

La AEVM multa a cinco bancos con 2,48 millones de euros por emitir calificaciones crediticias sin autorización, el 23. Julio. 2018

La multa, y las correspondientes notas publicas de sanción se impuso sobre Danske Bank, Nordea Bank, SEB, Svenska Handelsbanken y Swedbank a razón de 495.000 €  cada uno por incumplimiento negligente del Reglamento de las agencias de calificación crediticia (Reglamento 1060/2009 del Parlamento y del Consejo de 16 de septiembre de 2009).

  • Una  investigación previa de ESMA había concluido que los  cinco bancos infringieron el Reglamento de Agencias de Calificación de riesgos al emitir calificaciones crediticias, calificaciones en la sombra, sin la autorización de la AEMV, entre junio de 2011 y agosto de 2016, al emitir análisis de crédito a favor de sus clientes. En el caso de SEB continuó haciéndolo hasta mayo de 2018.  Ninguno de los bancos contaba con la autorización de la AEMV necesaria –con carácter previo- para emitir calificaciones.
  • Los informes de crédito en cuestión se referían a diferentes entidades e instrumentos financieros, e dictámenes que, a juicio de la AEVM, cumplían los requisitos de la definición de calificación crediticia prevista por Reglamento.
  • Los importes de las multas individuales tienen en cuenta el factor agravante de duración de la conducta durante más de seis meses, aunque  también el factor atenuante de que cada banco ha adoptado voluntariamente medidas para garantizar que no se produzcan infracciones similares en el futuro.

Los cinco bancos mencionados anteriormente tienen a su disposición el recurso contra esta decisión ante la Sala de Recurso de las Autoridades Europeas de Supervisión, recurso que carece de efectos suspensivos directos, si bien la Sala de Recurso pueda suspender la aplicación de la resolución .

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

ESMA actualiza sus normas técnicas sobre la información que debe notificarse a los Registros de Operaciones (TR) conforme al Reglamento de Infraestructura de Mercado, EMIR

La Autoridad Europea de Valores y Mercados (AEVM/ ESMA ) ha actualizado el 9.08.2018 sus normas técnicas de información con arreglo del Reglamento relativo a la Infraestructura Europea de Mercados (EMIR) artículo 9 del EMIR.

 

El Reglamento EMIR establece la obligación de información para las contrapartes en operaciones con derivados de los detalles de las operaciones a uno de los registros de operaciones (TR) registrados por ESMA. Esta obligación afecta tanto a las contrapartes financieras como a las no financieras (categoria residual).  Y, sólo las personas físicas están exentas de la obligación de informar sobre sus operaciones con derivados. Sin embargo, como su contraparte suele ser una institución financiera, esta última debe informar esas operaciones. Exige la comunicación de los detalles de la transacción para operaciones de derivados OTC o «contrato de derivados OTC» que con arreglo al artículo 2 de la EMIR es un contrato de derivados cuya ejecución no tiene lugar en un mercado regulado o en un mercado de un tercer país considerado equivalente a un mercado regulado. Por ejemplo, los contratos de derivados negociados en MTF (sistemas de negociación multilateral) o en SOC (Sistemas Organizados de Contratacion) son derivados OTC en el contexto de EMIR. Es decir, todos los contratos de derivados OTC y los derivados negociados en mercados deben comunicarse a uno de los registros de operaciones registrados por la ESMA.

Ox

La información mínima requerida que debe notificarse se divide en dos categorías principales:

  • Datos de la entidad de contrapartida: nombre, domicilio e identificación de la entidad de contrapartida[que figuran en el anexo I, cuadro 1, Reglamento (UE) no 148/2013 de la Comisión, de 19 de diciembre de 2012];
  • Datos comunes: tipo de contrato; vencimiento; valor nocional; cantidad; fecha de liquidación, etc.[recogidos en el anexo I, cuadro 2, Reglamento (UE) no 148/2013 de la Comisión, de 19 de diciembre de 2012].

Concretamente ESMA actualizó sus normas de validación de los informes presentados para 94 campos en los siguientes aspectos:

  • Sellado temporal
  • Notificación de identificación de la contraparte;
  • Identificación de la otra contraparte;
  • Confirmación.

Las modificaciones serán aplicables a partir del 5 de noviembre de 2018.

Los instrumentos financieros cubiertos por EMIR se establecen en el anexo I, sección C, puntos 4 a 10, de la MiFID (Directiva 2004/39/CE de la UE):

  • Contratos de opciones, futuros, permutas financieras (swaps), acuerdos de tipos de interés futuros y cualesquiera otros contratos de derivados relacionados con valores, divisas, tipos de interés o rendimientos, u otros instrumentos derivados, índices financieros o medidas financieras que puedan liquidarse en efectivo o en especie;
  • Contratos de opciones, futuros, permutas financieras (swaps), acuerdos de tipos de interés futuros y cualesquiera otros contratos de derivados relacionados con materias primas que deban liquidarse en efectivo o que puedan liquidarse en efectivo a elección de una de las partes (salvo en caso de incumplimiento u otro supuesto de resolución);
  • Contratos de opciones, futuros, permutas financieras (swaps) y cualquier otro contrato de derivados relacionado con materias primas que puedan liquidarse físicamente, siempre que se negocien en un centro de negociación;
  • Contratos de opciones, futuros, permutas financieras (swaps), contratos a plazo y cualesquiera otros contratos de derivados relacionados con materias primas que puedan liquidarse físicamente, no mencionados en el punto C.6 y que no tengan fines comerciales, que tengan las características de otros instrumentos financieros derivados, teniendo en cuenta, entre otras cosas, si se compensan y liquidan a través de cámaras de compensación reconocidas o están sujetos a ajustes regulares de los márgenes de garantía;
  • Instrumentos derivados para la transferencia del riesgo de crédito;
  • Contratos financieros por diferencias.
  • Contratos de opciones, futuros, permutas financieras (swaps), acuerdos de tipos de interés futuros (forward rate agreements) y cualesquiera otros contratos de derivados relativos a variables climáticas, fletes, derechos de emisión o tasas de inflación u otras estadísticas económicas oficiales que deban liquidarse en efectivo o que puedan liquidarse en efectivo a elección de una de las partes (salvo en caso de incumplimiento u otro supuesto de resolución), así como cualquier otro contrato de derivados relacionado con activos, derechos, obligaciones, índices y medidas no mencionados en la presente sección, que tengan las características de otros instrumentos financieros derivados, teniendo en cuenta, entre otras cosas, si se negocian en un centro de negociación, si se compensan y liquidan a través de cámaras de compensación reconocidas o si están sujetos a ajustes regulares de los márgenes de garantía.

 

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

La Comisión Europea lleva a España ante el TJUE por no aplicar las normas prudenciales de la UE para los bancos y las empresas de inversión

Así lo pone de relieve la Comisión en su comunicado de prensa de 19 de julio de 2018 (aquí).

Money.. By M A Díaz

El motivo por el cual la Comisión ha decidido llevar a España ante el Tribunal de Justicia de la UE es el de no haber incorporado plenamente la Directiva sobre requisitos de capital (Directiva 2013/36/UE, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE).

 

Advierte la Comisión que, hasta el momento, España “no ha aplicado plenamente estas normas de la UE y todavía faltan algunas disposiciones en el ordenamiento jurídico nacional”. Fundamentalmente, se trata de normas referidas a estos extremos: determinadas competencias y facultades de las autoridades nacionales competentes respecto a las empresas de inversión; e imposición de sanciones administrativas u otras medidas aplicables a las entidades declaradas responsables de una infracción grave en la lucha contra el blanqueo de capitales. Entre las disposiciones que -según la Comisión- todavía faltan, se encuentran los mecanismos de denuncia por incumplimiento de los requisitos de capital, normas sobre la integridad y la independencia de los miembros del órgano de dirección y la obligación de las autoridades competentes españolas de ponerse en contacto con el supervisor consolidado para obtener la información, situación que hace más difícil la cooperación en materia de supervisión. Por último, señala la Comisión que las normas de gobernanza empresarial son más débiles en España, al no haber transpuesto la obligación de contar con órganos de dirección diversos y cualificados de las entidades.

No ha de perderse de vista, como recuerda la Comisión en su comunicado, que además del Reglamento sobre requisitos de capital [Reglamento (UE) n.º 575/2013], la Directiva establece los requisitos prudenciales para las entidades de crédito y las empresas de inversión en la UE fijando normas sobre el importe del capital que las entidades deben tener para cubrir las posibles pérdidas derivadas de los eventuales riesgos. A su vez, la Directiva establece normas sobre la autorización y la supervisión de las entidades, la cooperación en materia de supervisión, la gestión de riesgos, el gobierno corporativo (incluida la remuneración) y los colchones de capital.

El plazo máximo del que disponían Los Estados miembros para incorporar la Directiva al Derecho nacional era el 31 de diciembre de 2013. Como no se había hecho, en enero de 2015, la Comisión Europea solicitó formalmente a España que transpusiera la Directiva. En enero de 2018, se emitió un dictamen motivado contra España.  Desde esa fecha España no ha comunicado las medidas que faltaban relacionadas con la mencionada Directiva.

 

Niveles de regulación en servicios financieros en la UE. Proceso Lamfalussy. Apunte-referencia

El proceso Lamfalussy, iniciado en 2001, concibe diversos «niveles» en los que se clasifican las disposiciones normativas o medidas que integran el enfoque de la reglamentación financiera de la Unión Europea.

La relevancia, ubicuidad e impacto del mecanismo regulador introducido merece alguna atención a efectos de uestra propia referencia

Ese proceso fue reforzado en el año 2007 consecuencia de la Comunicación de la Comisión Europea de 20 de noviembre de 2007 (COM (2007) 727 final)) y en el año 2009 (véase el Informe Larosière, de 25 de febrero de 2009), se pretendió instaurar un mecanismo de aprobación normativa ágil y flexible, que se pudiese adaptar a un entorno de mercado cambiante y que promoviese la convergencia en los mecanismos de supervisión de los mercados financieros. El enfoque Lamfalussy, implica cuatro niveles institucionales en el proceso de reglamentación

  • Nivel 1: El Parlamento Europeo y el Consejo, a propuesta de la Comisión, a través del proceso legislativo ordinario (anteriormente denominado de «codecisión»), adopta los principios básicos que conforman la normativa, a través de la adopción de Directivas o Reglamentos. (2)
  •  Nivel 2: La Comisión Europea, con apoyo consultivo de los comités de Nivel 3, adopta disposiciones de desarrollo que incorporan requisitos técnicos, para la aplicación de las disposiciones de Nivel 1.
  • Nivel 3: Los comités integrantes por representantes de las autoridades competentes nacionales responsable de la supervisión y, en la actualidad por ESMA, desarrollan una labor consultiva para la aprobación de las disposiciones de Nivel 1 y Nivel 2 y emiten guías o documentos de preguntas y respuestas (Q&A) a los efectos de facilitar criterios interpretativos y reforzar la convergencia supervisora.
  • Nivel 4: La Comisión Europea refuerza su rol para velar por la oportuna incorporación al derecho nacional de la normativa de la Unión Europea.

 

Ver también: