Archivo de la etiqueta: Servicios financieros

Informe sobre la resiliencia del sector financiero de la UE y su preparación para afrontar riesgos en el mundo actual

Posted on por

El Informe de la Comisión al Consejo y al Parlamento Europeo sobre la preparación del sector financiero de la Unión Europea, recogido en el documento COM(2026) 119 final, elaborado por la Comisión Europea, constituye una evaluación integral del grado de resiliencia del sistema financiero europeo y de su capacidad para garantizar la continuidad de los servicios financieros esenciales en un entorno caracterizado por la creciente complejidad de los riesgos económicos, tecnológicos y geopolíticos.

El informe se sitúa en la evolución reciente del marco regulatorio europeo, que ha ido incorporando progresivamente una concepción amplia de la estabilidad financiera, en la que la solvencia de las entidades y la solidez prudencial se complementan con la resiliencia operativa, la seguridad tecnológica y la capacidad institucional de respuesta ante crisis sistémicas.

El documento parte de la premisa de que el sector financiero desempeña una función crítica para el funcionamiento de la economía y para la estabilidad del mercado interior, en la medida en que garantiza la intermediación financiera, la provisión de liquidez, el funcionamiento de los sistemas de pago y la financiación de empresas y hogares. En consecuencia, la preparación del sector financiero se concibe como un objetivo de interés público que requiere la existencia de marcos regulatorios coherentes, mecanismos de supervisión eficaces y una coordinación institucional estrecha entre autoridades nacionales y europeas. El informe subraya que la experiencia acumulada en los últimos años —incluidas perturbaciones financieras, crisis sanitarias, tensiones geopolíticas y ciberincidentes— ha puesto de manifiesto la necesidad de reforzar la capacidad del sistema financiero para resistir y recuperarse de situaciones de estrés, manteniendo al mismo tiempo la confianza de los usuarios y de los mercados.

Uno de los elementos centrales del informe es la identificación de los riesgos sistémicos y estructurales que pueden afectar al funcionamiento del sistema financiero europeo. Entre estos riesgos se incluyen, en primer lugar, los riesgos macroeconómicos derivados de ciclos económicos adversos, inflación persistente o tensiones en los mercados financieros internacionales. En segundo lugar, el informe destaca los riesgos asociados a la digitalización del sector financiero, que han adquirido una relevancia creciente debido a la dependencia de infraestructuras tecnológicas críticas y a la externalización de servicios informáticos a proveedores especializados. La concentración de servicios tecnológicos en un número reducido de operadores y la interconexión de sistemas financieros incrementan la vulnerabilidad del sistema ante fallos técnicos, interrupciones operativas o ataques cibernéticos.

En este contexto, el informe concede una importancia central al desarrollo de un marco normativo europeo específico en materia de resiliencia operativa digital, destacando el papel estructural del Reglamento (UE) 2022/2554 (DORA) como instrumento destinado a garantizar que las entidades financieras dispongan de sistemas adecuados de gestión de riesgos tecnológicos, mecanismos de notificación de incidentes y procedimientos de recuperación ante interrupciones operativas. El informe pone de relieve que la aplicación efectiva de este Reglamento constituye un elemento esencial para asegurar la continuidad de los servicios financieros y para reforzar la confianza en el sistema financiero europeo en un entorno digitalizado.

Este informe analiza igualmente la preparación del sector financiero frente a riesgos geopolíticos y de seguridad económica, que pueden afectar al acceso a infraestructuras críticas, a la estabilidad de los mercados y a la integridad de los sistemas de pago. La creciente interdependencia entre economías y sistemas financieros implica que perturbaciones externas —como sanciones económicas, conflictos internacionales o interrupciones en el suministro de servicios tecnológicos— pueden tener efectos directos sobre la estabilidad financiera. Por ello, el informe subraya la necesidad de reducir dependencias estratégicas, reforzar la autonomía tecnológica europea y garantizar la disponibilidad de infraestructuras financieras resilientes y seguras.

Otro aspecto relevante del mismo documento es el análisis del papel de las infraestructuras del mercado financiero, como los sistemas de pagos, compensación y liquidación, que constituyen la base operativa del sistema financiero moderno. La continuidad de estas infraestructuras se considera esencial para el funcionamiento de la economía, ya que cualquier interrupción prolongada podría generar efectos sistémicos significativos. El informe señala que la preparación del sector financiero requiere la adopción de planes de continuidad de negocio, pruebas de resistencia operativa y mecanismos de coordinación entre operadores de infraestructuras y autoridades supervisoras.

Finalmente, presta  atención a la dimensión institucional y de gobernanza de la preparación del sector financiero. En este ámbito, se destaca la importancia de la cooperación entre las autoridades europeas y nacionales que integran el sistema de supervisión financiera, así como la necesidad de mejorar los mecanismos de intercambio de información y de análisis de riesgos. La coordinación institucional se presenta como un factor clave para la detección temprana de vulnerabilidades sistémicas y para la adopción de respuestas rápidas y coherentes ante situaciones de crisis.

Sin olvidar que examina la relación entre la preparación del sector financiero y la financiación de la transición ecológica y digital de la economía europea: subraya que un sistema financiero resiliente no solo debe ser capaz de resistir perturbaciones, sino también de canalizar recursos hacia inversiones sostenibles y tecnológicamente innovadoras. En este sentido, se destaca la necesidad de integrar los riesgos climáticos y medioambientales en los marcos de gestión de riesgos financieros, así como de desarrollar instrumentos financieros que faciliten la transición hacia modelos productivos más sostenibles. La preparación del sector financiero se vincula así a la sostenibilidad económica y a la estabilidad a largo plazo del sistema financiero europeo.

 

 

Reforma de EMIR de 2024 (3) Agentes de Publicación y Repositorios

Posted on por

Continua esta entrada comentando las reformas incorporadas por el Reglamento (UE) 2019/834 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, que modifica el Reglamento (UE) n.° 648/2012 en lo relativo a la obligación de compensación, la suspensión de la obligación de compensación, los requisitos de notificación, las técnicas de reducción del riesgo en los contratos de derivados extrabursátiles no compensados por una entidad de contrapartida central, la inscripción y la supervisión de los registros de operaciones y los requisitos aplicables a los registros de operaciones: El llamado EMIR-REFIT

La reforma EMIR con REFIT introdujo, junto a las reseñadas en las entradas anteriores, otra novedad importante. Se trata de la   clarificación y refuerzo del papel de determinados intermediarios que operan en los mercados: los repositorios o  Trade Repositories (TRs) y los denominados agentes de publicación

  • Los Trade Repositories son instituciones encargadas de recibir, conservar y validar los datos relativos a las operaciones con derivados. Actúan como guardianes de la calidad de la información del mercado, asegurando que las entidades obligadas —tales como bancos, empresas de servicios de inversión, aseguradoras o fondos— reporten sus transacciones de manera completa, exacta y conforme a los formatos técnicos exigidos por la normativa. Cuando se detectan errores, omisiones o inconsistencias, el TR puede rechazar los datos reportados o exigir su rectificación, constituyendo así una primera línea de defensa para la fiabilidad del sistema.
  • Por su parte, los Agentes de Publicación desempeñan una función complementaria, al encargarse de recopilar, validar y divulgar públicamente la información de las operaciones, especialmente aquellas sujetas a obligaciones de transparencia pre y post-negociación en virtud de MiFIR. Ambos mecanismos —repositorios y APAs— resultan esenciales para mejorar la transparencia del mercado y permitir una supervisión eficaz.

Rododentrito

 

Parte de las obligaciones de REFIT se concretan mediante el  Reglamento Delegado (UE) 2022/1855 y el Reglamento de Ejecución (UE) 2022/1860.

Por su parte, ESMA emitió el 20 de diciembre de 2022 unas directrices destinadas a clarificar y armonizar la aplicación de los nuevos requisitos de notificación de operaciones sujetos al Reglamento EMIR. Estas directrices complementan el Reglamento Delegado (UE) 2022/1855 y el Reglamento de Ejecución (UE) 2022/1860, con el objetivo de establecer un modelo uniforme de comunicación de derivados extrabursátiles a los registros de operaciones en toda la Unión Europea.

Las Directrices,  que han sido formalmente adoptadas por la Comisión Nacional del Mercado de Valores (CNMV) como autoridad competente en España, establecen criterios detallados sobre las obligaciones de notificación a los registros de operaciones (trade repositories), aclarando qué operaciones deben reportarse, cómo debe realizarse la notificación y quiénes están obligados a llevarla a cabo.

  • Entre otras precisiones, establecen que deben notificarse los derivados sobre divisas a plazo (con liquidación más allá de dos días hábiles tras la ejecución), pero no los contratos al contado sobre divisas.

  • Especifican los campos de la nueva plantilla que debe utilizarse para la notificación: contraparte 1 y 2, rol comprador/vendedor, campos “event type” y “action type”, posiciones, identificadores únicos de transacción (UTI), datos sobre precio, nocional, cantidad, valoración (mark-to-market) e intercambio de colateral, así como detalles sobre liquidación, confirmación y pagos.

  • Orientaciones y ejemplos prácticos que muestran cómo completar la plantilla y el correspondiente mensaje XML para distintos tipos de derivados (tipos de interés, divisas, CFDs, derivados sobre renta variable, crédito y materias primas)

  • Clarificación del ámbito de aplicación: operaciones que califican como derivados según EMIR y, por tanto, deben notificarse; condiciones detalladas para solicitar la exención de notificación de operaciones intragrupo; instrucciones sobre delegación de notificación, incluyendo responsabilidades cuando una contraparte financiera reporte en nombre de una contraparte no financiera

  • Algunos productos deberán – o no- ser notificados , en función de algunas de sus características.
    • Los derivados sobre criptoactivos deberán notificarse únicamente cuando tengan la consideración jurídica de derivados conforme al Reglamento EMIR, como sucede con las opciones, futuros o permutas.
    • También deben notificarse los swaps de rendimiento total,  en función de su activo subyacente, ya sea como derivados de crédito o de renta variable.
  • Otros productos quedan excluidos:
    • Las permutas de liquidez y de garantías quedan excluidas de la obligación de notificación, al estar sometidas al régimen del Reglamento sobre operaciones de financiación de valores.
    • Asimismo, determinados productos financieros, como los instrumentos con derivados implícitos (por ejemplo, los bonos convertibles), los productos de financiación estructurada y algunos valores negociables regulados por MiFID, no se consideran derivados a estos efectos y, por tanto, no deben ser notificados.
    • En cuanto a los derivados intragrupo, si bien el artículo 9.1 del EMIR ya contemplaba una posible exención, las nuevas Directrices desarrollan con mayor detalle los requisitos y plazos para su aplicación, incluyendo ejemplos prácticos, y exigen una solicitud expresa ante la autoridad nacional competente, (la CNMV ha publicado una guía y el formulario correspondiente).

Por otra parte, las Directrices especifican aspectos técnicos de la presentación de la información, como el uso de plantillas normalizadas y la cumplimentación de campos concretos, incluyendo ejemplos aplicables a derivados sobre tipos de interés (como IRS, FRAs, caps y floors), permutas financieras de divisas, contratos por diferencias, derivados de crédito, de renta variable o sobre materias primas. Igualmente, se abordan cuestiones como la posibilidad de delegar la notificación, la obligación de informar sobre todas las fases del contrato —celebración, modificación y cancelación—, así como la declaración del nivel de exposición entre contrapartes a lo largo de la vida del derivado. Finalmente, se determina qué partes están obligadas a notificar en los casos en que los derivados sean negociados en mercados regulados y compensados por una entidad de contrapartida central.

Reforma de EMIR (EMIR REFIT) 2024 (1). Visión general

Posted on por

EMIR Refit: Principales Novedades del Reglamento (UE) 2019/834 (EMIR Refit)

El Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (conocido como EMIR), entró en vigor el 16 de agosto de 2012, con el objetivo de aumentar la transparencia en los mercados de derivados OTC (over-the-counter), reducir el riesgo sistémico y mejorar la supervisión de estas operaciones.

Guess who

Posteriormente, el EMIR fue modificado por el Reglamento (UE) 2019/834, de 20 de mayo de 2019, más conocido como EMIR Refit, en el marco del programa de revisión de la legislación financiera de la Unión Europea. Esta reforma introdujo ajustes relevantes en relación con las obligaciones de compensación, los requisitos de notificación, las técnicas de mitigación de riesgos y el régimen aplicable a los registros de operaciones, con un enfoque de simplificación y proporcionalidad.

El EMIR REFIT, como actualización obligatoria del Reglamento EMIR, tiene como objetivo fundamental mejorar la armonización y estandarización del reporting de transacciones de derivados en la Unión Europea. Esta reforma implica cambios sustanciales en los requisitos de notificación, tanto en aspectos técnicos como operativos, afectando a todas las entidades sujetas al régimen. Ante la proximidad de la fecha de entrada en vigor, resulta imprescindible que todas las empresas aseguren su adecuada preparación para cumplir con las nuevas obligaciones, independientemente de que el reporting se gestione internamente o mediante terceros.

El ámbito de aplicación del EMIR incluye todos los contratos de derivados extrabursátiles (OTC), es decir, aquellos que no se negocian en mercados regulados según la normativa MIFID. Estos contratos están sujetos a las obligaciones de compensación centralizada o, en su defecto, a técnicas de mitigación del riesgo. Además, todos los contratos de derivados, tanto OTC como negociados en mercados organizados, deben reportarse a un registro de operaciones autorizado o reconocido por ESMA (la Autoridad Europea de Valores y Mercados).

Se consideran contrapartes financieras las entidades de crédito, empresas de servicios de inversión, aseguradoras, fondos de inversión y de pensiones (con ciertas exenciones), fondos alternativos y depositarios centrales de valores. Por su parte, las contrapartes no financieras comprenden todas aquellas entidades que no entran en la categoría anterior. Para estas últimas, EMIR fija umbrales cuantitativos que determinan si están sujetas a obligaciones de compensación centralizada.

Principales obligaciones bajo EMIR y EMIR Refit

Camelias

  1. Compensación obligatoria a través de entidades de contrapartida central (ECC): Las entidades financieras y no financieras que superen los umbrales establecidos deben compensar determinados contratos de derivados mediante una ECC autorizada. En caso de operaciones entre entidades del mismo grupo, pueden aplicarse exenciones si se cumplen los requisitos del artículo 4.2 del Reglamento.
  2. Notificación a los registros de operaciones: Todas las contrapartes deben reportar sus contratos de derivados a un registro autorizado. No obstante, se introduce una simplificación: cuando una entidad financiera contrata con una contraparte no financiera que no ha superado los umbrales, será la financiera quien asuma la obligación de notificación.
  3. Notificaciones a las autoridades: Las entidades que superen los umbrales de compensación o decidan no calcular sus posiciones deberán comunicarlo a la CNMV y a ESMA, quedando sujetas a la compensación obligatoria.
  4. Técnicas de mitigación del riesgo para derivados no compensados: Incluyen la confirmación rápida de contratos, conciliación de carteras, resolución de litigios, valoración periódica e intercambio de garantías cuando se superan ciertos umbrales. EMIR Refit refuerza estas prácticas, haciendo especial hincapié en la compresión de carteras para reducir la exposición sistémica.
  5. Exenciones para operaciones intragrupo: Cuando se den ciertas condiciones —como pertenencia a la misma consolidación, procedimientos centralizados de gestión del riesgo y ausencia de entidades financieras como matriz—, se permite eximir de la compensación y del reporting a las operaciones entre empresas del mismo grupo. Estas exenciones deben notificarse formalmente a la autoridad competente.
  6. Suspensión temporal de obligaciones de compensación: Se introduce la posibilidad de suspender la obligación de compensación en situaciones excepcionales, cuando esté en juego la estabilidad financiera o el funcionamiento ordenado del mercado.
  7. Requisitos para registros de operaciones: EMIR Refit endurece los criterios de autorización y supervisión de los registros de operaciones, con el fin de mejorar la calidad de los datos y facilitar el trabajo de las autoridades supervisoras.

Aspectos concretos

  1. Nuevos umbrales de compensación para contrapartes no financieras. Las entidades no financieras están sujeta a la obligación de compensación si el valor nocional bruto de sus contratos de derivados OTC excede alguno de los siguientes umbrales (calculados excluyendo los contratos con fines de cobertura):
  • 1.000 millones EUR en derivados de crédito
  • 1.000 millones EUR en derivados sobre acciones
  • 3.000 millones EUR en derivados sobre tipos de interés
  • 3.000 millones EUR en derivados sobre divisas
  • 4.000 millones EUR en derivados sobre materias primas u otros subyacentes

2. Principales cambios en las normas de reporting

El EMIR REFIT introduce áreas clave de modificación en las reglas de notificación. En primer lugar, se amplía significativamente el volumen de datos requeridos, incrementando el número de campos reportables de 129 a 203. Esta ampliación demanda una revisión detallada de la lógica de reporte, especialmente en campos como “tipo de acción” y “tipo de evento”, diseñados para mejorar la transparencia y trazabilidad de las operaciones. Asimismo, se incorporan nuevos campos relativos a la información sobre las contrapartes y la clasificación de productos, con el fin de resolver ambigüedades previas en el reporting de derivados OTC.

Adicionalmente, se establece la obligatoriedad del formato XML ISO 20022 para la transmisión de datos a los repositorios de operaciones, con el propósito de estandarizar los modelos técnicos de reporting en toda la Unión Europea. Esta transición técnica puede representar un desafío para aquellas entidades acostumbradas a formatos previos. También se contempla un enfoque escalonado para la implementación, que exigirá que las posiciones abiertas existentes cumplan con los nuevos estándares en un plazo máximo de seis meses desde la entrada en vigor, imponiendo obligaciones adicionales en cuanto a la notificación de eventos posteriores al ciclo de vida de las operaciones.

3. Gobernanza y Controles

Dada la relevancia crítica de contar con un reporting preciso y conforme, todas las entidades deben establecer marcos robustos de gobernanza y control para asegurar el cumplimiento del EMIR REFIT. En particular, aquellas que delegan el reporting a terceros deberán ejercer una supervisión estrecha sobre estas actividades, garantizando el seguimiento continuo de la calidad de los datos, la resolución eficiente de incidencias y una comunicación fluida con las autoridades regulatorias nacionales.

 

Desarrollo (Directrices ESMA, Regulación de Desarrollo de la Comisión y adopción nacional)

  • Como corresponde, ESMA redactó Directrices (asumidas por algunos supervisores nacionales de modo directo) y además incorporadas al desarrollo reglamentario en forma del Reglamento Delegado (UE) 2022/1855 y el Reglamento de Ejecución (UE) 2022/1860—, cuyo plazo de entrada en vigor está fijado para el 29 de abril de 2024.
  • Por su parte, la Comisión Nacional del Mercado de Valores (CNMV) ha adoptado formalmente estas Directrices y las utilizará como base para supervisar el cumplimiento de las obligaciones de notificación. De este modo, la CNMV, en su calidad de autoridad española competente en materia de derivados, ofrece claridad a las contrapartes sobre los criterios a seguir para la notificación de la suscripción, modificación y cancelación de derivados a partir de la mencionada fecha.
Clasificación de derivados y algunos plazos especiales
  • Las Directrices aclaran dudas sobre la clasificación de ciertos contratos como “derivados” y, en consecuencia, sobre la necesidad o no de notificar su suscripción. Algunos ejemplos relevantes son:
  • Se deberán notificar los derivados de divisas a plazo (con entrega a partir de tres días tras la ejecución), pero no los contratos al contado.
  • Solo serán objeto de notificación los derivados sobre criptoactivos que se consideren derivados según el Reglamento EMIR, es decir, aquellos que sean opciones, futuros, permutas, instrumentos de transferencia de riesgo o contratos por diferencias.
  • Los swaps de rendimiento total deben notificarse y se clasificarán como derivados de crédito o de renta variable, según el activo subyacente.
  • Las permutas de liquidez y las permutas de garantías quedan excluidas de la obligación de notificación en virtud del Reglamento EMIR, ya que se regulan por separado en el Reglamento relativo a operaciones de financiación de valores.
  • No se consideran derivados, y por tanto no se notifican, los siguientes instrumentos:
    • Instrumentos financieros con derivados implícitos, como bonos convertibles.
    • Productos de financiación estructurada, por ejemplo valores creados para titulizar y transferir riesgos de crédito.
    • Valores negociables regulados por MiFID distintos a productos de financiación estructurada, tales como warrants convencionales, certificados de apalancamiento, warrants exóticos, derechos negociables y certificados de inversión.
  • Derivados intragrupo. Aunque el Reglamento EMIR ya contemplaba la exención de notificar derivados intragrupo (artículo 9.1), las Directrices precisan los plazos y requisitos para su aplicación, e incluyen ejemplos ilustrativos. Para acogerse a esta exención, el grupo empresarial debe solicitar autorización ante la autoridad nacional competente, para lo cual la CNMV facilita una Guía de Usuario con el formulario correspondiente.

Aspectos adicionales relevantes.

Las Directrices desarrollan aspectos técnicos sobre las plantillas y campos de notificación, con aclaraciones y ejemplos para productos como:

  • Derivados sobre tipos de interés (IRS, FRAs, caps y floors).
  • Permutas financieras de divisas y contratos a plazo.
  • Contratos a plazo no entregables.
  • Contratos por diferencias.
  • Derivados sobre renta variable.
  • Derivados de crédito.
  • Derivados sobre materias primas.

También abordan temas como la delegación en la notificación, la obligación de informar sobre las distintas fases de los derivados (celebración, modificación y cancelación) , la notificación del nivel de posición entre contrapartes durante la vida del contrato y explican quiénes están obligados a notificar derivados negociados en mercados regulados y compensados mediante entidades de contrapartida central.

 

DORA en profundidad: El Reglamento Delegado (UE) 2024/1774 y la continuidad operativa en el sector financiero

Posted on por

En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.

Objetivo y Alcance del Reglamento Delegado. 

Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.

Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:

  • Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
  • Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
  • Gobernanza interna en relación con los riesgos TIC (art. 28-30).

Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:

  • Identificar funciones críticas o importantes (CFI) y sus dependencias.
  • Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
  • Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
  • Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.

Gestión integral del riesgo TIC

Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.

En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.

El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.

  • Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
  • Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente

El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.

El artículo 10 regula la gestión de vulnerabilidades y parches.

  • En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
  • En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució

Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.

  • Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
  • También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
  • Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.

Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.

 En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.

Políticas y  Planes de continuidad operativa.

Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.

  • El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
    • Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
  • Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
  • El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).

Mongolfiera

Los requisitos reforzados para ciertas entidades se contemplan en el art 27:

  • Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
  • Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
  • Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.

Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.

Gobernanza Interna y control 

Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.

  • En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
  • El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
  • Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.

ESMA publicó sus directrices para prevenir el abuso de mercado en criptoactivos, en desarrollo del Reglamento MiCA

Posted on por

ESMA publica , el 29 abril 2025, directrices para prevenir el abuso de mercado en criptoactivos, en desarrollo del Reglamento MiCA

 

Se trata del  Informe Final sobre las Directrices relativas a las prácticas de supervisión para prevenir y detectar el abuso de mercado en virtud del Reglamento (UE) 2023/1114 sobre los mercados de criptoactivos (MiCA)) .  Este documento constituye una pieza importante en la regulación europea para los criptoactivos. Establece un marco armonizado de actuación para las autoridades nacionales competentes (NCAs) a los efectos de prevenir prácticas abusivas en los mercados de criptoactivos. La publicación se enmarca en el proceso de implementación progresiva del Reglamento (UE) 2023/1114 (MiCA).

Antecedentes

MiCA establece normas uniformes para el mercado de criptoactivos en la UE, un tipo de activos que hasta entonces carecía de regulación (se incluyen en su ámbito los tokens de referencia de activos y los tokens de dinero electrónico),. La regulación abarca la transparencia, la divulgación, la autorización y la supervisión de las transacciones para la protección del mercado y de los consumidores.

Las disposiciones de MiCa se aplican a cualquier persona que realice actos relacionados con criptoactivos admitidos a negociación o respecto de los cuales se haya presentado una solicitud de admisión a negociación, independientemente de que dichas operaciones se realicen o no en una plataforma de negociación, y tanto si se realizan en la UE como en terceros países .El abuso de mercado puede revestir  la forma de utilización de información privilegiada (arts 87 a 90 MiCa), o de otros tipos de manipulación (art 91 MICA)

MiCa reconoce como “información privilegiada” aquella de carácter concreto, aún no divulgada públicamente, que se refiera a emisores, oferentes, solicitantes de admisión a negociación o a los propios criptoactivos, y cuya publicación pudiera afectar significativamente su cotización. Esta definición incluye también información concreta transmitida por clientes respecto a órdenes pendientes. Se exige que los emisores, oferentes o solicitantes de admisión a negociación hagan pública, con prontitud y de forma comprensible, la información privilegiada que les concierna directamente, garantizando su disponibilidad durante al menos cinco años en sus sitios web. Se admite, no obstante, la posibilidad de retrasar su publicación bajo determinadas condiciones, siempre que se preserven la legitimidad del interés, la claridad informativa y la confidencialidad, debiendo informar posteriormente a la autoridad competente y justificar el cumplimiento de los requisitos. Asimismo, se prohíbe expresamente el uso de información privilegiada para operar en el mercado, ya sea mediante adquisición, cesión o transmisión de criptoactivos, incluidas las recomendaciones o incitaciones a terceros para actuar basándose en dicha información. Con estas disposiciones, MiCA busca consolidar un marco homogéneo en la Unión Europea que preserve la integridad y transparencia del incipiente mercado de criptoactivos, equiparándolo en garantías a los mercados financieros tradicionales.

Luminaria, Pisa

Las directrices se fundamentan en dos disposiciones esenciales:

  • En primer lugar, el artículo 92(3) del Reglamento MiCA, que faculta expresamente a la ESMA para emitir directrices dirigidas a las autoridades nacionales con el fin de garantizar una aplicación coherente de las obligaciones relativas a la prevención del abuso de mercado. Los apartados 1 y 2 del mismo precepto, además, imponen a los proveedores de servicios de criptoactivos (CASPs) y a los emisores, la obligación de establecer sistemas eficaces para prevenir y detectar conductas como la manipulación de mercado, el uso indebido de información privilegiada o la difusión de información engañosa.
  • En segundo lugar, en el artículo 16 del Reglamento (UE) n.º 1095/2010, que regula el funcionamiento de la ESMA y le otorga la competencia para emitir directrices y recomendaciones dirigidas tanto a las autoridades como a los participantes del mercado, con el objetivo de fomentar prácticas supervisoras coherentes y eficaces en toda la Unión Europea.

Entre las diferentes medidas previstas en MiCA, las entidades deben adoptar y cumplir con una política de prevención y prohibición de abuso de mercado, y sus comportamientos relativos a esa política y prohibiciones serán supervisadas por los estados.

El objetivo principal de estas directrices es proporcionar a las Autoridades Estatales que supervisan la aplicación de MICA y, en concreto, las prohibiciones de abuso un marco metodológico común para supervisar los mercados. Y, más específicamente, los mercados de criptoactivos, teniendo en cuenta las particularidades de este sector. Entre los riesgos específicos que se abordan destacan la naturaleza transfronteriza de los criptoactivos, que dificulta la trazabilidad de las operaciones; el uso intensivo de redes sociales; y la alta volatilidad y opacidad de ciertos instrumentos, que pueden facilitar conductas abusivas difíciles de detectar con los métodos tradicionales de supervisión.

Las directrives se estructuran en torno a ocho principios operativos:

  • El primero es el de proporcionalidad, que exige adaptar las medidas de supervisión al perfil de riesgo y a las características del mercado supervisado.
  • El segundo principio establece un enfoque general de prevención y detección, que insta a las autoridades a adoptar estrategias proactivas y coordinadas.
  • El tercer principio promueve la integración de prácticas existentes, especialmente aquellas desarrolladas bajo el Reglamento de Abuso de Mercado (MAR), lo que permite aprovechar la experiencia acumulada en mercados financieros tradicionales.
  • El cuarto principio aboga por una cultura supervisora común, basada en la cooperación entre autoridades y en el intercambio de información y buenas prácticas.
  • El quinto principio introduce una supervisión basada en riesgos, que implica priorizar recursos en función de los riesgos más relevantes.
  • El sexto principio fomenta un diálogo abierto con el mercado, para identificar riesgos emergentes y promover el cumplimiento normativo.
  • El séptimo principio impulsa iniciativas de promoción de la integridad del mercado, como campañas de concienciación y formación. Finalmente, el octavo principio recomienda el uso de herramientas tecnológicas avanzadaspara la vigilancia y el análisis de datos en tiempo real, con el fin de detectar patrones sospechosos de comportamiento.

Conforme al procedimiento establecido en el artículo 16 del Reglamento de la ESMA, las autoridades nacionales deberán notificar a ESMA , en un plazo de dos meses, si cumplen, si tienen la intención de cumplir, o si no seguirán las directrices. Esta obligación de notificación permite a la ESMA evaluar el grado de armonización en la aplicación del Reglamento MiCA en los distintos Estados miembros.

Ver

  • ECHEBARRÍA SAENZ, M.,»El abuso de mercado en la propuesta de Reglamento MiCA”, Guía de Criptoactivos MICA, Madrid Parra, A. Pastor Sempere, C. (Dir), Thomson-Reuters-Aranzado, 2021
  • TAPIA HERMIDA, A ,https://ajtapia.com/2024/09/criptoactivos-la-aplicacion-del-reglamento-europeo-sobre-mercados-de-criptoactivos-reglamento-mica-a-partir-del-30-de-diciembre-de-2024-5-funcionamiento/

 

 

Accionistas y política ambiental: Acceso a documentos de un banco para verificar el cumplimiento de las declaraciones ambientales

Posted on por

En este breve comentario se presta atención a una solicitud de acceso a documentos corporativos, por parte de un grupo de accionistas de un banco australiano. Se trataba de averiguar la fidelidad y verdad de las declaraciones de los representes del banco en relación con el cumplimiento de sus políticas medioambientales y sociales, especialmente en lo relativo a ciertos requisitos de las inversiones.

En 2019, el Commonwealth Bank of Australia (CBA) anunció públicamente su

Azaleas

Marco Medioambiental y Social, que incluía el  compromiso de que (sus)  políticas de préstamos empresariales apoyarán la transición responsable hacia una economía de emisiones netas cero para 2050, para lo cual… solo prestaremos servicios  bancarios y de financiación en el sector de los proyectos de explotación de petróleo, gas o carbón fósil cuando estén respaldados por una evaluación de los impactos ambientales, sociales y económicos de dicha actividad que demuestre su coherencia con los  objetivos del Acuerdo de París.

En este contexto, los señores Guy y Kim Abrahams accionistas del banco y representantes (fideicomisarios) del Abrahams Family Trust observaron que algunas inversiones que se estaban realizando suscitaban dudas en cuanto a su compatibilidad y coherencia con la declarada política ambiental del banco.

  • El banco estaba, en efecto, proporcionando más de 50 millones de dólares (septiembre de 2019) abriendo una línea de crédito de 545 millones de dólares para la construcción y desarrollo inicial del nuevo gasoducto Permian Highway Pipeline, de 692 km. Esta infraestructura ya ha sido terminada y transporta 2. 1.000 millones de pies cúbicos diarios de gas natural a través de Texas, en Estados Unidos.
  • Además CBA era uno de los promotores y miembros principales  de un sindicato de préstamos que proporciona financiación (deuda) por valor de 1.050 millones de dólares para construir nuevos buques de GNL por parte de Gaslog Ltd (2019)
  • También lideraba el pool de financiadores para los nuevos buques de GNL de FLEX LNG Ltd de (2020), entre otros proyectos 

El 26 de agosto de 2021, Guy y Kim Abrahams  presentaron una solicitud ante el Tribunal Federal de Australia para acceder a documentos del banco, apoyándose  en lo dispuesto en la Ley de Sociedades de Australia de 2001. Concretamente pedían acceder a documentos vinculados con la  participación del banco en los mencionados proyectos (y en otros que suscitaban similares preocupaciones).  A raíz de la audiencia de 4 de noviembre de 2021, el Tribunal Federal de Australia accedió a la solicitud de inspección de documentos, estableciendo los periodos y etapas al efecto (entre el 9 de diciembre de 2021 y el 10 de febrero de 2022).

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

Externalización de servicios «nube» en el sector financiero. Directrices ESMA

Posted on por

Las Directrices de Externalización a Proveedores de Servicios en la Nube publicado por la Autoridad Europea de Valores y Mercados (ESMA) (10.05.2021)  tienen como objetivo principal ayudar a las empresas financieras a identificar, abordar y supervisar los riesgos derivados de la externalización de servicios a proveedores de la nube. Estas directrices buscan garantizar que las entidades mantengan un marco sólido de gobernanza y control al adoptar servicios en la nube, promoviendo una convergencia supervisora en toda la Unión Europea.

Las directrices de ESMA aplican a todas las entidades bajo su supervisión, incluyendo:

        • Empresas de inversión
        • Entidades de crédito que ofrecen servicios de inversión
        • Contrapartes Centrales (CCPs)
        • Depósitos Centrales de Valores (CSDs)
        • Gestores de fondos de inversión (UCITS y AIFMs)

Estas entidades deben cumplir con las directrices cuando externalizan funciones críticas o importantes a proveedores de servicios en la nube.

Azaleas

Los aspectos y orientaciones principales en estas Directrices son:

1.- Evaluación de riesgos y diligencia debida: Las empresas deben realizar una evaluación exhaustiva de riesgos y una diligencia sobre el futuro proveedor debida antes de contratar a tal proveedor de servicios en la nube (CSP). Esto implica analizar la capacidad del CSP para cumplir con los requisitos legales y regulatorios, así como su solidez financiera y medidas de seguridad.

  • En relación con la debida diligencia: Se deben evaluar los riesgos del proveedor antes de la contratación, considerando su solidez financiera, capacidad técnica, ubicación y cumplimiento normativo. Ello incluye:

        • Solidez financiera y estabilidad del proveedor.
        • Capacidad técnica y cumplimiento con estándares de seguridad y normativas.
        • Ubicación de los servidores y jurisdicciones aplicables.
        • Historial de incidentes de seguridad o interrupciones del servicio.
        • Cumplimiento normativo con GDPR y regulaciones financieras.

  • Por lo que respecta a la gobernanza interna (y al control sobre el proveedor): Se requiere una estrategia clara de externalización y una supervisión adecuada por parte del consejo de administración. Se debe deben establecer un marco claro para gestionar la externalización, que incluya:

        • Un proceso formal de aprobación para externalizar funciones críticas.
        • Supervisión continua del proveedor mediante revisiones periódicas.
        • Una estrategia para garantizar la continuidad del negocio en caso de interrupciones en el servicio.
        • Roles y responsabilidades definidos para la gestión de los servicios en la nube.
        • Aprobación y puesta en marcha de  políticas y procedimientos adecuados para la gestión de la externalización en la nube.

3.- Elementos contractuales esenciales en la externalización de servicios: Los acuerdos de externalización deben contener cláusulas específicas que aborden aspectos como la confidencialidad, la integridad y la disponibilidad de los datos, los niveles de servicio esperados, los derechos de auditoría y el cumplimiento de las normativas aplicables. Además deben:

        • Definir los niveles de servicio (alcance  y niveles de servicio (SLAs), incluyendo tiempos de respuesta y disponibilidad).
        • Responsabilidades de ambas partes en caso de incidentes de seguridad o fallos en el servicio y penalizaciones
        • Garantizar acceso, auditoría y supervisión por parte de la entidad y de las autoridades regulatorias.
        • Planes de continuidad, de terminación y de salida con cláusulas adecuadas para minimizar riesgos en caso de finalización del contrato (ver apartado 4).
        • Medidas para la  confidencialidad, integridad y disponibilidad de los datos externalizados.
        • Sistemas para verificar el cumplimiento normativo por parte del proveedor.

4.- Estrategias de salida: Las empresas del sector deben desarrollar planes de salida que aseguren una transición ordenada y minimicen la interrupción de los servicios en caso de finalizar la relación con el CSP. Estos planes deben contemplar la recuperación de datos y la continuidad operativa, así como:

        • Establecer mecanismos para recuperar datos y sistemas en caso de terminación del servicio.
        • Definir estrategias de transición a otros proveedores o reinternalización de los servicios.

5.- Notificación a las autoridades competentes: Conforme a DORA, existe obligación de notificar a las autoridades competentes sobre los acuerdos de externalización en la nube que involucren funciones críticas o importantes. En las directrices se señala que la notificación debe incluir información detallada sobre la naturaleza de los servicios externalizados y las medidas de control implementadas.

 

Sobre la Directiva DORA, (complementa al Reglamento DORA) y las cadenas de proveedores TIC en el sector financiero

Posted on por

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Il Giardino II

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

  • Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
  • Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
  • Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
  • Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
  • Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
  • Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
  • Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
  • Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

  1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
  2.  Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
  3. Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
  4. Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto,  las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

  • La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
  • Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

  4.5 Intervención de las Autoridades de Supervisión

  • Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

  • La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
  • En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
  • Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

  • El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
  • El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
  • El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
  • Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la  Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

Posted on por

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Actualizando – a propósito de la ciberseguridad en mercados de valores. EEUU

Posted on por

Con motivo de una intervención , estos días, en el I Encuentro INCIBE de Académicos  en materia de Ciberseguridad y Derecho, se retoma y actualiza una antigua entrada de agosto de 2017

Decíamos que en EEUU la Regulation Systems Compliance and Integrity , RSCI un reglamento que había sido aprobado por la Securities and Exchange Commission, SEC, en 2014. El objetivo principal del RSCI es lograr un funcionamiento seguro de los sistemas tecnológicos de los  «participantes clave del mercado». La RSCI fue objeto de atención mediática y constituyó una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas informáticos que habían sido comunicados, o que se habían hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash «crash» de 6 de mayo de 2010. 

La SEC ya -antes de 2015- contaba con una línea de política estratégica de seguridad basada en principios voluntarios (Política de Revisión de la Automatización, ARP) , que incluía inspecciones de vigilancia tecnológica. Además, la Government Accountability Office había recomendado introducir normas obligatorias, así como mayores controles y supervisión de los sistemas informáticos con incidencia en la actividad de los mercados. La RSCI avanza en esa línea:

    • Los sistemas de cumplimiento y de integridad a los que refiere a RSCI consisten en mecanismos informáticos y procedimientos pautados que se utilizan en procesos digitales desarrollados en los centros de negociación y en su entorno. Se despliegan sobre la negociación, la liquidación, el enrutamiento de ordenes, los datos operativos y de supervisión de mercado, entre otros.
    • La RSCI impone que las entidades aprueben políticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Deben garantizar que cuentan con «niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados”. Se les impone, además, estrictas obligaciones de notificación al supervisor de mercados (SEC), y de difusión de información entre sus propios administradores y altos ejecutivos, y entre  los miembros o partes que se relacionen con la entidad, además de deberes de registro de los incidentes y de las medidas de cumplimento.
    • El vigente Reglamento exige a las entidades sujetas, entre otras cosas: disponer de políticas y procedimientos exhaustivos diseñados razonablemente para garantizar que sus sistemas tengan los niveles de capacidad, integridad, resistencia, disponibilidad y seguridad adecuados para mantener la capacidad operativa y promover el mantenimiento de unos mercados justos y ordenados; adoptar las medidas correctivas apropiadas en respuesta a los problemas de los sistemas; proporcionar notificaciones e informes a la Comisión diseñados para facilitar la supervisión de la tecnología del mercado de valores; difundir información sobre los problemas de los sistemas a las partes afectadas; realizar una revisión anual de las políticas y procedimientos de las entidades sujetas. Estas entidades también tendrán que realizar pruebas coordinadas de continuidad de la actividad y pruebas de recuperación en caso de catástrofe (BC/DR), sobre ambas tendrán que crear, mantener y conservar registros.
    • En relación con los marcos tecnológicos, como no existían referencias tecnológicas totalmente fiables se presume que son seguras las disposiciones que se vayan aprobando para el sector financiero por el gobierno de los Estados Unidos u otra «organización ampliamente reconocida”

Paraninfo Gordón Ordás. Universidad de León

Actualmente el RSCI entrado en un proceso de reforma: En 2023 la SEC propuso modificaciones al RSCI de la Securities Exchange Act de 1934 («Exchange Act»),  cuyo resumen puede consultarse aquí

Las modificaciones propuestas ampliarían la definición de «entidad sujeta» para incluir una gama más amplia de participantes en las infraestructura del mercado de valores de Estados Unidos, y actualizarían ciertas disposiciones del RSCI para tener en cuenta la evolución del panorama tecnológico de los mercados:

      • La ampliación propuesta añadiría las siguientes entidades: los depositarios de datos de permutas financieras basadas en valores («SBSDR», por sus siglas en inglés) registrados; los intermediarios registrados que superen un umbral de activos o de actividad de operaciones; y las agencias de compensación adicionales exentas de registro. Los agentes de bolsa registrados ante la Comisión en virtud de la Sección 15(b) que superen un umbral de activos totales o un umbral de actividad de transacción en acciones NMS, opciones cotizadas en bolsa, valores del Tesoro de EE.UU. o valores de la Agencia; y – Todas las agencias de compensación exentas de registro.
      • Además, las actualizaciones propuestas modificarían las disposiciones del Reglamento en relación con : (i) la clasificación de sistemas y la gestión del ciclo de vida; (ii) la gestión de terceros/proveedores; (iii) la ciberseguridad; (iv) la revisión de la SCI; (v) el papel de las normas industriales actuales; y (vi) el mantenimiento de registros y asuntos relacionados.  Sin olvidar que la Comisión ha solicitado comentarios al público sobre si otras entidades, como los intermediarios que utilizan sistemas electrónicos o automatizados para la negociación de valores de deuda corporativa o valores municipales, deben estar sujetos al Reglamento.
      • Otras obligaciones que se imponen , de aprobarse la propuesta de reforma, obligan a especificar que las políticas y procedimientos requeridos de una entidad sujeta incluyen: o bien un programa de inventario, clasificación y gestión del ciclo de vida de los sistemas SCI y los sistemas SCI indirectos; o bien un programa para gestionar y supervisar a terceros proveedores, incluidos los proveedores de servicios en la nube, que proporcionen o soporten sistemas SCI o SCI indirectos. También, como se indicó antes, que cuenten con Planes de resistencia y recuperación (BC/DR) y que éstos prevean la respuesta para supuestos en los que la indisponibilidad de cualquier proveedor externo sin el cual habría un impacto material en los sistemas SCI críticos; o un programa para evitar el acceso no autorizado a los sistemas SCI y a la información en ellos contenida.

Entradas relacionadas:

 

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibernética de infraestructuras mercados. Y, otras guías y propuestas

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Ciberseguridad en mercados de valores (I). Cooperación internacional y flexibilidad

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Investigación financiada por el proyecto nacional PID2021-127527OB-I00, Proyectos de Generación de Conocimiento 2021, Modalidades: Investigación No Orientada e Investigación Orientada

OCDE. Informe sobre Inteligencia Artificial y Machine Learning

Posted on por
Lariño

Lariño

La OCDE aborda en este informe los fenómenos de Machine Learning – ML-, Big Data o Inteligencia Artificial -IA-,  con sus aplicaciones en el ámbito financiero.

El entorno tecnológico digitalizado se une, principalmente en los planos de la captación y análisis de información y de la adopción automatizada o semi automatizada de decisiones de ejecución, para poner en marcha prácticas que en muchos casos ya eran conocidas, pero cuyas consecuencias se intensifican.

Así, por ejemplo el spoofing , práctica ilícita de manipulación del mercado que consiste en hacer ofertas de compra o de venta de valores o materias primas con la intención de cancelar las ofertas antes de la ejecución de la operación ya era posible antes del comercio algorítmico, pero alcanzó mayor notoriedad con el HST (High Speed Trading).  O, con las técnicas de IA y de ML que se aplican en la gestión de activos y en la actividad de compra en los mercados, o para casar activos con órdenes, o para identificar señales y relaciones subyacentes en los grandes datos: No dejan de reproducir operaciones que ya eran conocidas antes, pero que ahora se realizan a velocidad muy superior y con retroalimentación automatizada que permite extraer conclusiones más precisas y en tiempos muy inferiores sin intervención humana. En conjunto este Informe ofrece perspectivas muy útiles sobre las tecnologías digitalizadas en todo el sistema financiero y en el de valores y mercados.

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

Posted on por

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.