Actualizando – a prop贸sito de la ciberseguridad en mercados de valores. EEUU

Con motivo de una intervenci贸n , estos d铆as, en el I Encuentro INCIBE de Acad茅micos聽 en materia de Ciberseguridad y Derecho, se retoma y actualiza una antigua entrada de agosto de 2017

Dec铆amos que en EEUU la Regulation Systems Compliance and Integrity , RSCI un reglamento que hab铆a sido aprobado por la Securities and Exchange Commission, SEC, en 2014. El objetivo principal del RSCI es lograr un funcionamiento seguro de los sistemas tecnol贸gicos de los 聽芦participantes clave del mercado禄. La RSCI fue objeto de atenci贸n medi谩tica y constituy贸 una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas inform谩ticos que hab铆an sido comunicados, o que se hab铆an hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash 芦crash禄 de 6 de mayo de 2010.聽

La SEC ya -antes de 2015- contaba con una l铆nea de pol铆tica estrat茅gica de seguridad basada en principios voluntarios (Pol铆tica de Revisi贸n de la Automatizaci贸n, ARP) , que inclu铆a inspecciones de vigilancia tecnol贸gica. Adem谩s, la Government Accountability Office hab铆a recomendado introducir normas obligatorias, as铆 como mayores controles y supervisi贸n de los sistemas inform谩ticos con incidencia en la actividad de los mercados. La RSCI avanza en esa l铆nea:

    • Los sistemas de cumplimiento y de integridad a los que refiere a RSCI consisten en mecanismos inform谩ticos y procedimientos pautados que se utilizan en procesos digitales desarrollados en los centros de negociaci贸n y en su entorno. Se despliegan sobre la negociaci贸n, la liquidaci贸n, el enrutamiento de ordenes, los datos operativos y de supervisi贸n de mercado, entre otros.
    • La RSCI impone que las entidades aprueben pol铆ticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Deben garantizar que cuentan con 芦niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados鈥. Se les impone, adem谩s, estrictas obligaciones de notificaci贸n al supervisor de mercados (SEC), y de difusi贸n de informaci贸n entre sus propios administradores y altos ejecutivos, y entre 聽los miembros o partes que se relacionen con la entidad, adem谩s de deberes de registro de los incidentes y de las medidas de cumplimento.
    • El vigente Reglamento exige a las entidades sujetas, entre otras cosas: disponer de pol铆ticas y procedimientos exhaustivos dise帽ados razonablemente para garantizar que sus sistemas tengan los niveles de capacidad, integridad, resistencia, disponibilidad y seguridad adecuados para mantener la capacidad operativa y promover el mantenimiento de unos mercados justos y ordenados; adoptar las medidas correctivas apropiadas en respuesta a los problemas de los sistemas; proporcionar notificaciones e informes a la Comisi贸n dise帽ados para facilitar la supervisi贸n de la tecnolog铆a del mercado de valores; difundir informaci贸n sobre los problemas de los sistemas a las partes afectadas; realizar una revisi贸n anual de las pol铆ticas y procedimientos de las entidades sujetas. Estas entidades tambi茅n tendr谩n que realizar pruebas coordinadas de continuidad de la actividad y pruebas de recuperaci贸n en caso de cat谩strofe (BC/DR), sobre ambas tendr谩n que crear, mantener y conservar registros.
    • En relaci贸n con los marcos tecnol贸gicos, como no exist铆an referencias tecnol贸gicas totalmente fiables se presume que son seguras las disposiciones que se vayan aprobando para el sector financiero por el gobierno de los Estados Unidos u otra 芦organizaci贸n ampliamente reconocida鈥
Paraninfo Gord贸n Ord谩s. Universidad de Le贸n

Actualmente el RSCI entrado en un proceso de reforma: En 2023 la SEC propuso modificaciones al RSCI de la Securities Exchange Act de 1934 (芦Exchange Act禄),聽 cuyo resumen puede consultarse aqu铆

Las modificaciones propuestas ampliar铆an la definici贸n de 芦entidad sujeta禄 para incluir una gama m谩s amplia de participantes en las infraestructura del mercado de valores de Estados Unidos, y actualizar铆an ciertas disposiciones del RSCI para tener en cuenta la evoluci贸n del panorama tecnol贸gico de los mercados:

      • La ampliaci贸n propuesta a帽adir铆a las siguientes entidades: los depositarios de datos de permutas financieras basadas en valores (芦SBSDR禄, por sus siglas en ingl茅s) registrados; los intermediarios registrados que superen un umbral de activos o de actividad de operaciones; y las agencias de compensaci贸n adicionales exentas de registro. Los agentes de bolsa registrados ante la Comisi贸n en virtud de la Secci贸n 15(b) que superen un umbral de activos totales o un umbral de actividad de transacci贸n en acciones NMS, opciones cotizadas en bolsa, valores del Tesoro de EE.UU. o valores de la Agencia; y – Todas las agencias de compensaci贸n exentas de registro.
      • Adem谩s, las actualizaciones propuestas modificar铆an las disposiciones del Reglamento en relaci贸n con : (i) la clasificaci贸n de sistemas y la gesti贸n del ciclo de vida; (ii) la gesti贸n de terceros/proveedores; (iii) la ciberseguridad; (iv) la revisi贸n de la SCI; (v) el papel de las normas industriales actuales; y (vi) el mantenimiento de registros y asuntos relacionados.聽 Sin olvidar que la Comisi贸n ha solicitado comentarios al p煤blico sobre si otras entidades, como los intermediarios que utilizan sistemas electr贸nicos o automatizados para la negociaci贸n de valores de deuda corporativa o valores municipales, deben estar sujetos al Reglamento.
      • Otras obligaciones que se imponen , de aprobarse la propuesta de reforma, obligan a especificar que las pol铆ticas y procedimientos requeridos de una entidad sujeta incluyen: o bien un programa de inventario, clasificaci贸n y gesti贸n del ciclo de vida de los sistemas SCI y los sistemas SCI indirectos; o bien un programa para gestionar y supervisar a terceros proveedores, incluidos los proveedores de servicios en la nube, que proporcionen o soporten sistemas SCI o SCI indirectos. Tambi茅n, como se indic贸 antes, que cuenten con Planes de resistencia y recuperaci贸n (BC/DR) y que 茅stos prevean la respuesta para supuestos en los que la indisponibilidad de cualquier proveedor externo sin el cual habr铆a un impacto material en los sistemas SCI cr铆ticos; o un programa para evitar el acceso no autorizado a los sistemas SCI y a la informaci贸n en ellos contenida.

Entradas relacionadas:

 

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibern茅tica de infraestructuras mercados. Y, otras gu铆as y propuestas

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Ciberseguridad en mercados de valores (I). Cooperaci贸n internacional y flexibilidad

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Investigaci贸n financiada por el proyecto nacional PID2021-127527OB-I00,聽Proyectos de Generaci贸n de Conocimiento 2021,聽Modalidades: Investigaci贸n No Orientada e Investigaci贸n Orientada

OCDE. Informe sobre Inteligencia Artificial y Machine Learning

Lari帽o
Lari帽o

La OCDE aborda en este informe los fen贸menos de Machine Learning 鈥 ML-, Big Data o Inteligencia Artificial -IA-, 聽con sus aplicaciones en el 谩mbito financiero.

El entorno tecnol贸gico digitalizado se une, principalmente en los planos de la captaci贸n y an谩lisis de informaci贸n y de la adopci贸n automatizada o semi automatizada de decisiones de ejecuci贸n, para poner en marcha pr谩cticas que en muchos casos ya eran conocidas, pero cuyas consecuencias se intensifican.

As铆, por ejemplo el spoofing , pr谩ctica il铆cita de manipulaci贸n del mercado que consiste en hacer ofertas de compra o de venta de valores o materias primas con la intenci贸n de cancelar las ofertas antes de la ejecuci贸n de la operaci贸n ya era posible antes del comercio algor铆tmico, pero alcanz贸 mayor notoriedad con el HST (High Speed Trading).聽 O, con las t茅cnicas de IA y de ML que se aplican en la gesti贸n de activos y en la actividad de compra en los mercados, o para casar activos con 贸rdenes, o para identificar se帽ales y relaciones subyacentes en los grandes datos: No dejan de reproducir operaciones que ya eran conocidas antes, pero que ahora se realizan a velocidad muy superior y con retroalimentaci贸n automatizada que permite extraer conclusiones m谩s precisas y en tiempos muy inferiores sin intervenci贸n humana. En conjunto este Informe ofrece perspectivas muy 煤tiles sobre las tecnolog铆as digitalizadas en todo el sistema financiero y en el de valores y mercados.

Fortaleza digital en el sector financiero y protecci贸n de datos. A prop贸sito del dictamen del Supervisor Europeo de Protecci贸n de Datos

Se comenta en esta entrada聽 un reciente dictamen del Supervisor Europeo de Protecci贸n de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el 谩mbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24聽de聽septiembre de 2020, la Comisi贸n Europea adopt贸 una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o聽1060/2009, (UE) n.o聽648/2012, (UE) n.o聽600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aqu铆). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye tambi茅n una Propuesta de Reglamento relativo a los mercados de criptoactivos (el 芦Reglamento MiCA), una propuesta sobre un r茅gimen piloto de las infraestructuras del mercado basadas en la tecnolog铆a de registro descentralizado 聽y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA est谩 siendo objeto de an谩lisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacu贸 recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. D铆az
  • En el texto del Dictamen, el SEPD recuerda que cualquier operaci贸n de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA聽 debe tener como referente聽 聽los requisitos de protecci贸n de datos conforme al RGPD y en particular su art铆culo 6, como condici贸n b谩sica para asegurar la salvaguardia de los derechos individuales.
    • Con car谩cter general, ello implica que las entidades financieras deber铆an incorporar a su marco de resiliencia operativa digital mecanismos espec铆ficos y s贸lidos de gobernanza de protecci贸n de datos. Ello incluir铆a sistemas para la determinaci贸n de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, as铆 como de las actividades de tratamiento que tendr谩n lugar.
    • M谩s en particular, considera el SEPD que el sector financiero debe adoptar c贸digos de conducta conformes al art 40 RGPD en los que se dise帽en y delimiten las funciones relativas al tratamiento de datos, as铆 como los procesos de tratamiento justo y transparente
  • Dado que en el 谩mbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitaci贸n del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y m谩s concretamente,聽 recomienda a las entidades financieras que adopten medidas para garantizar que la informaci贸n sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco a帽os, o antes si ya no es necesaria. Y, de modo relacionado, en relaci贸n con la publicaci贸n de multas administrativas,聽 recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protecci贸n de los datos personales de las personas f铆sicas.

 

  • En cuanto a la notificaci贸n de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protecci贸n de datos entre las que directamente reciban estas notificaciones. As铆, el SEPD se帽ala que, en su entender, la redacci贸n del considerando 42 de la Propuesta ser铆a incompatible con el art铆culo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protecci贸n de datos del considerando 42 de la Propuesta que las sit煤a como receptoras indirectas de las notificaciones, y modificar el art铆culo 17 para incluir una聽 obligaci贸n de notificaci贸n聽 directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protecci贸n de datos.
      • Este considerando 42, en la redacci贸n inicial de la Comisi贸n Europea establece que: 芦Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un 谩mbito que corre mucho m谩s riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras f铆sicas de TIC sufran da帽os, debe mejorarse significativamente la notificaci贸n de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificaci贸n de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigi茅ndoles que informen 煤nicamente a sus autoridades competentes. Aunque todas las entidades financieras estar铆an sujetas a esta notificaci贸n, no todas ellas deber铆an verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar 煤nicamente los incidentes graves relacionados con las TIC. La notificaci贸n directa permitir铆a a los supervisores financieros acceder a informaci贸n sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta informaci贸n a las autoridades p煤blicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protecci贸n de datos y autoridades policiales o judiciales en caso de incidentes de car谩cter delictivo). La informaci贸n sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva m谩s amplia禄.聽Pues bien, frente a esta redacci贸n, el art 33 del RGPD establece la obligaci贸n del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violaci贸n de la seguridad de los datos personales, sin dilaci贸n indebida y, de ser posible, a
        72 horas despu茅s de que haya tenido constancia de ella, a menos que sea improbable que dicha violaci贸n de la seguridad constituya un riesgo para los derechos y las libertades de las personas f铆sicas. A帽ade el art 33 RGPD que si la notificaci贸n a la autoridad de control no se efectuase en el plazo de 72 horas, deber谩 ir acompa帽ada de indicaci贸n de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacci贸n inicial, alude a la notificaci贸n directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protecci贸n de datos, circunstancia que el SEPD sugiere subsanar
  • En relaci贸n con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer pa铆s, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del cap铆tulo V del RGPD con arreglo a su interpretaci贸n en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems聽(C-311/18), tambi茅n conocido simplemente como聽Schrems II. El TJUE declar贸 es esa sentencia聽 la invalidez de la decisi贸n de adecuaci贸n relativa al Privacy Shield (escudo de Privacidad) mientras que legitim贸 las transferencias al amparo de las cl谩usulas contractuales tipo (Standard Contractual Clauses) aprobadas聽 por la Comisi贸n Europea. Las consideraciones del fallo聽 impactan en las transferencias de datos desde los Estados miembros de la Uni贸n Europea a pa铆ses fuera del bloque comunitario, incluyendo aquellos en Am茅rica y, especialmente, a los que no han obtenido una decisi贸n de adecuaci贸n.
    • Como es sabido, la Uni贸n Europea ha adoptado un sistema de regulaci贸n horizontal a trav茅s del cual se aprobaron normas generales comprehensivas en materia de protecci贸n de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a pa铆ses que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con聽 Estados Unidos de Am茅rica聽 result贸 necesario tener en cuenta que en este pa铆s se carece de una norma general en materia de protecci贸n de datos personales, aunque existen聽 regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisi贸n de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,聽 un sistema de autorregulaci贸n al cual las empresas en ese pa铆s pod铆an adherir, comprometi茅ndose a respetar ciertas reglas establecidos en su texto. La Comisi贸n Europea declar贸 adecuado este sistema en el a帽o 2000, mediante su (hoy derogada) Decisi贸n de la Comisi贸n, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuaci贸n de la protecci贸n conferida por los principios de puerto seguro para la protecci贸n de la vida privada y las correspondientes preguntas m谩s frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de Am茅rica
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,聽 el Sr Schrems inici贸 una reclamaci贸n contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protecci贸n de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, suced铆a que en Estados Unidos, los datos pod铆an est谩n sujetos a un control estatal por parte de las agencias de investigaci贸n gubernamentales, pr谩ctica que pod铆a afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explic贸 que una gran parte de los datos personales se transfer铆a a Facebook Inc., bas谩ndose en cl谩usulas tipo de protecci贸n de datos.
      • Schrems cuestion贸 la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposici贸n de las autoridades estadounidenses, como la National Security Agency聽(NSA) y la聽Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consider贸 que聽 el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicit贸 al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protecci贸n de datos inici贸 un procedimiento ante el Tribunal Superior de Irlanda y 茅ste elev贸 una cuesti贸n prejudicial al Tribunal de Justicia Europeo sobre la interpretaci贸n de las disposiciones que validan las transferencias internacionales al amparo de las cl谩usulas contractuales tipo y el聽 Safe Harbor.
      • El聽 TJUE valid贸 las transferencias internacionales al amparo de las cl谩usulas contractuales tipo, pero, declar贸 inv谩lido al Safe Harbor. Es decir, consider贸 que las cl谩usulas contractuales tipo son una alternativa v谩lida para legitimar la transferencia a pa铆ses que no posean legislaci贸n adecuada. Sin embargo, en su interpretaci贸n estableci贸 que estas cl谩usulas obligan a las partes a聽 un control activo de la normativa del pa铆s de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenci贸 que el Safe Harbor聽no proporciona una adecuada protecci贸n y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Uni贸n Europea a los Estados Unidos.
      • La declaraci贸n de invalidez del Safe Harbor se bas贸 en dos cuestiones principales. Por una parte que las limitaciones de la protecci贸n de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilizaci贸n por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Uni贸n Europea. Adem谩s, subray贸 el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel pa铆s. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declar贸 inv谩lidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulaci贸n deriv贸 en聽 un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobaci贸n del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que聽 dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el a帽o 2016 la Comisi贸n Europea declar贸 v谩lidas las transmisiones de datos聽 certificadas bajo el r茅gimen del Privacy Shield (Decisi贸n de Ejecuci贸n (UE) 2016/1250 de la Comisi贸n, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuaci贸n de la protecci贸n conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificaci贸n por el que las entidades estadounidenses se comprometen a cumplir聽 principios de protecci贸n de la vida privada 鈥攁 saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios聽 establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisi贸n de Ejecuci贸n (UE) 2016/1250 de la Comisi贸n, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuaci贸n de la protecci贸n conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar 煤nicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas f铆sicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades聽 responsables de la trasferencia internacional de dato a EEUU a聽 establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relaci贸n con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resoluci贸n que conceda un recurso efectivo
Primavera, by M.A. D铆az
  • Finalmente, el SEPD recomienda modificar el art铆culo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetraci贸n guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producci贸n activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedar谩n sometidas a DORA en caso de aprobarse, estar谩n sujetas tambi茅n al RGPD. Y desde esa perspectiva el Dictamen comentado podr铆a resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atenci贸n sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en 茅l no resultasen incorporadas en la Directiva Digital Resilience.

Reporting ESG de los 铆ndices y familias de 铆ndices. Aspectos medioambientales

ESMA emiti贸 recientemente聽 una 鈥淐arta de no acci贸n鈥 (NAL) destinada a las Autoridades Nacionales de Supervisi贸n, designadas de conformidad con el art铆culo 40.1 del Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo sobre los 铆ndices utilizados como referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversi贸n.

El contenido de la NAL est谩 referido a la nueva obligaci贸n divulgaci贸n requisitos ambientales, de sostenibilidad y de gobernanza (ESG) establecidos en los art铆culos 13 1) d) y 27 2a) del聽 mencionado Reglamento, que聽 fue modificado por el Reglamento (UE) del Parlamento Europeo y del Consejo en lo relativo a los 铆ndices de referencia de transici贸n clim谩tica de la UE, los 铆ndices de referencia de la UE armonizados con el Acuerdo de Par铆s y la divulgaci贸n de informaci贸n relativa a las sostenibilidad de los 铆ndices de referencia.

Los nuevos requisitos de divulgaci贸n, conforme al Reglamento modificado son aplicables desde el 30 de abril de 2020.聽 Sin embargo, los actos normativos delegados para su aplicaci贸n a煤n no han sido aprobados por la Comisi贸n Europea (que si hizo p煤blicos los borradores el 8.04.2020) por lo que, a juicio de ESMA, surgen dudas interpretativas leg铆timas relacionadas con las consecuencias jur铆dicas del Reglamento (UE) 2016/1011 y su aplicaci贸n adecuada.

La NAL supone una indicaci贸n a los supervisores nacionales de que en este momento ESMA no considera que los 铆ndices de sostenibilidad para 铆ndices y familias de 铆ndices en materia de sostenibilidad sean una prioridad supervisoria. Y, al mismo tiempo es una llamada a la Comisi贸n sobre la importancia de agilizar el procedimiento legislativo delegado relacionado.

Ciberseguridad en el sector financiero. Propuesta DORA: Actualidad en la UE

聽DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE

En abril de 2019, las Autoridades Europeas de Supervisi贸n hab铆an recomendado a la Comisi贸n Europea que propusiera mejoras espec铆ficas en el marco regulador financiero de la UE para desarrollar una normativa 煤nica de regulaci贸n y supervisi贸n para la resistencia operativa de las TIC en el sector financiero. Sobre tal base principal, la Comisi贸n Europea abri贸 un periodo de consultas sobre este documento (DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE).聽El periodo de consultas聽 estuvo abierto desde 19.03.2019 hasta 19.03.2020.

En particular, la Comisi贸n recab贸 opiniones sobre: 1) requisitos sobre la gesti贸n de los riesgos de seguridad y las TIC en el acervo legislativo aplicable al sector financiero, 2) requisitos de notificaci贸n de incidentes, 3) marco de pruebas de resiliencia operativa digital y 4) supervisi贸n de los proveedores de terceros de TIC a las instituciones financieras.

De entre las respuestas recibidas, destacamos la de la Asociaci贸n Europea de Servicios Financieros (AFME), aqui.

Destacamos de esta respuesta:

NYC_by Jara IPM. One Trade Center Tower
  • En relaci贸n con la seguridad la AFME se muestra proclive a seguir utilizando los instrumentos desarrollados por la industria, como el Perfil de Seguridad Cibern茅tico del Sector de Servicios Financieros (FSSCP) para comparar los marcos de seguridad utilizados actualmente y establecer las mejores pr谩cticas en lugar de recurrir, como parece deducirse de la consulta, a legislaci贸n espec铆fica sobre Objetivos de Tiempo de Recuperaci贸n (OTR) y聽 Objetivos de Punto de Recuperaci贸n (OPR) , que a juicio de AFME se desviar铆an del enfoque basado en principios e incluso puede exacerbar el riesgo de un incidente cibern茅tico .
  • Sobre notificaciones, La AFME reconoce que existe un riesgo cada vez mayor de que proliferen los requisitos de notificaci贸n de incidentes en las empresas, lo que incrementa su carga administrativa y desv铆a a las entidades del objetivo de mitigar riesgos, por lo que recomienda estudiar la forma de apoyar mecanismos eficientes de presentaci贸n de informes 煤nicos para satisfacer distintos objetivos. Tambi茅n recomienda que se analicen modos en que las autoridades puedan agregar y compartir informaci贸n entre ellas y con la industria para aumentar la eficiencia, en lugar de introducir requisitos nuevos o que compitan entre s铆. En relaci贸n con los test de seguridad, AFME se manifiesta conforme con las propuestas de la Comisi贸n para desarrollar un marco coherente de pruebas en todo el sector financiero, y pide una gu铆a coherente tambi茅n para el reconocimiento mutuo de estas pruebas por parte de los supervisores.
  • En relaci贸n con requisitos estrictos que las entidades puedan verse obligadas a aplicar a terceras partes, la AFME advierte contra la cualquier cambio inmediato sobre la forma en que las empresas de servicios financieros gestionan聽 la subcontrataci贸n a terceros proveedores de TIC, y se apoya en la experiencia adquirida por las entidades, se帽alando adem谩s que cualquier marco normativo deber铆a ser adoptado a nivel mundial para evitar poner barreras a la innovaci贸n o crear fragmentaci贸n regulatoria.
  • En relaci贸n con otras 谩reas donde la acci贸n de la UE sea necesaria, la AFME apoyar铆a medidas para compartir informaci贸n y experiencias en el sector financiero, y m谩s en concreto apunta al intercambio de evaluaciones sobre c贸mo se ha aplicado el paquete normativo NIS en los distintos Estados y en las diferentes instituciones. Apunta adem谩s AFME a que,聽 estas medidas en ning煤n caso deben generar riesgos contrarios a la protecci贸n de datos personales y confidenciales en particular en zonas grises como pueden ser metadatos conducentes a la identificaci贸n de adquisiciones il铆citas.

 

Prioridades de Supervisi贸n de ESMA para el a帽o 2019

ESMA hace p煤blicas sus prioridades supervisorias para 2019, ejercicio durante el que la autoridad europea se centrar谩 de modo particular en aspectos de la supervisi贸n de las Agencia de Calificaci贸n de Cr茅dito (CRAs) y los Repositorios de Comercio

El programa de prioridades en materia de Supervisi贸n de ESMA fue hecho p煤blico el 19.02.2019, (ESMA80-199-273) 聽detalla las principales 谩reas en las que se centrar谩 ESMA en su labor de supervisi贸n este a帽o, en relaci贸n con los Repositorios de Comercio (TR), las Agencias de Calificaci贸n Crediticia (CRA) y 聽con el seguimiento de ciertas Infraestructuras de mercado de terceros pa铆ses, como las contrapartes centrales de compensaci贸n de terceros pa铆ses (TC-CCP) y los Dep贸sitos de valores centrales de terceros pa铆ses (TC-CSD). Debe recordarse, en este sentido que ESMA actualmente supervisa directamente ocho TR y 27 CRA y que es responsable de cuatro CRAs certificadas y 32 TC-CCPs.

Iglesia de San Salvador de Palat del Rey, Le贸n (Espa帽a). By M.A. D铆az.

Para las CRA y TR en la UE las prioridades de supervisi贸n incluyen:

  • El almacenamiento en los TRs de datos de calidad y 聽el acceso a los mismos por parte de las autoridades p煤blicas;
  • La planificaci贸n de la continuidad del negocio de los TR, 聽el car谩cter fiable de los procesos y sistemas de TI y la funci贸n de seguridad de la informaci贸n;
  • Los riesgo de cartera de las CRAs y la calidad del proceso de calificaci贸n;
  • La Ciberseguridad de las CRA;
  • El Reconocimiento de Contrapartes centrales del Reino Unido en un escenario Brexit sin acuerdo;聽y
  • La evaluaci贸n de las solicitudes pendientes de reconocimiento de 19 TC-CCP 聽y de TC-CSD, 聽respecto de las cuales realizar谩 un seguimiento de riesgos.

 

Adem谩s, hay 谩reas en las que existen problemas comunes entre los TR y los CRA en los que la AEVM realizar谩 trabajos adicionales, como el Brexit, los precios que cobran por sus servicios,聽 la eficacia de los sistemas de control interno y el uso de nuevas tecnolog铆as.

ICO, tokens y aplicaci贸n de la Ley de Mercado de Valores. Criterios de la CNMV

La CNMV ha publicado聽 los criterios iniciales de actuaci贸n que est谩 llevando a cabo frente a las聽Initial Coin Offering聽(ICO).

Reconoce el supervisor espa帽ol que la complejidad de la materia hace que los criterios est茅n sometidos a una revisi贸n constante, pero a煤n as铆,聽 avanza en la determinaci贸n de los de aplicaci贸n en Espa帽a para este tipo de mecanismos de financiaci贸n empresarial.

NYC_by Jara IPM. One Trade Center Tower
Calificaci贸n de los Tokens como valores negociables.

 

 

 

Supervisi贸n de las entidades autorizadas a 聽emitir y comercializar ICOs.

El texto se ocupa tambi茅n de la necesidad y alcance de la intervenci贸n de entidades autorizadas para prestar servicios de inversi贸n, cuesti贸n en la que remite al art. 35.3 de la Ley del Mercado de Valores (LMV), y a sus 鈥淧reguntas y Respuestas dirigidas a empresas FinTech sobre actividades y servicios que pueden tener relaci贸n con la CNMV鈥

  • M铆nimamente, la entidad autorizada para prestar servicios de inversi贸n a efectos de la comercializaci贸n debe realizar una supervisi贸n general del proceso y validar la informaci贸n a entregar a los inversores, que deber谩 ser clara, imparcial y no enga帽osa y referirse a las caracter铆sticas y riesgos de los valores emitidos, as铆 como a la situaci贸n jur铆dica y econ贸mico-financiera del emisor de una manera suficientemente detallada como para permitir que el inversor pueda tomar una decisi贸n de inversi贸n fundada.
  • En este momento se permite que la entidad autorizada a la ICO no valide la informaci贸n que remite a los inversores, salvo incluir advertencias destacadas acerca de la naturaleza novedosa de la tecnolog铆a de registro y que la custodia de los instrumentos no se realiza por una entidad autorizada para prestar servicios de inversi贸n.
Intermediaci贸n y custodia.
  • No se considera necesaria la intervenci贸n generalizada de entidades autorizadas para colocar valores porque las ICO se consideran actividades normalmente ocasionales. En cambio, la reserva de actividad a las entidades autorizadas prevista del art铆culo 144.1 LMV (en relaci贸n con el art铆culo 140 e) y f) del mismo cuerpo legal) requiere que la actividad se realice 鈥渃on car谩cter profesional o habitual鈥.
  • Similarmente, no se exigir谩 la intervenci贸n de entidades de custodia de valores, pues su intervenci贸n s贸lo es necesaria conforme al 44.1 LMV (en relaci贸n con el art铆culo 141 a) LMV ) cuando la actividad se realice 鈥渃on car谩cter profesional o habitual鈥.
Representaci贸n de las ICO y negociaci贸n.
Cant谩brico (Asturias)

El texto establece la diferencia entre los requisitos de representaci贸n (as铆 como de supervisi贸n e intermediaci贸n) cuando la ICO se comercializa en Espa帽a o en otra jurisdicci贸n.

  • Por lo que respecta a Espa帽a:
    • El art铆culo 6.1 de la LMV permite interpretar que es posible que ciertos valores no se representen por medio de anotaciones en cuenta o t铆tulos. Por tanto, no puede excluirse la posibilidad del registro de derechos a trav茅s de la tecnolog铆a DLT (blockchain).
    • La negociaci贸n en mercados regulados, SMN o SOC espa帽oles el art铆culo 6.2 LMV exigir铆a que estuviesen representados por medio de anotaciones en cuenta. Y el art铆culo 8.3 LMV sobre entidades encargadas de la llevanza de registros contables que responden frente a los perjudicados por la falta de las inscripciones, por las inexactitudes y retrasos en las mismas y, en general, por el incumplimiento culposo o doloso de sus obligaciones legales, obligar铆a a que la llevanza del registro se realizara por un depositario central de valores. La gesti贸n del centro de negociaci贸n deber铆a realizarse por una ESI o por una entidad rectora de un mercado, y estar铆an sujetas en general a la normativa del mercado y al 谩mbito de supervisi贸n de la CNMV. Adicionalmente, las ICO estar铆an sometidas a la necesidad de representaci贸n mediante anotaciones en cuenta y a聽 la participaci贸n de un depositario central de valores.
    • En caso de preferir generar un mercado interno en una plataforma privada no regulada o la negociaci贸n en una plataforma (exchange) localizada en Espa帽a, la ICO encontrar铆a otros problemas pues los tokens considerados valores negociables dar铆an lugar a la obligaci贸n de que estas plataformas contasen con las autorizaciones exigibles para ejercer su actividad como centro de negociaci贸n (como mercado regulado, SMN o SOC); o bien como empresa de servicios de inversi贸n (ESI) o entidad de cr茅dito que opere como internalizador sistem谩tico (IS), con sus respectivos requisitos.
    • Con todo, el art铆culo 6.2 s贸lo es aplicable a los tokens que se negocien en un mercado espa帽ol.
  • Ahora bien, si los tokens se van a negociar en mercados no espa帽oles, la CNMV no es competente para exigir que est茅n representados mediante anotaciones en cuenta. Por el contrario, ser谩 la ley (y la autoridad competente) del pa铆s en el que se encuentre el mercado en el que vayan a negociarse los tokens, la que determine en qu茅 medida es exigible una forma concreta de representaci贸n para su negociaci贸n en un mercado organizado, as铆 como otros requisitos cuales que la llevanza del registro se realice por un depositario central de valores.

 

Rey Alfonso V de Le贸n
Sobre el folleto informativo.聽
  • Dado que la mayor铆a de las operaciones que se est谩n planteando pueden ampararse en el art铆culo 35.2 LMV (relativo a las situaciones en las que no existe obligaci贸n de publicar un folleto), en el texto del que se da noticia se aconseja a los emisores que se atengan a los criterios del art铆culo 35.3 LMV, porque la elaboraci贸n de un folleto para una ICO puede encontrarse con dificultades debido a la ausencia de un modelo armonizado a nivel europeo, que a su vez, puede generar disfunciones con otras autoridades europeas respecto del pasaporte del folleto aprobado por la CNMV.
  • Cuando resulte necesario un folleto por las caracter铆sticas de la operaci贸n, la CNMV adelanta que realizar谩 la adaptaci贸n y tendr谩 en cuenta el principio de proporcionalidad (m谩xime cuando es previsible que las operaciones no sean de gran tama帽o) a efectos de reducir en lo posible la complejidad y extensi贸n del documento.

M谩s

Sobre las ICO en Espa帽a, ver:

M谩s all谩:

Organismos de Inversi贸n Colectiva en Valores Mobiliarios (OICVM). La AEVM identifica deficiencias en su supervisi贸n.

La AEVM ha identificado deficiencias en la supervisi贸n nacional de la gesti贸n de carteras de los聽 organismos de inversi贸n colectiva en valores mobiliarios. OICVM.

London’s Eye

Una reciente investigaci贸n auspiciada por la AEVM para evaluar el nivel de cumplimiento de seis autoridades nacionales competentes聽 en materia de supervisi贸n financiera (ANCs) concluy贸 en la existencia de una serie de deficiencias en la supervisi贸n de la聽 gesti贸n de cartera por parte de los OICVM.聽 La evaluaci贸n a la que aludimos afectaba a聽Estonia, Francia, Alemania e Irlanda, Luxemburgo y el Reino Unido, y si bien se se centr贸 espec铆ficamente en los estados mencionados, . Ha permitido concluir al supervisor europeo que los reguladores nacionales deben mejorar la supervisi贸n sobre los OICVM. El texto de 30 Julio 2018 (ESMA 42-111-4479)聽puede consultarse聽 en su versi贸n resumida aqu铆

El 谩mbito del estudio, y por lo tanto de sus conclusiones se refiere, en particular, a las pr谩cticas nacionales de supervisi贸n sobre聽costes, honorarios e ingresos por gesti贸n de cartera (EPM), as铆 como con聽 cuestiones vinculadas con la gesti贸n de garant铆as todo ello en relaci贸n con los OICVM.:

  • El Art.. 51, apartado 2, de la Directiva OICVM聽permite a los Estados miembros prever la utilizaci贸n de t茅cnicas e instrumentos relativos a聽valores mobiliarios e instrumentos del mercado monetario en las condiciones y en el marco de los聽l铆mites que establezcan, siempre que dichas t茅cnicas e instrumentos se utilicen como EPM. Estas t茅cnicas e instrumentos deben ser econ贸micamente apropiados聽para reducir el riesgo, o los costes, o bien para generar capital adicional, o ingresos del OICVM. Ni las Directivas ni las Directrices prev茅n una lista exhaustiva de t茅cnicas e instrumentos v谩lidos como EPM, por lo que cabe diversidad nacional al respecto.
  • En el contexto de la gesti贸n de garant铆as, tal y como se especifica en el p谩rrafo 4.1.2.1. 43(g) de las Directrices, podr铆a
    existir una incoherencia entre esta disposici贸n y la Directiva OICVM. Las Directrices aluden a聽芦transferencia de titularidad禄 y 芦otros tipos de acuerdos de garant铆a禄 (como los pignoraticios) por lo que conforme a ellas el OICVM podr铆a autorizar las garant铆as recibidas por el OICVM para su EPM, (pero el Art. 22, apartado 7, letra d de la la Directiva OICVM estipula que los activos en custodia del depositario solo se聽reutilizar谩n cuando la operaci贸n est茅 cubierta por garant铆as reales l铆quidas y de alta calidad recibidas聽por el OICVM en virtud de un acuerdo de transferencia de titularidad). As铆 las cosas se har铆a preciso adaptar las Directrices que son anteriores a la Directiva.

 

Sollans’ city’s Bichitos

Aunque no ha emitido un mandato especifico, se desprende del documento que la AEVM considera a la luz de la evaluaci贸n de la que damos noticia que los supervisores nacionales deben garantizar una revisi贸n m谩s sistem谩tica y formalizada de la informaci贸n sobre gesti贸n eficiente de carteras (EPM), que permita a los inversores comprender mejor la EPM .Esta conclusi贸n es pertinente para todos los pa铆ses examinados, sin perjuicio de algunas conclusiones sean espec铆ficas para ciertos ordenamientos. As铆,聽en particular para Estonia y el Reino Unido se pide a las ANC que proporcionen orientaciones de supervisi贸n m谩s completas, abundando espec铆ficamente en los costes, las comisiones y los honorarios de los OICVM.聽En relaci贸n con los ingresos por EPM, se pide garantizar que todos los ingresos netos lleguen a los inversores,聽 nota importante en todas las jurisdicciones pero especialmente en聽Alemania y Luxemburgo, y que afecta a la distribuci贸n de ingresos entre聽inversores, gestores de fondos y sus proveedores de servicios; sugiri茅ndose adem谩s revisar las exenciones nacionales sobre requisitos de garant铆as聽en el Reino Unido y Alemania.

 

Antedecentes

Carucedo. Le贸n
  • El Programa de Trabajo de Convergencia de la AEVM para 2017 preve铆a la realizaci贸n de una revisi贸n inter pares sobre las 聽Directrices, Guidelines, que deb铆an ponerse en marcha para evaluar el cumplimiento por parte de la autoridad nacional competente de cada Estado miembro (ANC) con las Directrices, adem谩s de para identificar buenas pr谩cticas y 谩reas potenciales de mejora. 聽Esta revisi贸n por pares se llev贸 a cabo de conformidad con el art铆culo 30 del Reglamento (UE) n潞 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010 (Reglamento AEVM), y conforme a la metodolog铆a del grupo de revisi贸n (ESMA/2013/1709) (Metodolog铆a). Seg煤n ambos documentos, la revisi贸n inter pares es necesaria para revisar las capacidades de las ANC y as铆 lograr resultados de supervisi贸n de calidad, que incluyan la adecuaci贸n de los recursos y la gobernanza y la aplicaci贸n efectiva de las Directrices ESMA, as铆 como la 聽capacidad de las ANC para responder a la evoluci贸n del mercado, el grado de convergencia en la aplicaci贸n de la ley y las pr谩cticas de supervisi贸n, y la medida en que alcanzan sus 聽objetivos.
  • En relaci贸n con los OICVM, recu茅rdese que constituyen mecanismos clave para los inversores particulares, ya que gestionan sobre un 75% de los fondos de pensiones de empleo de la UE y otras inversiones colectivas de minoristas, es decir, de particulares. Cabe se帽alar que las 聽inversiones colectivas est谩n sometidas a un marco reglamentario detallado que establece la igualdad de condiciones y permite la gesti贸n y comercializaci贸n por parte de los OICVM: se regulan 聽los activos en los que un OICVM puede invertir, las t茅cnicas e instrumentos de gesti贸n de cartera relativos a valores mobiliarios e instrumentos del mercado monetario a su alcance, as铆 como distintas medidas de gesti贸n de carteras (EPM).

La AEVM multa a cinco bancos con 2,48 millones de euros por emitir calificaciones crediticias sin autorizaci贸n, el 23. Julio. 2018

La multa, y las correspondientes notas publicas de sanci贸n se impuso sobre Danske Bank, Nordea Bank, SEB, Svenska Handelsbanken y Swedbank a raz贸n de 495.000 鈧 聽cada uno por incumplimiento negligente del Reglamento de las agencias de calificaci贸n crediticia (Reglamento聽1060/2009 del Parlamento y del Consejo de 16聽de聽septiembre de 2009).

  • Una聽 investigaci贸n previa de ESMA hab铆a concluido que los 聽cinco bancos infringieron el Reglamento de Agencias de Calificaci贸n de riesgos al emitir calificaciones crediticias, calificaciones en la sombra, sin la autorizaci贸n de la AEMV, entre junio de 2011 y agosto de 2016, al emitir an谩lisis de cr茅dito a favor de sus clientes. En el caso de SEB continu贸 haci茅ndolo hasta mayo de 2018. 聽Ninguno de los bancos contaba con la autorizaci贸n de la AEMV necesaria 鈥揷on car谩cter previo- para emitir calificaciones.
  • Los informes de cr茅dito en cuesti贸n se refer铆an a diferentes entidades e instrumentos financieros, e dict谩menes que, a juicio de la AEVM, cumpl铆an los requisitos de la definici贸n de calificaci贸n crediticia prevista por Reglamento.
  • Los importes de las multas individuales tienen en cuenta el factor agravante de duraci贸n de la conducta durante m谩s de seis meses, aunque 聽tambi茅n el factor atenuante de que cada banco ha adoptado voluntariamente medidas para garantizar que no se produzcan infracciones similares en el futuro.

Los cinco bancos mencionados anteriormente tienen a su disposici贸n el recurso contra esta decisi贸n ante la Sala de Recurso de las Autoridades Europeas de Supervisi贸n, recurso que carece de efectos suspensivos directos, si bien la Sala de Recurso pueda suspender la aplicaci贸n de la resoluci贸n .

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

ESMA actualiza sus normas t茅cnicas sobre la informaci贸n que debe notificarse a los Registros de Operaciones (TR) conforme al Reglamento de Infraestructura de Mercado, EMIR

La Autoridad Europea de Valores y Mercados (AEVM/ ESMA ) ha actualizado el 9.08.2018 sus normas t茅cnicas de informaci贸n con arreglo del Reglamento relativo a la Infraestructura Europea de Mercados (EMIR) art铆culo 9 del EMIR.

 

El Reglamento EMIR establece la obligaci贸n de informaci贸n para las contrapartes en operaciones con derivados de los detalles de las operaciones a uno de los registros de operaciones (TR) registrados por ESMA. Esta obligaci贸n afecta tanto a las contrapartes financieras como a las no financieras (categoria residual). 聽Y, s贸lo las personas f铆sicas est谩n exentas de la obligaci贸n de informar sobre sus operaciones con derivados. Sin embargo, como su contraparte suele ser una instituci贸n financiera, esta 煤ltima debe informar esas operaciones. Exige la comunicaci贸n de los detalles de la transacci贸n para operaciones de derivados OTC o 芦contrato de derivados OTC禄 que con arreglo al art铆culo 2 de la EMIR es un contrato de derivados cuya ejecuci贸n no tiene lugar en un mercado regulado o en un mercado de un tercer pa铆s considerado equivalente a un mercado regulado. Por ejemplo, los contratos de derivados negociados en MTF (sistemas de negociaci贸n multilateral) o en SOC (Sistemas Organizados de Contratacion) son derivados OTC en el contexto de EMIR. Es decir, todos los contratos de derivados OTC y los derivados negociados en mercados deben comunicarse a uno de los registros de operaciones registrados por la ESMA.

Ox

La informaci贸n m铆nima requerida que debe notificarse se divide en dos categor铆as principales:

  • Datos de la entidad de contrapartida: nombre, domicilio e identificaci贸n de la entidad de contrapartida[que figuran en el anexo I, cuadro 1, Reglamento (UE) no 148/2013 de la Comisi贸n, de 19 de diciembre de 2012];
  • Datos comunes: tipo de contrato; vencimiento; valor nocional; cantidad; fecha de liquidaci贸n, etc.[recogidos en el anexo I, cuadro 2, Reglamento (UE) no 148/2013 de la Comisi贸n, de 19 de diciembre de 2012].

Concretamente ESMA actualiz贸 sus normas de validaci贸n de los informes presentados para 94 campos en los siguientes aspectos:

  • Sellado temporal
  • Notificaci贸n de identificaci贸n de la contraparte;
  • Identificaci贸n de la otra contraparte;
  • Confirmaci贸n.

Las modificaciones ser谩n aplicables a partir del 5 de noviembre de 2018.

Los instrumentos financieros cubiertos por EMIR se establecen en el anexo I, secci贸n C, puntos 4 a 10, de la MiFID (Directiva 2004/39/CE de la UE):

  • Contratos de opciones, futuros, permutas financieras (swaps), acuerdos de tipos de inter茅s futuros y cualesquiera otros contratos de derivados relacionados con valores, divisas, tipos de inter茅s o rendimientos, u otros instrumentos derivados, 铆ndices financieros o medidas financieras que puedan liquidarse en efectivo o en especie;
  • Contratos de opciones, futuros, permutas financieras (swaps), acuerdos de tipos de inter茅s futuros y cualesquiera otros contratos de derivados relacionados con materias primas que deban liquidarse en efectivo o que puedan liquidarse en efectivo a elecci贸n de una de las partes (salvo en caso de incumplimiento u otro supuesto de resoluci贸n);
  • Contratos de opciones, futuros, permutas financieras (swaps) y cualquier otro contrato de derivados relacionado con materias primas que puedan liquidarse f铆sicamente, siempre que se negocien en un centro de negociaci贸n;
  • Contratos de opciones, futuros, permutas financieras (swaps), contratos a plazo y cualesquiera otros contratos de derivados relacionados con materias primas que puedan liquidarse f铆sicamente, no mencionados en el punto C.6 y que no tengan fines comerciales, que tengan las caracter铆sticas de otros instrumentos financieros derivados, teniendo en cuenta, entre otras cosas, si se compensan y liquidan a trav茅s de c谩maras de compensaci贸n reconocidas o est谩n sujetos a ajustes regulares de los m谩rgenes de garant铆a;
  • Instrumentos derivados para la transferencia del riesgo de cr茅dito;
  • Contratos financieros por diferencias.
  • Contratos de opciones, futuros, permutas financieras (swaps), acuerdos de tipos de inter茅s futuros (forward rate agreements) y cualesquiera otros contratos de derivados relativos a variables clim谩ticas, fletes, derechos de emisi贸n o tasas de inflaci贸n u otras estad铆sticas econ贸micas oficiales que deban liquidarse en efectivo o que puedan liquidarse en efectivo a elecci贸n de una de las partes (salvo en caso de incumplimiento u otro supuesto de resoluci贸n), as铆 como cualquier otro contrato de derivados relacionado con activos, derechos, obligaciones, 铆ndices y medidas no mencionados en la presente secci贸n, que tengan las caracter铆sticas de otros instrumentos financieros derivados, teniendo en cuenta, entre otras cosas, si se negocian en un centro de negociaci贸n, si se compensan y liquidan a trav茅s de c谩maras de compensaci贸n reconocidas o si est谩n sujetos a ajustes regulares de los m谩rgenes de garant铆a.

 

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

La Comisi贸n Europea lleva a Espa帽a ante el TJUE por no aplicar las normas prudenciales de la UE para los bancos y las empresas de inversi贸n

As铆 lo pone de relieve la Comisi贸n en su comunicado de prensa de 19 de julio de 2018 (aqu铆).

Money.. By M A D铆az

El motivo por el cual la Comisi贸n ha decidido llevar a Espa帽a ante el Tribunal de Justicia de la UE es el de no haber incorporado plenamente la Directiva sobre requisitos de capital (Directiva 2013/36/UE, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de cr茅dito y a la supervisi贸n prudencial de las entidades de cr茅dito y las empresas de inversi贸n, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE).

 

Advierte la Comisi贸n que, hasta el momento, Espa帽a 鈥渘o ha aplicado plenamente estas normas de la UE y todav铆a faltan algunas disposiciones en el ordenamiento jur铆dico nacional鈥. Fundamentalmente, se trata de normas referidas a estos extremos: determinadas competencias y facultades de las autoridades nacionales competentes respecto a las empresas de inversi贸n; e imposici贸n de sanciones administrativas u otras medidas aplicables a las entidades declaradas responsables de una infracci贸n grave en la lucha contra el blanqueo de capitales. Entre las disposiciones que -seg煤n la Comisi贸n- todav铆a faltan, se encuentran los mecanismos de denuncia por incumplimiento de los requisitos de capital, normas sobre la integridad y la independencia de los miembros del 贸rgano de direcci贸n y la obligaci贸n de las autoridades competentes espa帽olas de ponerse en contacto con el supervisor consolidado para obtener la informaci贸n, situaci贸n que hace m谩s dif铆cil la cooperaci贸n en materia de supervisi贸n. Por 煤ltimo, se帽ala la Comisi贸n que las normas de gobernanza empresarial son m谩s d茅biles en Espa帽a, al no haber transpuesto la obligaci贸n de contar con 贸rganos de direcci贸n diversos y cualificados de las entidades.

No ha de perderse de vista, como recuerda la Comisi贸n en su comunicado, que adem谩s del Reglamento sobre requisitos de capital [Reglamento (UE) n.潞聽575/2013], la Directiva establece los requisitos prudenciales para las entidades de cr茅dito y las empresas de inversi贸n en la UE fijando normas sobre el importe del capital que las entidades deben tener para cubrir las posibles p茅rdidas derivadas de los eventuales riesgos. A su vez, la Directiva establece normas sobre la autorizaci贸n y la supervisi贸n de las entidades, la cooperaci贸n en materia de supervisi贸n, la gesti贸n de riesgos, el gobierno corporativo (incluida la remuneraci贸n) y los colchones de capital.

El plazo m谩ximo del que dispon铆an Los Estados miembros para incorporar la Directiva al Derecho nacional era el 31 de diciembre de 2013. Como no se hab铆a hecho, en enero de 2015, la Comisi贸n Europea solicit贸 formalmente a Espa帽a que transpusiera la Directiva. En enero de 2018, se emiti贸 un dictamen motivado contra Espa帽a. 聽Desde esa fecha Espa帽a no ha comunicado las medidas que faltaban relacionadas con la mencionada Directiva.

 

Niveles de regulaci贸n en servicios financieros en la UE. Proceso Lamfalussy. Apunte-referencia

El proceso Lamfalussy, iniciado en 2001, concibe diversos 芦niveles禄 en los que se clasifican las disposiciones normativas o medidas que integran el enfoque de la reglamentaci贸n financiera de la Uni贸n Europea.

La relevancia, ubicuidad e impacto del mecanismo regulador introducido merece alguna atenci贸n a efectos de uestra propia referencia

Ese proceso fue reforzado en el a帽o 2007 consecuencia de la Comunicaci贸n de la Comisi贸n Europea de 20 de noviembre de 2007 (COM (2007) 727 final)) y en el a帽o 2009 (v茅ase el Informe Larosi猫re, de 25 de febrero de 2009), se pretendi贸 instaurar un mecanismo de aprobaci贸n normativa 谩gil y flexible, que se pudiese adaptar a un entorno de mercado cambiante y que promoviese la convergencia en los mecanismos de supervisi贸n de los mercados financieros. El enfoque Lamfalussy, implica cuatro niveles institucionales en el proceso de reglamentaci贸n

  • Nivel 1: El Parlamento Europeo y el Consejo, a propuesta de la Comisi贸n, a trav茅s del proceso legislativo ordinario (anteriormente denominado de 芦codecisi贸n禄), adopta los principios b谩sicos que conforman la normativa, a trav茅s de la adopci贸n de Directivas o Reglamentos. (2)
  • Nivel 2: La Comisi贸n Europea, con apoyo consultivo de los comit茅s de Nivel 3, adopta disposiciones de desarrollo que incorporan requisitos t茅cnicos, para la aplicaci贸n de las disposiciones de Nivel 1.
  • Nivel 3: Los comit茅s integrantes por representantes de las autoridades competentes nacionales responsable de la supervisi贸n y, en la actualidad por ESMA, desarrollan una labor consultiva para la aprobaci贸n de las disposiciones de Nivel 1 y Nivel 2 y emiten gu铆as o documentos de preguntas y respuestas (Q&A) a los efectos de facilitar criterios interpretativos y reforzar la convergencia supervisora.
  • Nivel 4: La Comisi贸n Europea refuerza su rol para velar por la oportuna incorporaci贸n al derecho nacional de la normativa de la Uni贸n Europea.

 

Ver tambi茅n: