¿Sabes qué principios debe cumplir un Delegado de Protección de Datos? Descubre los códigos de conducta que garantizan su independencia, ética y profesionalidad, y cómo están respaldados por el RGPD...
Ley DORA para la resiliencia operativa digital en el sector financiero
El Reglamento DORA (UE 2022/2554) establece un sistema normativo común en la Unión Europea con el fin de mejorar la capacidad de respuesta del sector financiero ante riesgos tecnológicos y cibernéticos, garantizando la seguridad y continuidad de los servicios.
La Ley DORA (Reglamento (UE) 2022/2554) establece un marco normativo común en la Unión Europea para fortalecer la resiliencia operativa digital del sector financiero. Su principal objetivo es garantizar la continuidad y seguridad de los servicios ante riesgos tecnológicos y cibernéticos.
¿Qué es la Ley DORA?
El Reglamento (UE) 2022/2554, conocido como Digital Operational Resilience Act (DORA), es una normativa de la Unión Europea que establece un marco común para garantizar la resiliencia operativa digital en el sector financiero. Su objetivo principal es asegurar que las entidades financieras puedan resistir, responder y recuperarse de eventos disruptivos relacionados con las tecnologías de la información y la comunicación (TIC), como ciberataques o fallos tecnológicos.
¿Cuándo entró en vigor?
El Reglamento DORA entró en vigor el 16 de enero de 2023. No obstante, su aplicación será obligatoria a partir del 17 de enero de 2025, otorgando a las entidades un periodo de adaptación de dos años para cumplir con los requisitos establecidos.
¿A quién afecta?
El alcance de DORA es amplio, aplicándose a diversas entidades del sector financiero, incluyendo:
- Entidades de crédito y de pago
- Proveedores de servicios de información sobre cuentas
- Entidades de dinero electrónico
- Empresas de servicios de inversión
- Proveedores de servicios de criptoactivos
- Depositarios centrales de valores
- Entidades de contrapartida central
- Centros de negociación y registros de operaciones
- Gestores de fondos de inversión alternativos y sociedades de gestión
- Empresas de seguros y reaseguros
- Intermediarios de seguros y reaseguros
- Fondos de pensiones de empleo
- Proveedores terceros de servicios de TIC
Objetivos principales
Los objetivos fundamentales del Reglamento DORA son:
- Fortalecer la resiliencia operativa digital del sector financiero frente a riesgos tecnológicos y cibernéticos.
- Armonizar las normas de ciberseguridad en toda la Unión Europea, eliminando inconsistencias entre Estados miembros.
- Garantizar la continuidad de los servicios financieros en situaciones adversas.
- Proteger los datos personales y financieros contra accesos no autorizados y pérdidas.
- Reforzar la supervisión y vigilancia por parte de las autoridades competentes.
| Aspecto | Resumen |
|---|---|
| ¿Qué es? | Normativa de la UE para garantizar la resiliencia operativa digital del sector financiero frente a riesgos TIC. |
| Entrada en vigor | En vigor desde enero 2023; aplicación obligatoria desde enero 2025. |
| ¿A quién afecta? |
|
| Objetivos |
|
Implicaciones de la Ley DORA para el Delegado de Protección de Datos
Aunque el Reglamento DORA no menciona explícitamente al Delegado de Protección de Datos (DPO), sus disposiciones tienen implicaciones significativas en el ámbito de la protección de datos personales. A continuación, se detallan las áreas clave donde el DPO desempeñará un papel esencial:
Gestión de riesgos TIC
El DPO deberá colaborar estrechamente con los equipos de seguridad y cumplimiento para asegurar que los riesgos relacionados con el tratamiento de datos personales estén adecuadamente contemplados en las estrategias de gestión de riesgos tecnológicos. Esto incluye la evaluación de amenazas, la implementación de medidas preventivas y la supervisión continua de los sistemas de información.
Notificación de incidentes
En caso de que un incidente relacionado con las TIC afecte a datos personales, la entidad financiera estará obligada a realizar una doble notificación: una a la autoridad financiera correspondiente y otra a la autoridad de protección de datos, como la Agencia Española de Protección de Datos (AEPD). El DPO será responsable de coordinar estas notificaciones, garantizando el cumplimiento de los plazos establecidos y la integridad de la información proporcionada.
Supervisión de proveedores TIC
DORA exige una gestión rigurosa de los riesgos asociados a terceros proveedores de servicios TIC. El DPO deberá participar en la revisión y supervisión de los contratos con estos proveedores, asegurando que se incluyan cláusulas específicas que garanticen el cumplimiento de las normativas de protección de datos, conforme al Reglamento General de Protección de Datos (RGPD).
Integración en la gobernanza corporativa
El DPO deberá estar integrado en la estructura de gobernanza de la entidad, participando en la elaboración y revisión de políticas y procedimientos relacionados con la resiliencia operativa digital. Su función será clave para garantizar que las prácticas de protección de datos estén alineadas con los objetivos de DORA y se implementen de manera efectiva en toda la organización.
Formación y concienciación
Es responsabilidad del DPO promover la formación y concienciación sobre la protección de datos personales entre los empleados, especialmente aquellos involucrados en la gestión de riesgos tecnológicos y la respuesta a incidentes. Esto contribuirá a fortalecer la cultura de cumplimiento y a minimizar los riesgos asociados al tratamiento de datos personales.
| Área | Resumen |
|---|---|
| Gestión de riesgos TIC | Colaboración del DPO en la identificación y mitigación de riesgos tecnológicos sobre datos personales. |
| Notificación de incidentes | El DPO coordina la doble notificación (autoridad financiera y protección de datos) ante incidentes TIC con impacto en datos personales. |
| Supervisión de proveedores TIC | Participación del DPO en la supervisión contractual para garantizar cumplimiento del RGPD en proveedores TIC. |
| Gobernanza corporativa | El DPO se integra en la estructura directiva para alinear las políticas de protección de datos con DORA. |
| Formación y concienciación | Impulso por parte del DPO de la formación interna en protección de datos y gestión de incidentes tecnológicos. |
En resumen, el Delegado de Protección de Datos desempeñará un papel fundamental en la implementación y cumplimiento del Reglamento DORA, asegurando que las medidas adoptadas para fortalecer la resiliencia operativa digital estén en consonancia con las obligaciones en materia de protección de datos personales.
Preguntas frecuentes
¿A quién afecta DORA?
A todas las entidades financieras de la UE, incluyendo bancos, compañías de seguros, empresas de inversión, plataformas de negociación y proveedores de servicios tecnológicos críticos.
¿Qué requisitos establece DORA para las entidades financieras?
Las entidades deben implementar políticas de gestión de riesgos tecnológicos, realizar pruebas de resiliencia operativa, notificar incidentes graves y gestionar los riesgos asociados a terceros proveedores de servicios tecnológicos.
¿Cómo deben notificar los incidentes las entidades afectadas por DORA?
Deben establecer sistemas para identificar, registrar y clasificar incidentes relacionados con las TIC, y notificar los incidentes graves a las autoridades competentes y a los clientes afectados.
¿Qué relación tiene DORA con otras normativas como el RGPD?
DORA complementa al RGPD al enfocarse en la resiliencia operativa digital, mientras que el RGPD se centra en la protección de datos personales. Ambas normativas buscan fortalecer la seguridad en el sector financiero.
Artículos relacionados
Registro
¿Sabes quién debe registrar al DPO o si es obligatorio hacerlo? Descubre cómo funciona el registro del Delegado de Protección de Datos en la AEPD y qué pasos seguir para...
CEPD
El Comité Europeo de Protección de Datos coordina a las autoridades nacionales, garantiza una aplicación uniforme del RGPD y emite directrices para interpretar y aplicar la normativa.