Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
SINTESIS
El 24 de septiembre de 2020, la Comisión Europea
adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del
sector financiero y por el que se modifican los Reglamentos (CE) n° 1060/2009,
(UE) n.° 648/2012, (UE) n.° 600/2014 y (UE) n.° 909/2014 (la «Propuesta»). La Propuesta establece un marco exhaustivo de
resiliencia operativa digital para las entidades financieras de la UE basado en
cinco áreas clave, a saber: la gestión de riesgos de TIC (capítulo II), la
gestión, clasificación e información de los incidentes relacionados con las TIC
(capítulo III), las pruebas de resiliencia operativa digital (capítulo IV), la
gestión del riesgo de terceros relacionado con las TIC y la regulación de los
proveedores esenciales de servicios de TIC (capítulo V) y el intercambio de
información (capítulo VI).
El SEPD destaca la importancia de
garantizar que cualquier operación de tratamiento de datos, en el contexto de
las actividades de las entidades financieras, tenga como referente uno de los
fundamentos jurídicas establecidos en el artículo 6 del RGPD
En relación con las
transferencias internacionales a proveedores terceros de servicios de TIC
establecidos en un tercer país, el SEPD recuerda que toda transferencia
internacional de datos personales debe cumplir con los requisitos del capítulo
V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE,
incluida la sentencia en Schrems II
El SEPD concluye: destacando la importancia
de garantizar que cualquier operación de tratamiento de datos realizada
en el ámbito de las actividades de las entidades financieras se fundamenta
en una de las bases jurídicas del artículo 6 del RGPD; que las entidades
financieras de incorporar a su marco de resiliencia operativa digital un sólido
mecanismo de gobernanza de protección de datos; considera que en el sector
financiero también deberían adoptarse códigos de conducta de conformidad
con el artículo 40 del RGPD; que en la publicación de sanciones administrativas
se incluya los riesgos para la protección de los datos de las personas físicas.
______________________________________________________________
Resumen del Dictamen del Supervisor Europeo de Protección de Datos relativo a la Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014
(El texto completo del presente Dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)
(2021/C 229/05)
El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 (la «Propuesta»). La Propuesta establece un marco exhaustivo de resiliencia operativa digital para las entidades financieras de la UE basado en cinco áreas clave, a saber: la gestión de riesgos de TIC (capítulo II), la gestión, clasificación e información de los incidentes relacionados con las TIC (capítulo III), las pruebas de resiliencia operativa digital (capítulo IV), la gestión del riesgo de terceros relacionado con las TIC y la regulación de los proveedores esenciales de servicios de TIC (capítulo V) y el intercambio de información (capítulo VI).
El SEPD acoge con satisfacción los objetivos de la Propuesta y considera esencial para la estabilidad del mercado financiero de la Unión Europea que las entidades financieras cuenten con un marco de gestión de los riesgos de TIC sólido, exhaustivo y bien documentado.
El SEPD destaca la importancia de garantizar que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras, tenga como referente uno de los fundamentos jurídicas establecidos en el artículo 6 del RGPD (1). El SEPD subraya, asimismo, la importancia para las entidades financieras de incorporar a su marco de resiliencia operativa digital un sólido mecanismo de gobernanza de protección de datos, que determine claramente las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como las actividades de tratamiento que tendrán lugar.
En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Schrems II.
Con respecto a los acuerdos de intercambio de inteligencia e información sobre ciberamenazas entre entidades financieras, el SEPD destaca que la protección de datos personales no constituye un obstáculo para el intercambio de inteligencia en el sector financiero. Los requisitos de protección de datos deben considerarse, en cambio, una condición básica que debe cumplirse para asegurar la salvaguardia de los derechos individuales. En este contexto, el SEPD considera que en el sector financiero también deberían adoptarse códigos de conducta, de conformidad con el artículo 40 del RGPD, especialmente para establecer claramente las funciones de las principales partes interesadas en el tratamiento de datos personales, así como para garantizar un tratamiento justo y transparente.
En cuanto a la publicación de multas administrativas, el SEPD recomienda incluir, entre los criterios sometidos al escrutinio de la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas. El SEPD recuerda, asimismo, que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido.
Respecto de la notificación de violaciones de la seguridad de los datos, el SEPD señala que la redacción del considerando 42 de la Propuesta es incompatible con el artículo 33 del RGPD. El SEPD recomienda, por lo tanto, eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta, así como modificar ligeramente su artículo 17, de conformidad con las recomendaciones del presente dictamen.
1. ANTECEDENTES
1. El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 (la «Propuesta»). La Propuesta establece un marco exhaustivo de resiliencia operativa digital para las entidades financieras de la UE basado en cinco áreas fundamentales, a saber: la gestión de riesgos de TIC (capítulo II), la gestión, clasificación e información de los incidentes relacionados con las TIC (capítulo III), las pruebas de resiliencia operativa digital (capítulo IV), la gestión del riesgo de terceros relacionado con las TIC y la regulación de los proveedores esenciales de servicios de TIC (capítulo V) y el intercambio de información (capítulo VI). 2. Esta Propuesta forma parte de un paquete de medidas que incluye también una propuesta de Reglamento relativo a los mercados de criptoactivos (2) (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado (3), y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros (4). El SEPD fue consultado acerca de la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y emitió su dictamen el 23 de abril de 2021 (5). Fue consultado, asimismo, sobre el Reglamento MiCA el 29 de abril de 2021 y emitirá su dictamen en consonancia con el artículo 42, apartado 1, del Reglamento (UE) 2018/725 del Parlamento Europeo y del Consejo (6).
3.
El 15 de marzo de 2021, la Comisión Europea solicitó un Dictamen sobre la
Propuesta al Supervisor Europeo de Protección de Datos (el «SEPD»), con arreglo
a lo previsto en el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.
Estas observaciones se ciñen a las disposiciones de la Propuesta relevantes
desde la perspectiva de la protección de datos. |
4. CONCLUSIONES
En vista de lo anteriormente expuesto, el SEPD:
— | Destaca la importancia de garantizar que cualquier operación de tratamiento de datos realizada en el ámbito de las actividades de las entidades financieras se fundamenta en una de las bases jurídicas del artículo 6 del RGPD e indica el artículo 6, apartado 1, letras c), e) y f), del RGPD como posible base jurídica para su consideración por parte de las entidades financieras. |
— | El SEPD destaca la importancia para las entidades financieras de incorporar a su marco de resiliencia operativa digital un sólido mecanismo de gobernanza de protección de datos, que determine claramente las funciones y las responsabilidades del responsable y el encargado del tratamiento de datos, así como las actividades de tratamiento que tendrán lugar. |
— | El SEPD recuerda que cualquier transferencia internacional de datos personales realizada por las entidades financieras a un proveedor tercero de servicios de TIC establecido en un tercer país debe cumplir con los requisitos del capítulo V del RGPD y someterse a las salvaguardias adecuadas, en consonancia con el marco y la jurisprudencia de protección de datos del TJUE, en especial el caso Schrems II. Dichas entidades financieras pueden hacer uso de las cláusulas contractuales tipo, ya que parecen ser la herramienta más relevante para las transferencias. |
— | El SEPD subraya que la protección de los datos personales no supone un obstáculo para el intercambio de inteligencia en el sector financiero. Los requisitos de protección de datos deben considerarse, en cambio, como una condición básica que se ha de cumplir para asegurar la salvaguardia de los derechos de las personas físicas en el marco de la resiliencia operativa digital de las entidades financieras. |
— | El SEPD considera que en el sector financiero también deberían adoptarse códigos de conducta de conformidad con el artículo 40 del RGPD, especialmente con vistas a establecer claramente las funciones de las principales partes interesadas en el tratamiento de datos personales, así como garantizar un tratamiento justo y transparente. |
— | En cuanto a la publicación de sanciones administrativas, el SEPD recomienda incluir, entre los criterios sometidos al escrutinio de la autoridad competente, los riesgos para la protección de los datos de las personas físicas. |
— | De conformidad con el principio de limitación del almacenamiento, el SEPD recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. |
— | El SEPD señala que la redacción del considerando 42 de la Propuesta es incompatible con el artículo 33 del RGPD. El SEPD recomienda, en consecuencia, eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta, así como modificar ligeramente su artículo 17 para incluir una referencia a la obligación de notificación de vulneraciones de la seguridad de los datos a las autoridades pertinentes en materia de protección de datos. |
— | El SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes. |
Bruselas, 10 de mayo de 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2019, p. 1)
(2) Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 [COM(2020)593 final]. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0593.
(3) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado.COM/2020/594 final, disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0594.
(4) Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 [COM(2020)596 final]. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0596
(5) Dictamen 6/2021 sobre la propuesta de un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu)
(6) Reglamento (UE) 2018/1727 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre la Agencia de la Unión Europea para la Coperación Judicial Penal (Eurojust) y por la que se sustituye y deroga la Decisión 2002/187/JAI del Consejo (DO L 295 de 21.11.2018, p. 138).
No hay comentarios:
Publicar un comentario